Согласно сообщению, размещённому на сайте Positive Technologies, во всех шестидесяти исследованных компаниях были выявлены нарушения регламентов информационной безопасности и обнаружены такие инциденты, как использование незащищенных протоколов – 97 % и программного обеспечения для удаленного доступа – 72 %. В некоторых организациях было обнаружено использование сразу нескольких незащищенных протоколов, что могло бы привести к перехвату данных злоумышленниками.
«Используя возможности такого ПО, злоумышленники могут незаметно подключаться к узлам инфраструктуры и совершать действия, которые не будут расценены средствами защиты как несанкционированные, поскольку все действия выполняются от имени легитимного пользователя по защищенному каналу связи», – говорится в сообщении.
В 70 % компаний, была обнаружена активность вредоносного программного ПО. Чаще всего находились следы функционирования майнеров, вредоносного ПО для удаленного управления и шифровальщиков. Всё еще опасен шифровальщик WannaCry, активность которого была замечена в каждой пятой компании. Среди шпионского ПО наиболее популярны Agent Tesla и Formbook.
В двух компаниях были обнаружены сразу несколько образцов вредоносного программного обеспечения для удаленного управления и шпионажа, что может означать компрометацию, либо загрузку дополнительных модулей. Так, в одной финансовой организации были выявлены сразу четыре программы для шпионажа и кражи учетных данных. Сообщается также, что подозрительная сетевая активность, к которой относятся сокрытие трафика, получение данных с контроллера домена, запуск средств сетевого сканирования, зафиксирована в 93 % исследованных организаций.
«Сокрытие сетевого трафика — одна из основных техник, которые были выявлены при анализе трафика: в 65 % случаев было обнаружено туннелирование, а в 53 % — прокси», — цитирует пресс-служба аналитика исследовательской группы Positive Technologies Федора Чунижекова. По его словам, для незаметного перемещения по сети и коммуникации с управляющими серверами злоумышленники могут использовать такие подключения к узлам Tor – 47 %, VPN – 28 % или нестандартные библиотеки для подключения по протоколу SSH, который часто используется администраторами для удаленного доступа к ресурсам.
Кроме того, в 17 % компаний неоднократно отмечали попытку аутентификаци. Это может свидетельствовать о попытках перемещения по узлам внутри периметра и продвижения по ресурсам инфраструктуры, что может быть опасно для учетных записей пользователей критически важных систем и администраторов домена.
Однако, по мнению экспертов Positive Technologies, несмотря на то, что злоумышленники постоянно совершенствуются и схемы становятся все сложнее – они оставляют в трафике много следов.
Ранее «Телеспутник» сообщал, что одна из крупнейших российских компаний в сфере информационной безопасности Positive Technologies закрыла свои филиалы в Великобритании и Чехии. Сейчас у Positive Technologies остается официальное представительство в Казахстане.
