«Солар»: более четверти всех кибератак в мире нацелены на российскую инфраструктуру
По данным центра исследования киберугроз Solar 4RAYS ГК «Солар», на Россию пришлось 28% срабатываний, зафиксированных сетью сенсоров и ханипотов в III квартале 2024 г. Таким образом, Россия находится на 2 месте по числу нацеленных на нее кибератак, на первом — США (где было зафиксировано 37% всех срабатываний). Также среди наиболее атакуемых стран Канада, Швейцария, Сингапур.
Глобальная международная сеть сенсоров и ханипотов Solar 4RAYS представляет собой множество серверов с одним из образцов популярного ПО. Ловушки имитируют различное оборудование и системы — от роутеров и камер видеонаблюдения до промышленного ПО. Злоумышленники не знают, что атаковали эмуляцию и начинают развивать атаку. Наблюдая за ними, эксперты могут подробно изучить техники и тактики киберпреступников и сформировать дальнейшие шаги по защите от потенциальной киберугрозы.
Топ стран, с IP-адресов которых идут кибератаки, в III квартале возглавляет Индия (31%). Далее следуют Литва (24%), Китай (22%) и США (8%). Год назад лидером был Китай (31%). За ним располагались Ливан, США, Индия и Россия (7% атак зафиксировано с российских адресов).
«Скорее всего, такое распределение связано с тем, что в странах, откуда идет наибольшее число атак, распространено определенное ПО и оборудование, которое может быть легко взломано злоумышленниками для создания ботнетов. Например, это множество доступных извне серверов, роутеры с незакрытыми уязвимостями и т.п. Ещё одна возможная причина — популярность виртуальных частных серверов (VPS) в этих странах. Злоумышленники могут арендовать их для анонимизации своих атак. А если на таком сервере развернуто уязвимое ПО, то его могут взломать и сделать частью ботнета», — сказал аналитик центра исследования киберугроз Solar 4RAYS ГК «Солар» Илья Аюпов.
Чаще всего в отчетном периоде киберпреступники пытались взламывать инфраструктуры-ловушки с помощью брутфорса (метод перебора пароля). Доля подобных сработок составила 71%. При этом год назад брутфорс составлял 93% атак. В большинстве случаев конечной целью подобных атак было включение взломанных устройств в состав ботнетов, унаследовавших вредоносный код DDoS-ботнета Mozi (он прекратил существование в минувшем году). Как и Mozi, эти ботнеты состоят в основном из умных устройств.
На фоне сокращения брутфорса значительно выросла доля атак Path Traversal (эксплуатации уязвимости обхода пути) — 5% до 25%. Через эту уязвимость злоумышленники получают доступ к файлам или каталогам сервера, которые не должны быть доступны из интернета. Среди целей атак типа Path Traversal в основном серверы Gitlab, Confluence, Apache и Microsoft Exchange. Эти продукты весьма распространены в организациях, но они часто настроены небезопасно и при этом доступны из сети, из-за чего они становятся частой жертвой различного вредоносного ПО.
«Вероятно, злоумышленники проявляют больший интерес к атакам типа Path Traversal, поскольку потенциально они дают больше возможностей, чем просто подбор учетных данных для входа. Например, злоумышленник может получить доступ сразу к множеству файлов и папок веб-сервера, похитить сохраненную там информацию и внести другие изменения», — отметил Илья Аюпов.
Также небольшой процент (4%) пойманных ловушками атак был связан с эксплуатацией уязвимостей. Большая часть автоматизированных попыток проэксплуатировать какую-либо уязвимость — это атаки против протокола UPnP (обеспечивает автоматическое подключение хостов друг к другу и их совместную работу). Злоумышленникам уязвимость позволяет создавать прокси, скрывая свою вредоносную активность.