Угрозы дня: Атаки методом Credential stuffing, статистика киберугроз

Атаки методом Credential stuffing генерирует миллиарды попыток входа в систему

Атаки с использованием украденных учетных данных является растущей проблемой, особенно в финансовом секторе, где ботнеты могут инициировать огромное количество мошеннических попыток входа в систему, волна такой атаки имеет эффект распределенной атаки типа "отказ в обслуживании" (DDoS). Атака Credential stuffing - является атакой, в которой злоумышленник использует автоматизированные средства для подбора пароля и имени учетной записи с помощью заранее украденной базы данных. Общая статистика от компании Akamai, предлагающей услуги по защите от DDoS-атак, ошеломляет: более 30 миллиардов попыток взлома учетных записей регистрируются менее чем за один год, с ноября 2017 года по июнь 2018 года.

В последнем отчете Akamai описывается атака трех крупных ботнетов на две компании. В первом случае атака велась на кредитную организацию в Северной Америке, тогда в течение одной недели Akamai обнаружил 315 178 мошеннических попыток входа в систему с примерно 20 000 IP-адресов от 1750 интернет-провайдеров. В атаке было обнаружено 4 382 различных пользовательских агента. Первый ботнет во время атаки отвечал за треть (94,2296) попыток мошеннического входа. Akamai обозначил его как «тупой ботнет», потому что его трафик поступал с двух IP-адресов, и все запросы имели один и тот же пользовательский агент, что упрощало идентификацию и блокировку. Второй ботнет был более сложным: загружал трафик с 10 000 различных IP-адресов и использовал 695 пользовательских агента. Третий ботнет был самым сложным, поскольку он осуществлял атаку с помощью различных подходов. К примеру, только одна попытка мошеннического входа в систему происходила каждые две минуты, в общей сложности 5 286 попыток входа в систему за неделю. Он использовал 188 уникальных пользовательских агентов и 1500 IP-адресов. Низкая активность этого ботнета затруднила его обнаружение и позволила злоумышленнику осуществлять атаку в течение более длительного периода. Во время атаки на вторую организацию было зафиксировано около 8,5 миллионов мошеннических входов в течении 48 часов.

Создатели ботнета Mirai сотрудничают с ФБР

Три молодых хакера, осужденных в конце прошлого года за создание и распространение пресловутого ботнета Mirai, теперь помогают ФБР расследовать случаи киберпреступлений для того что бы избежать длительных сроков заключений. После всестороннего сотрудничества с ФБР, создатели ботнета Джха, Уайт и Норман были приговорены к пятилетнему испытательному сроку, 2500 часов общественных работ, оплаты реституции в размере 127 000 долл. США и добровольному отказу от значительных сумм криптовалюты, изъятой в ходе расследования.

Ботнет Mirai - ботнет, использовавший уязвимости в IoT-устройствах для заражений и затем, подобно сетевому червю, продолжал поиск других устройств. Исходный код ботнета был опубликован на закрытых форумах, что в дальнейшем привело к разработке и эксплуатации новых модификаций. В январе 2017 года ботнет Mirai сдавался в аренду другим злоумышленникам. А с декабря 2016 года по февраль 2017 года создатели ботнета заразили около 100 000 компьютеров США, включая маршрутизаторы. Зараженные устройства использовались в схеме рекламного мошенничества - в частности использовался метод "кликфрод", при котором пользователь вынужден кликать на рекламную ссылку, будучи не заинтересованным в этом. Согласно судебным документам злоумышленники заработали 100 биткоинов. Несмотря на то, что официальные документы не раскрывают подробности сотрудничества разработчиков ботнета с ФБР, есть информация, что они все же помогли с расследованием по крайней мере десяти различных случаев киберпреступлений по всему миру. Сюда относятся расследования атаки методом APT (целевая кибератака) от национальной хакерской группы, а также DDoS-атаки.

Check Point: статистика киберугроз за август 2018 года

Согласно отчету компании Check Point в августе произошло значительное увеличение числа атак с использованием банковского трояна Ramnit. В августе 2018 года Рамнит подскочил на шестое место в индексе популярности всех угроз. Это привело к тому, что он стал самым распространенным банковским трояном в увеличивающейся тенденции использования финансовых угроз этого типа, количество которых удвоилось с июня 2018 года.

В Топ-3 самых популярных угроз вошли: криптомайнер Coinhive, на втором и третьем месте - ботнеты Dorkbot и Andromeda.

В Топ-3 популярных мобильных угроз вошли такие вредоносные программы как Lokibot, Lotoor и Triada:

• Первый, Lokibot - банковский троян, имитирующий интерфейсы мобильных банков, приложений WhatsApp, Skype и Outlook, отображая уведомления якобы от этих приложений.
• На втором месте мобильных угроз - инструмент Lotoor, использующий уязвимости в операционной системе Android для получения привилегии root на взломанных мобильных устройствах.
• На третьем месте - бэкдор Triada, который предоставляет привилегии суперпользователя для загружаемых вредоносных программ, а также помогает внедрить их в системные процессы.

В Топ-3 эксплуатируемых уязвимости вошли следующие уязвимости

• CVE-2017-7269 - переполнение буфера в функции ScStoragePathFromUrl службы WebDAV в IIS 6.0, с помощью которой злоумышленник может выполнить произвольный код или вызвать отказ в обслуживании на целевом сервере.
• CVE-2014-0160; CVE-2014-0346 - утечка информации OpenSSL TLS DTLS Heartbeat, с её помощью злоумышленник может использовать эту уязвимость для раскрытия содержимого памяти подключенного клиента или сервера.
• На третьем месте уязвимость в маршрутизаторе D-Link DSL-2750B - успешная эксплуатация может привести к произвольному выполнению кода на уязвимом устройстве.