Каждый год эксперты компании Recorded Future изучают положение дел в даркнете и на основании этого подготавливают список наиболее «популярных» уязвимостей в киберпреступном мире. Отчет аналитиков (PDF) позволяет составить представление о том, какие технологии продукты требуют внимания в первую очередь.
«Мы проводим этот анализ благодаря тому, что продажа и использование эксплоитов – это индустрия, ориентированная на получение прибыли, — рассказывают представители Recorded Future. — Если вы киберпреступник и пытаетесь заработать, то вам придется вступать в дискуссии. Если утаивать слишком много, вы не сможете заработать денег, поэтому преступникам необходимо немного “высовываться”, а мы можем воспользоваться этим обстоятельством и обнаружить наиболее крупные темы таких бесед».
В этом году выводы, сделанные исследователями, таковы: преступники перестали полагаться на использование уязвимостей в продуктах Adobe, и их фокус сместился в сторону различных решений Microsoft. Если в отчетах прошлых лет эксплоиты для Flash доминировали, занимая сразу семь позиций списке десяти самых атакуемых уязвимостей, теперь ситуация изменилась. Как можно увидеть на графике ниже, сейчас вся первая пятерка самых «популярных» уязвимостей, это баги в продукции Microsoft.
Первая тройка проблем, это: CVE-2017-0199 (проблема позволяет посредством зараженного документа Microsoft Office загрузить и выполнить скрипт Visual Basic, содержащий PowerShell команды); CVE-2016-0189 (старая уязвимость в браузере Internet Explorer, которую эксплоит киты используют для доставки малвари на машины жертв); CVE-2017-0022 (проблема, позволяющая похитить данные, которую используют эксплоит-киты Astrum (aka Stegano) и Neutrino, хотя по шкале CVSS уязвимость оценивается лишь в 4,3 балла).
Также аналитики Recorded Future отмечают еще один тренд последнего времени: в целом наборы эксплоитов стремительно теряют актуальность и своих клиентов. Недавно об этой тенденции писали и эксперты Palo Alto Network. Дело в том, что падение спроса на эксплоит-киты началось еще в 2016 году, и теперь этот процесс лишь закономерно набирает обороты. Происходящее объясняется очень просто: использовать наборы эксплоитов становится все сложнее, ведь современные браузеры уже не так просто скомпрометировать, особенно после массового отказа от Flash и перехода на HTML5. Кроме того, на работу одного из самых популярных эксплоит-китов, RIG, значительно повлияла операция Shadowfall, проведенная рядом компаний и независимых ИБ-специалистов летом 2017 года.
По данным Recorded Future, в еще 2016 году киберкриминал произвел на свет сразу 26 различных наборов эксплоитов, но лишь 10 новых эксплоит-китов появились в 2017 году, и только AKBuilder, Disdain и Terror демонстрировали сколь-нибудь замутную активность. Исследователи отмечают, что сейчас гораздо большей популярностью пользуется майнинговая малварь, отчасти заменившая собой наборы эксплоитов и шифровальщики, которые те распространяли.
Читайте также
Последние новости