Microsoft опубликовала 22-й отчет об угрозах в сети Интернет

Security Intelligence Report (SIR), подробно описывает глобальные тенденции в отношении вредоносного поведения за период с первого квартала 2016 года по первый квартал 2017 года.

Компания Microsoft опубликовала ежегодный аналитический отчет Microsoft Security Intelligence Report по угрозам в сети Интернет за период с первого квартала 2016 года по первый квартал 2017 года. Согласно новому отчету, утроилось количество атак, направленных на взлом учетных данных пользователей облачных сервисов. Количество попыток входа в учетные записи Microsoft с вредоносных IP-адресов увеличилось на 44% по сравнению с данными за 2015-2016 гг. Злоумышленники методом подбора взламывают учетные записи пользователей и повторно используют учетные данные для входа в другие сервисы. В отчете предполагается, что сравнение IP-адреса запрашивающего устройства с доверенными IP-адресами или доверенными устройствами может снизить риски потенциальных атак.

Также в отчете сообщается о том, что организации, использующие облачные сервисы, подвергаются большему риску. Злоумышленник может создать плацдарм в облачной инфраструктуре, компрометируя и контролируя несколько виртуальных машин. Эти виртуальные машины могут быть предназначены для запуска атак, включая атаки грубой силы, спам-кампании, которые могут использоваться для фишинговых атак, сканирование портов, и других вредоносных действий.

Согласно Microsoft, большое количество атак на Azure-сервисы в первом квартале 2017 осуществлялись с IP-адресов, расположенных в Китае и Соединенных Штатах, что составило 35,1% и 32,5% соответственно. Корея заняла третье место – 3,1%. Скомпрометированные виртуальные машины часто используются в качестве C&C-серверов. В первом квартале 2017 года Microsoft зафиксировала 89% подключений к скомпрометированным виртуальными машинами Azure с IP-адресов, расположенных в Китае.

Microsoft предупреждает о заражениях путем скрытой загрузки файлов (drive-by download). В марте 2017 года, поисковая система Bing обнаружила 0,17% таких заражений на каждую 1000 страниц. Наибольшее количество страниц со скрытыми загрузками было зафиксировано в Тайване (7,4% на 1000 адресов), Иране (1,5%) и России (0,6%). Наименьшее количество зафиксировано в Люксембурге (0,001%), Кувейте (0,001%) и Белизе (0,002).

Самыми популярными наборами эксплоитов в первой половине 2016 года были Angler (Axpergle) и Neutrino. В июне и сентябре 2016 года их заменил набор эксплоитов RIG, который в течение первых трех месяцев 2017 года занимал ведущую роль на рынке эксплоитов.

Самые популярные уязвимости в первом квартале 2017 года:

  • CVE-2017-0149 (Internet Explorer)
  • CVE-2017-0144 (Windows SMB)
  • CVE-2017-0005 (Windows GDI)