Аналитики Positive Technologies подвели итоги атак на веб-приложения в III квартале 2017 года
Эксперты Positive Technologies отмечают, что различие в количестве атак на веб-ресурсы регионального и муниципального значения объясняется тем, что злоумышленники стремятся получить большую выгоду и охватить максимальное количество жертв.
Третий квартал подтвердил основные тренды прошлых обзоров. В частности, то, что выбор злоумышленников падает в первую очередь на ресурсы с большим числом пользователей. Это значит, что атаки на веб-ресурсы регионального значения происходят в гораздо больших объемах, нежели на муниципальные, поскольку последние посещает меньше пользователей, которые могут стать потенциальными жертвами злоумышленников.
Это объясняет, почему на первом месте по среднему числу зарегистрированных событий в день в III квартале оказались веб-сайты учреждений сферы здравоохранения (1526 атак; для сравнения, на сайты местных госорганов пришлось 196 атак в день). Данные веб-ресурсы являются основными новостными источниками в сфере здравоохранения для крупных субъектов Россйиской Федерации. При этом анализ типов таких атак, проведенный экспертами Positive Technologies, показал, что с помощью аналогичных атак в октябре могли быть взломаны ресурсы СМИ для последующего распространения вируса-шифровальщика Bad Rabbit.
«Любопытная тенденция, отмеченная в прошлые месяцы, не только подтверждается, но и со временем дополняется новыми деталями, — сказала аналитик Positive Technologies Анастасия Гришина. — Если в прошлом квартале МЫ установили, что среднее время на эксплуатацию уязвимости после публикации о ней составляет три дня, то сейчас мы обратили внимание, что в зависимости от сложности атаки этот срок может сократиться до нескольких часов. Так, после публикации подробной информации об уязвимости Optionsbleed в веб-сервере Apache уже через три часа были зафиксированы попытки ее эксплуатации. Чем проще атака — тем меньше времени требуется на ее подготовку».
В III квартале 2017 года самой распространенной стала атака «Внедрение SQL-кода» (25,5%), в случае успешной реализации которой злоумышленник может получить несанкционированный доступ к чувствительной информации или выполнить команды ОС. На втором месте этого рейтинга находится атака на пользователей веб-приложения «Межсайтовое выполнение сценариев» (22,7%). Эти два типа составляют практически половину всех атак на исследуемые веб-приложения.
Выросла доля атак «Подключение локальных файлов» (10%), направленных на выполнение произвольного кода на атакуемом сервере. Кроме того, по сравнению с прошлым кварталом в два раза увеличилось число атак высокой степени риска «Удаленное выполнение кода и команд ОС» (8,2%), с помощью которых злоумышленник может получить полный контроль над сервером с веб-приложением.
По оценкам экспертов, попытки эксплуатации уязвимостей происходят постоянно: как только появляется публикация об очередной новой уязвимости в каком-либо компоненте веб-приложения, даже вне зависимости от отрасли и типа веб-ресурса, хакеры тут же пытаются ее эксплуатировать.
В среднем число атак в сутки варьировалось от 500 до 700 и крайне редко опускалось ниже 200. Важно отметить, что злоумышленники пытаются использовать любую возможность для получения выгоды и проводят атаки не только в рабочие дни, но и в выходные. Максимальное количество зафиксированных атак в день составило 4321. Отмечается увеличение интенсивности атак в дневные и вечерние часы; при этом отдельные пики количества атак могут быть зафиксированы в любое время суток.