امنیت سایبری سال ۲۰۲۲ از نگاه کسپرسکی – بخش اول

اختصاصی افتانا: شبکه امنیتی کسپرسکی در آخرین گزارش سالانه خود جدیدترین آمار و ارقام مربوط به امنیت سایبری در سال ۲۰۲۲ را منتشر کرده است.

تمام آمارهای موجود در این گزارش مربوط به سرویس ابری جهانی شبکه امنیتی کسپرسکی (KSN)است که اطلاعات را از اجزای راه حل‌های امنیتی ما دریافت می‌کند. داده‌ها از کاربرانی که رضایت خود را برای ارسال آن به KSN اعلام کرده بودند، به دست آمد. میلیون‌ها کاربر کسپرسکی در سراسر جهان به ما در جمع‌آوری اطلاعات مربوط به فعالیت‌های مخرب کمک می‌کنند. آمارهای این گزارش شامل دوره نوامبر ۲۰۲۱ تا اکتبر ۲۰۲۲ است.

• در طول سال، ۱۵.۳۷ درصد از رایانه‌های کاربران اینترنت در سراسر جهان حداقل یک حمله در کلاس بدافزار را تجربه کردند.
• راه حل‌های کسپرسکی ۵۰۵،۸۷۹،۳۸۵ حمله را که از منابع آنلاین در سراسر جهان انجام شده بود، مسدود کرد.
• ۱۰۱,۶۱۲,۳۳۳ URL مخرب منحصر به فرد، اجزای آنتی‌ویروس وب را فعال کردند.
• آنتی ویروس وب ما ۱۰۹،۱۸۳،۴۸۹ شیء مخرب منحصر به فرد را مسدود کرد.
• حملات باج افزار بر روی رایانه های ۲۷۱۲۱۵ کاربر منحصر به فرد شکست خورد.
• در طول دوره گزارش، ماینرها به ۱،۳۹۲،۳۹۸ کاربر منحصر به فرد حمله کردند.
• تلاش برای آلودگی توسط بدافزار طراحی شده برای سرقت پول از طریق دسترسی آنلاین به حساب‌های بانکی در دستگاه‌های ۳۷۶۷۴۲ کاربر ثبت شد.

آمار تهدیدات تلفن همراه در گزارش جداگانه تکامل بدافزار موبایل در سال ۲۰۲۲ ارائه خواهد شد.

تهدیدهای مالی
این آمار نه تنها شامل تهدیدات بانکی، بلکه بدافزار برای دستگاه‌های خودپرداز و پایانه‌های پرداخت نیز می‌شود.

تعداد کاربران مورد حمله بدافزار مالی
در دوره گزارش، راه‌حل‌های کسپرسکی راه‌اندازی بدافزار مالی را بر روی رایانه‌های ۳۷۶۷۴۲ کاربر مسدود کرد.

تعداد کاربران مورد حمله بدافزار مالی

جغرافیای حمله به کاربران
برای ارزیابی و مقایسه خطر آلوده شدن به تروجان‌های بانکی و بدافزارهای ATM/POS در گوشه و کنار جهان، برای هر کشور یا منطقه، سهم کاربران محصولات کسپرسکی در آن کشور یا قلمرو را که در طول دوره گزارش با این تهدید مواجه شده‌اند، بر حسب درصد محاسبه کردیم.

۱۰ کشور و منطقه برتر بر اساس سهم کاربران مورد حمله

خانواده بدافزارهای مالی برتر

برنامه‌های باج‌افزار
در دوره گزارش، ما بیش از ۲۳۸۰۷ اصلاح باج‌افزار را شناسایی و ۴۱ خانواده جدید را شناسایی کردیم. توجه داشته باشید که ما یک خانواده جداگانه برای هر باج‌افزار جدید ایجاد نکردیم. اکثر تهدیدات از این نوع حکم عمومی را به خود اختصاص داده‌اند که به نمونه‌های جدید و ناشناخته می‌دهیم.

تعداد اصلاحات جدید باج افزار شناسایی شده

تعداد کاربران مورد حمله تروجان‌های باج‌افزار
در طول دوره گزارش، تروجان‌های باج‌افزار به ۲۷۱۲۱۵ کاربر منحصر به فرد، از جمله ۷۷۲۵۶ کاربر شرکتی (به استثنای SMB) و ۸۹۳۱ کاربر مرتبط با مشاغل کوچک و متوسط حمله کردند.

تعداد کاربران مورد حمله تروجان‌های باج‌افزار

جغرافیای حمله به کاربران

۱۰ کشور و منطقه برتر مورد حمله تروجان های باج افزار

۱۰ خانواده رایج تروجان‌های باج‌افزار

ماینرها
در طول دوره گزارش، تلاش‌هایی برای نصب ماینر روی رایانه‌های ۱٬۳۹۲٬۳۹۸ کاربر منحصربه‌فرد شناسایی کردیم. ماینرها ۲.۸۶ درصد از کل حملات و ۱۶.۸۸ درصد از همه برنامه‌های نوع ریسک‌تول را تشکیل می‌دهند.

تعداد کاربران مورد حمله ماینرها

در طول دوره گزارش، محصولات کسپرسکی بیشتر از سایرین Trojan.Win۳۲.Miner.gen را شناسایی کردند که ۲۲.۹۱ درصد از کل کاربرانی را که توسط ماینرها مورد حمله قرار گرفته‌اند تشکیل می‌دهد. پس از آن Trojan.Win۳۲.Miner.bbb (۱۵.۴۴ درصد)، Trojan.JS.Miner.ays (۸.۱۳ درصد) و Trojan.Win۶۴.Miner.all (۷.۷۳ درصد) قرار گرفتند.

جغرافیای حمله به کاربران

۱۰ کشور و منطقه برتر مورد حمله ماینرها

برنامه‌های آسیب‌پذیر مورد استفاده مجرمان در هنگام حملات سایبری

رویدادها و مشاهدات
دوره گزارش جدید از نظر انواع آسیب‌پذیری‌های یافت شده نسبتاً جالب بود. محققان امنیتی هنگام تجزیه و تحلیل فعالیت APT این دوره، برخی از آن‌ها را به عنوان روزهای صفر شناسایی کردند. موارد دیگر در طول تجزیه و تحلیل کد منبع و وصله‌های آسیب‌پذیری گذشته و همچنین توسط ابزارهای متعدد برای تحلیل استاتیک و پویا به‌ویژه ابزارهای فازی شناسایی شدند.

شرکای ما همچنین حملاتی را شناسایی کردند که از طیفی از آسیب‌پذیری‌ها سوء استفاده می‌کردند. ما مهم‌ترین آن‌ها را مورد بررسی قرار می‌دهیم.

• ۸ آسیب پذیری گوگل کروم ( CVE-۲۰۲۲-۰۶۰۴, CVE-۲۰۲۲-۰۶۰۵, CVE-۲۰۲۲-۰۶۰۹, CVE-۲۰۲۲-۱۰۹۶, CVE-۲۰۲۲-۱۳۶۴, CVE-۲۰۲۲-۲۲۹۴, CVE-۲۰۲۲-۲۸۵۶, CVE-۲۰۲۲-۳۰۷۵) در زیرسیستم‌های مختلف مرورگر پیدا شد. به طور خاص، آن‌ها از طریق اشکالات در موتور اسکریپت V۸ و تجزیه‌کننده‌های چندرسانه‌ای و از طریق سایر نقص‌ها مورد سوء استفاده قرار می‌گیرند. رایج‌ترین نوع آسیب‌پذیری Use-After-Free است که به دلیل ادامه استفاده از یک منطقه آزاد شده قبلی از حافظه توسط یک برنامه ایجاد می‌شود که به طور بالقوه منجر به اجرای کد دلخواه می‌شود. این آسیب‌پذیری‌ها به مجرمان سایبری اجازه می‌دهد از جعبه ایمنی مرورگر فرار کرده و به اجزای واقعی سیستم عامل حمله کنند.

• ۴ آسیب پذیری مشابه موزیلا فایرفاکس (CVE-۲۰۲۲-۱۰۹۷، CVE-۲۰۲۲-۱۸۰۲، CVE-۲۰۲۲-۱۵۲۹، CVE-۲۰۲۲-۲۸۲۸۱) در موتور جاوا اسکریپت و سایر اجزای مرورگر یافت شد.

• ۲۲ آسیب‌پذیری ویندوز مایکروسافت (CVE-۲۰۲۲-۲۱۸۳۶, CVE-۲۰۲۲-۲۱۸۸۲, CVE-۲۰۲۲-۲۱۹۱۹, CVE-۲۰۲۲-۲۲۰۲۲, CVE-۲۰۲۲-۲۲۰۲۶, CVE-۲۰۲۲-۲۲۰۳۴, CVE-۲۰۲۲-۲۲۰۳۸, CVE-۲۰۲۲-۲۲۰۴۷, CVE-۲۰۲۲-۲۲۰۴۹, CVE-۲۰۲۲-۲۴۵۲۱, CVE-۲۰۲۲-۳۰۲۰۶, CVE-۲۰۲۲-۳۰۲۲۰, CVE-۲۰۲۲-۳۰۲۲۶, CVE-۲۰۲۲-۳۴۷۱۳, CVE-۲۰۲۲-۳۵۷۴۳, CVE-۲۰۲۲-۳۵۷۵۰, CVE-۲۰۲۲-۳۵۸۰۳, CVE-۲۰۲۲-۳۷۹۶۹, CVE-۲۰۲۲-۴۱۰۴۰, CVE-۲۰۲۲-۴۱۰۸۲, CVE-۲۰۲۲-۲۶۹۲۵, CVE-۲۰۲۲-۳۰۱۹۰) در زیرسیستم‌های مختلف سیستم‌عامل، از جمله گرافیک (win۳۲k)، سیستم فایل گزارش مشترک (CLFS)، خدمات نمایه کاربر، اسپولر چاپ، زیرسیستم زمان اجرا مهم کلاینت/ سرور (CSRSS)، مکانیسم فراخوانی از راه دور (RPC) کشف شد. مهاجمانی که از این آسیب‌پذیری‌ها سوء استفاده می‌کنند، می‌توانند امتیازات فرآیندهای آلوده را افزایش دهند، کدهای مخرب را به فایل‌های کاربر تزریق کنند، داده‌های محرمانه را سرقت کنند و آسیب‌های دیگری ایجاد کنند. شناخته‌شده‌ترین آن‌ها، CVE-۲۰۲۲-۳۰۱۹۰، حتی نام خود را در رسانه‌ها به دست آورد: فولینا . اگرچه این آسیب‌پذیری از طریق اسناد آفیس منتشر می‌شود، اما از یک خطای منطقی در مدیریت پیوند سوء استفاده می‌کند، که به مهاجم اجازه می‌دهد برنامه‌ها را از راه دور در سیستم اجرا کند.

• یک آسیب‌پذیری مشهور لینوکس (CVE-۲۰۲۲-۰۸۴۷) با نام لوله کثیف یا درتی‌پایپ با خرابی حافظه هسته سیستم‌عامل مرتبط است و اجازه می‌دهد داده‌های فایل سیستم در حافظه جعل شود، که به نوبه خود می‌تواند برای افزایش امتیازات کاربر استفاده شود.

در میان حملات شبکه، اجباری بی‌رحمانه گذرواژه برای سرویس‌های مختلف شبکه، مانند RDP، Microsoft SQL Server و SMB همچنان محبوب است. همچنین همچنان مورد تقاضای بهره‌برداری‌های Equation Group هستند، به‌ویژه EternalBlue و EternalRomance برای سیستم‌های ویندوز منسوخ و اصلاح نشده مایکروسافت. چندین آسیب‌پذیری جدی در درایور سیستم فایل شبکه (NFS) یافت شد که مهم‌ترین آن‌ها CVE-۲۰۲۲-۲۴۴۹۱ و CVE-۲۰۲۲-۲۴۴۹۷ هستند. در تئوری، از این‌ها می‌توان برای انجام حملات RCE با ارسال یک پیام شبکه ساخته شده ویژه از طریق پروتکل NFS استفاده کرد. یکی از مهم‌ترین آسیب‌پذیری‌های نسخه‌های Windows Server، LSA Spoofing (CVE-۲۰۲۲-۲۶۹۲۵) است – یک مهاجم احراز هویت نشده می‌تواند یک روش رابط LSARPC را فراخوانی کند که کنترل‌کننده دامنه ویندوز را مجبور به احراز هویت کند. دو آسیب‌پذیری در Microsoft Exchange Server با شناسه‌های CVE-۲۰۲۲-۴۱۰۴۰ و CVE-۲۰۲۲-۴۱۰۸۲ که به دلیل شباهت آن‌ها از نظر سوء استفاده با آسیب‌پذیری‌های ProxyShell بسته‌شده قبلی، ProxyNotShell نامیده می‌شود، سروصدای رسانه‌ای ایجاد کرد. در نهایت، در دوره گزارش، دو آسیب‌پذیری (CVE-۲۰۲۲-۲۲۹۶۵، CVE-۲۰۲۲-۲۲۹۴۷) در چارچوب‌های وب مانند Spring Framework و Spring Cloud Gateway یافت شد.

آمار سوء استفاده
در دوره گزارش، ما دوباره شاهد روند افزایشی در محبوبیت حملات با استفاده از مجموعه مایکروسافت آفیس (۷۰.۱۷ درصد) بودیم. این به دلیل دو آسیب‌پذیری آسان برای بهره‌برداری (CVE-۲۰۲۱-۴۰۴۴۴ و CVE-۲۰۲۲ ۳۰۱۹۰) بود که به‌سرعت یافت شدند. مجرمان سایبری همچنین به استفاده از آسیب‌پذیری‌های قدیمی ادامه دادند: CVE-۲۰۱۷-۱۱۸۸۲، CVE-۲۰۱۸-۰۸۰۲، CVE-۲۰۱۷-۸۵۷۰، و CVE-۲۰۱۷-۰۱۹۹. در نتیجه، تعداد محرک‌های منحصربه‌فرد در پاسخ به تلاش‌ها برای سوء استفاده از آسیب‌پذیری‌های مایکروسافت آفیس بیش از ۲۰ p.p نسبت به دوره گزارش قبلی افزایش یافت.

توزیع نفوذهای مورد استفاده در حملات بر اساس نوع برنامه مورد حمله

رتبه‌بندی برنامه‌های آسیب‌پذیر براساس احکام محصولات کسپرسکی برای سوء استفاده‌های مسدود شده توسط مجرمان سایبری هم در حملات شبکه و هم در برنامه‌های محلی آسیب‌پذیر از جمله در دستگاه‌های تلفن همراه کاربران است.

رتبه دوم در توزیع حملات متعلق به اکسپلویت برای مرورگرها است. با این حال، سهم آن‌ها در واقع با همان ۲۰ p.p کاهش یافت. در دوره گزارش، هر گونه مشکل امنیتی شناسایی شده معمولاً به سرعت توسط توسعه دهندگان رفع می‌شد. آزمایش‌های فازی پیوسته نیز همانطور که بررسی با کیفیت بالا از پایگاه کد کمک کرد، باعث بهبود این مسئله شد. از بین بردن خطرات احتمالی بیشتر با به‌روزرسانی خودکار مرورگر اتفاق می‌افتد که تأثیر عمده‌ای در کاهش تعداد حملاتی که شامل سایت‌های مخرب می شود، دارد، زیرا مرورگر از انجام این حملات جلوگیری می‌کند.

مانند قبل، گوگل اندروید (۵.۶۲ درصد)، ادوبی فلش (۴.۵۲ درصد)، جاوا (۴.۰۲ درصد) و ادوبی پی دی اف (۳.۹۳ درصد) جایگاه‌های باقی مانده در آمار را به خود اختصاص داده‌اند. سهام آن‌ها تقریباً بدون تغییر باقی ماند و هیچ آسیب‌پذیری برجسته‌ای برای این پلتفرم‌ها در طول دوره گزارش کشف نشد.

حمله‌های روی macOS
دوره گزارش به دلیل تعداد زیادی از یافته‌های چند پلتفرمی که کاربران سیستم‌عامل‌های مختلف از جمله macOS (Gimmick، SysJoker، Earth Berberoka، TraderTraitor، LuckyMouse، Alchimist) را هدف قرار داده بودند، قابل توجه بود. همچنین شایان ذکر است استفاده از ابزارهای منبع باز در حملات (فریم ورک Sliver که به عنوان یک برنامه جعلی VPN و یک به روز رسانی Salesforce پنهان شده است) و همچنین نسخه جدید XCSSET برای macOS Monterey و Python ۳ – این تروجان پروژه های محیط توسعه Xcode را آلوده می‌کند و داده ها را از مرورگرها و سایر برنامه‌ها می‌دزدد.

۱۰ تهدید اول macOS

ادامه دارد...