Аналитики Group-IB и Центра реагирования на инциденты кибербезопасности CERT-GIB сообщают, что по итогам 2018 года российская доменная зона достигла рекордных показателей по снижению объема токсичных сайтов.
Рунет стал чище
Хотя, по данным компании, в 2018 году был отмечен общий 46% прирост числа потенциально опасных сайтов (содержащих фишинг или малварь), на долю рунета пришлось менее 20% таких ресурсов. Причем еще в 2017 году доля токсичных ресурсов в зоне RU составляла почти 50% среди всех заблокированных специалистами.
Проведенный экспертами анализ показывает, что использование доменов в зоне RU стало менее привлекательным для злоумышленников: количество опасных доменов, заблокированных CERT-GIB в рунете, уменьшилось на 40% по сравнению с 2017 годом. Вместо этого злоумышленники все чаще отдают предпочтение зоне .com: за 2018 года количество токсичных ресурсов там увеличилось почти в 3 раза. Кроме того, преступники стали чаще выбирать новые домены верхнего уровня «NewgTLD» (.online; .website; .space и так далее).
Исследователи считают, что общее снижение интереса злоумышленников к рунету объясняется, в числе прочего, активной работой команд по мониторингу и реагированию на компьютерные инциденты и усилиями Координационного центра доменов .RU/.РФ по созданию благоприятных условий для работы компетентных организаций. Так, благодаря расширению международной партнерской сети и автоматизации процессов обнаружения вредоносного контента, среднее время от момента реагирования CERT-GIB до нейтрализации вредоносного контента сократилось на 20% по сравнению с 2017 годом.
При этом общее количество фишинговых ресурсов, располагающихся в различных доменных зонах, включая RU, увеличилось на 77% по сравнению с 2017 годом. Так, 2018 году была приостановлена деятельность 4494 сайтов, использующихся в целях фишинга. Но только 10% сайтов пришлось на домены в российской зоне (458 ресурсов), тогда как в 2017 году на их долю приходилось 27%.
Количество ресурсов, распространяющих или управляющих вредоносным ПО в российской зоне в 2018 году также сократилось на 44% по сравнению с 2017 годом. Общее же количество таких ресурсов, выявленных и заблокированных CERT-GIB, осталось на уровне 2017 года – 1736 веб-ресурсов в 2017 и 1723 сайта в 2018 году, соответственно.
Другие угрозы
Также исследователи отмечают, что в 2018 году электронная почта окончательно утвердилась в статусе самого популярного способа доставки малвари. Так, соотношение доставки вредоносов посредством email и загрузки через веб-браузеры на протяжении всего года оставалось на уровне 12к1.
Одной из ключевых тенденцией 2018 года в данной области стало использование публичных почтовых сервисов для отправки писем, содержащих малварь. Так, в топ-5 наиболее активно использовавшихся злоумышленниками почтовых доменов вошли популярные в России mail.ru, yandex.ru и gmail.com. Для сравнения, в 2017 году лишь один публичный почтовый сервис (mail.ru) входил в пятерку, а остальные четыре были доменами, зарегистрированными специально под вредоносные рассылки или просто поддельные адреса.
В подавляющем большинстве случаев (82%) злоумышленники предпочитали доставлять малварь прямо во вложениях к письмам, а их любимым форматом упаковки стали архивы (в основном ZIP). Также, как ни странно, даже в 2018 году у злоумышленников по-прежнему популярны файлы .exe, хотя данный формат уже должен вызвать у наученных горьким опытом пользователей настороженность. Так, на файлы .exe пришлось 12% всех проанализированных вредоносных объектов.
Еще одна интересная тенденция: использования безопасного соединения (SSL/TLS). Злоумышленники все чаще стараются вызвать у пользователей, делающих ставку на HTTPS, ложное чувство защищенности. Статистика показывает, что в четвертом квартале 2018 года почти половина всех фишинговых ресурсов использовала именно «безопасное соединение».
«Пользователям не стоит полагаться на тип соединения используемый сайтом в качестве критерия его безопасности, — отмечает заместитель руководителя CERT-GIB Ярослав Каргалев,— Получить HTTPS сертификат для злоумышленников стало также просто, как и любой другой. Сегодня в онлайне можно обнаружить большое количество сервисов, которые позволяют это сделать быстро и бесплатно».
