他们多次在Habré上写过关于僵尸网络的文章,这并不奇怪-这确实是一个尚未消失的重大威胁。 在今天的文章中,我们将讨论2019年哪些僵尸网络是相关的以及它们可能对业务造成的危害-不是大型公司,而是中小型公司。
威胁是针对谁的?
根据
Securelist的说法,僵尸网络开发人员最关心金融组织和服务。 它们占所有攻击的70%以上。 这些是在线银行服务,在线商店,各种类型的付款汇总器等。
第二位(此处仅占所有攻击的6%)被社交网络和大型信息站点以及搜索引擎和社交邮件服务占据。 在这里,攻击者试图捕获尽可能多的用户个人数据,以进行进一步的攻击。
提供各种产品和服务的资源占据了大约5%的第三位,这些网站不是在线商店。 托管提供商和其他一些组织属于此类。 攻击者主要对受害者的个人数据感兴趣。
此外,“ botovods”将其系统定向到各种加密货币服务,包括交易所,钱包等。
显然,攻击者首先对富裕国家的公司感兴趣,因此,位于美国,英国,加拿大,欧洲和中国的服务和站点受到了攻击。
僵尸网络如何危害企业?
从公司IP地址发送垃圾邮件僵尸网络可能不会因为进行任何复杂的攻击而被“监禁”,而是充当垃圾邮件工具。 僵尸网络中的元素越多,该工具的效率越高。 如果垃圾邮件是从公司受感染的设备发送的,则其IP将自动进入垃圾邮件过滤器。 这意味着一段时间后,公司员工从本地PC发送的所有电子邮件都会从客户,合作伙伴和其他联系人发送到垃圾邮件。 纠正这种情况并不是那么简单,但是会造成重大损害(人们可以想象,由于重要文件没有及时送达正确的事实,该协议被破坏了)。
公司IP地址的DDoS与上述情况大致相同,只是这次僵尸网络使用公司的受感染计算机进行DDoS攻击。 在这种情况下,“黑暗企业”中出现的IP将被各种提供商列入黑名单,并被阻止。 将来,受其PC影响的公司员工将在访问某些资源时遇到困难-请求将在各种规模的提供商级别受到阻止。
在某些情况下,如果攻击很严重,公司可能会完全关闭网络访问。 而且,即使几个小时都没有互联网,这对企业来说是一个严重的问题。
对公司的直接DDoS攻击为DDoS攻击创建了大量的僵尸网络。 现在,它们的功能非常强大,因此普通的僵尸网络可以完全“放置”常规公司的服务和站点。 这是一种非常昂贵的享受。 根据专家的说法,这样的直接费用
每小时可能使企业
损失20,000至100,000美元 。
即使受攻击的公司的服务继续工作,也比平常慢得多。 这造成直接和间接损失。 甚至在不影响公司效率的弱DDoS攻击的情况下,您也可能会遇到“脏日志”-由于大量的第三方IP而无法分析公司的服务。 在这种情况下,Google Analytics(分析)变得毫无用处。
重要信息盗窃今天存在的僵尸网络是多功能的,并且由大量模块组成。 僵尸网络运营商可以将“沉睡中的”僵尸网络转变为公司数据窃贼(客户数据,对内部资源的访问,对客户银行的访问等)。 只需按一下手指。 与垃圾邮件或DDoS相比,这是对企业更敏感的威胁。
僵尸网络可以通过多种方式窃取数据,包括诸如键盘记录之类的常见方式。 例如,键盘记录程序可以“锐化”以便与PayPal一起使用,并且仅在用户尝试登录其帐户时才激活。
攻击代理僵尸网络可以将公司机器转变为代理,从而充当攻击的“中转站”。 而且,这一切都比垃圾邮件或DDoS情况严重得多-如果攻击是严重的并造成了人身伤害,则公司可能会受到执法机构的密切关注。
公司资源如果僵尸网络处于活动状态,则可能需要大量的计算资源。 也就是说,网络犯罪分子将使用公司机器,并具有相应的能源和处理器时间。 如果一家计算机被感染的公司需要花费大量资源,这会影响工作流程的效率。 一个例子是采矿。 僵尸网络可以作为矿工被激活,然后受感染的PC将把其硬币挖掘能力的很大一部分提供给攻击者。
声誉损失所有这些最终都可能影响公司的声誉,因为一个组织的IP地址出现在“暗事”中将是一个困难的局面。 将所有内容恢复到第一位可能并不那么简单。
如何计算损失?
当然,如果没有损失,那就更好了。 但是,如果僵尸网络存在问题,则可以使用以下算法来计算消除该问题所需的当前和未来成本。 我们汇总所有昂贵的物品并获得总金额。
根据Ponemon研究所的说法,在公司停工的困难情况下,损失
可能是巨大的 ,每分钟损失达数千美元。 对于大公司,这是数十万个。 对于中小型企业来说,总损失不如公司的损失大,但是对于公司本身,如果我们谈论一个小型组织,即使是几千美元也是不可接受的。
僵尸网络的例子
僵尸网络很多,规模不一,网络中有数百万个元素。 举个例子,我们可以举出
2018年最活跃的人 (他们今天还没有去过任何地方)。
Beta机器人该僵尸网络实施的攻击数量超过了2018年唯一攻击总数的13%。 该恶意软件在42个国家/地区运作,其创建者的最大兴趣来自金融服务,社交网络和大型门户网站。
骗子(TrickBot)与上一个僵尸网络几乎相同的活跃僵尸网络。 在其帮助下,独特攻击的总数达到了12.85%。 他在65个国家/地区工作,攻击金融和加密货币服务。
大熊猫该僵尸网络进行了独特攻击总数的9.84%。 他在33个国家/地区工作,攻击金融和加密货币服务。
在成功的僵尸网络中,SpyEye和Ramnit也值得一提。
与众不同的是庞大的Mirai僵尸网络,该僵尸网络一度造成了数亿美元的损失。 僵尸网络的新版本已经
启动并
开始工作,并
逐渐开始感染世界各地的新设备 。
如何保护自己免受僵尸网络的侵害?
原则上,保护方法与用于防止任何恶意软件感染计算机的保护方法没有什么不同。 首先,这是个人的“ IT卫生”,也就是说,您需要注意的是,单击电子邮件中的链接,打开由已知和未知联系人发送的文件,单击诸如“您的PC已被感染,并且需要治疗”,这不仅感染个人,而且感染公司设备。
公司需要定期对员工进行有关信息安全主题的培训,并通过各种案例进行演示。 人们应该理解,与私人联系人发送的逗猫链接可能会威胁业务。 商业信息安全链中最薄弱的环节是人,而不是软件或硬件。
但是应该对硬件和软件进行保护。 这些是软件防病毒软件,防火墙或“铁”
防火墙(如ZyWALL ATP500) ,可提供多层保护的多层保护。 这样的系统不仅可以阻止已知威胁,还可以阻止未知威胁(零日威胁),并可以阻止中级DDoS。 根据企业网络的规模及其财务能力,可以使用Zyxel ATP200,ATP500或ATP800型号。
在任何公司的工作严重依赖于计算机和软件(包括云服务)的公司中,都应该有详细的信息安全策略。 这不仅是疏散计划旁边的纸。 该策略的制定意味着建议的措施应在“现场”进行测试,有必要与员工进行培训和讲习班。 所有这些都不会排除,但会大大减少对公司业务构成威胁的信息威胁。