Сканирующие ботнеты – новый тренд в киберпреступности

Специалисты компании Palo Alto Networks выявили, что злоумышленники последнее время всё чаще переходят к так называемым «сканирующим атакам», инициируемым вредоносным ПО, для выявления уязвимостей в целевых сетях. Причём источником львиной доли таких атак являются легитимные устройства в безопасных сетях. Как же хакерам удаётся столь ловко обводить киберэкспертов вокруг пальца?

В компании отмечают, что для проведения массовых сканирований из безопасных и доверенных сетей, хакеры предварительно проникают в эти сети и заражают их вредоносным ПО. Только эти вредоносы, которые по своему принципу работы являются простыми ботнетами, не проводят DoS-атаки и не майнят криптовалюту, а массово сканируют Интернет на наличие уязвимых к новонайденным способам компрометации устройств.

Использование легитимной инфраструктуры позволяет хакерам анонимно определять уязвимости в самых разных сетях, обходя при этом любые географические ограничения.

Как отмечается, заражённые устройства используются для генерации гораздо большего количества запросов сканирования, чем это могли бы делать злоумышленники, используя только своё собственное оборудование.

Это даёт хакерам ускоренное выявление перечня потенциальных целей и больший временной промежуток для проведения атак, особенно в отношении крупных компаний, которые ответственно относятся к вопросам кибербезопасности, устраняя уязвимости максимально быстро.

В качестве основных признаков подозрительной активности таких «вредоносных сканирований» специалисты отметили необычно высокий объём запросов и использование узнаваемых вредоносных сигнатур, часто используемых злоумышленниками.

В рамках мониторинга сетевого трафика специалистами Palo Alto Networks были выявлены новые модели сканирования, а также использование неизвестных ранее URL-адресов в качестве каналов доставки вредоносного ПО, используемых также для функционирования командных серверов.

Анализ вредоносной активности показывает, что популярные ботнеты, такие как Mirai, активно интегрируют новые уязвимости для распространения, что подчёркивает необходимость своевременного обновления систем обнаружения и блокировки атак.

Так, например, после распространения в январе информации о наличии zero-day уязвимостей в продуктах Ivanti — был тут же зафиксирован резкий рост числа сканирований, что указывает на повышенный интерес киберпреступников к свежеобнаруженным уязвимостям.

Специалисты Palo Alto Networks подчёркивают, что благодаря передовым системам мониторинга и быстрому реагированию, организации могут вовремя выявлять и нейтрализовывать эти угрозы, защищая свои критически важные активы. Ключ к успеху — постоянное совершенствование средств кибербезопасности и отлаженное информирование о новых угрозах, чтобы успеть подготовить свои сети к актуальным рискам.