Последние годы были очень успешными для киберпреступников и это позволило им накопить значительные ресурсы для будущих атак. Однако противодействие киберпреступности становиться все более мощным, давление на них со стороны правоохранительных органов усиливается. Про тенденции на рынке информационной безопасности рассказывает Ондрей Кубович, специалист по кибербезопасности компании ESET.
PCWeek/UE: Какие тенденции в области информационной безопасности за последние годы вы можете выделить?
Ондрей Кубович:По нашим данным, среди наиболее заметных киберугроз — атаки с подборами пароля, нацеленные на неправильно настроенные или плохо защищенные общедоступные службы RDP и SQL, при этом первые сталкиваются с десятками миллиардов, а вторые — с десятками миллионов попыток атак в месяц (в среднем). Эти службы обычно являются лишь первым этапом на пути злоумышленников. Далее они пускают в дело другие вредоносные программы, например, ботнеты, средства хищения информации и программы-вымогатели, притом последние получили наибольшее распространение. Поскольку многие офисные сотрудники работали из дома, число фишинговых и вредоносных электронных писем также росло благодаря применению таких приманок, как вакцинация от COVID, поддельные уведомления о доставке (DHL) и запросы на оплату (счета, покупки, заказы, банковские сообщения), поддельные страницы входа в систему, имитирующие популярное программное обеспечение (например, приложения Office 365, DocuSign).
Что касается положительных тенденций, то мы наблюдаем заметное снижение числа вредоносных макросов для MS Office, доставляемых по электронной почте. Это привело к снижению числа загрузчиков и дропперов. Кроме того, в результате недавней серии успешных захватов и арестов был обезврежен один из самых известных и опасных ботнетов (Emotet).
Стоит подробнее проанализировать наиболее заметную сферу деятельности киберпреступников — ransomware (программы-вымогатели). За последний год исследователи ESET выявили некоторые изменения, которые сделали злонамеренные действия этих банд намного более прибыльными.
Во-первых, это нововведение в технике вымогательства, используемой для давления на своих жертв — группа Maze добавила доксинг или двойное вымогательство. То есть, помимо шифрования данных жертвы, злоумышленники также крадут конфиденциальную информацию и угрожают ее опубликовать. В конце 2019 года, увидев эффективность метода, многие другие преступные группы последовали ему в начале 2020 года. Далее эти техники атаки были значительно расширены за счет все большего количества уровней вымогательства и психологического давления на жертв. Впрочем, ни один из них не был настолько влиятельным, как доксинг.
Вторая причина, которая сделала программы-вымогатели заметными — рост цен на криптовалюты, что в сочетании с более высокими и даже странными требованиями выкупа привело к резкому увеличению доходов групп киберпреступников.
Третьей причиной, повлиявшей на распространение программ-вымогателей, а также на другие типы деятельности киберпреступников, стала работа из дома в условиях пандемии. В результате этого миллионы (если не миллиарды) новых целей стали доступны через интернет, ведь многие из удаленных рабочих мест были созданы в спешке, неправильно настроены, без каких-либо ограничений или с минимальной защитой. Важно отметить, что защита сетей от угроз, таких как программы-вымогатели — непростая задача, поскольку для этого требуется не только соответствующее программное обеспечение, но и квалифицированные специалисты по ИТ-безопасности. Каждая ошибка конфигурации предоставляет злоумышленникам шанс для атаки, а ведь киберпреступники обладают хорошими техническими навыками и способны найти эти ошибки и далее взломать устройства или даже целые сети.
Конечно, все вышеописанное – лишь часть событий, которые привели к созданию условий для «идеального шторма», наблюдаемого сегодня. Получение больших денег (например, группа Sodinokibi утверждает, что заработала 100 млн долл в 2020 году, Ryuk — 150 млн долл в 2020 году) позволило бандам вымогателей и их подельникам расширить бизнес-модель ransomware до поставки в виде услуги (RaaS), модернизировать свою инфраструктуру, приобрести краденные пароли и, возможно, даже получить доступ к неведомым пока что уязвимостям нулевого дня, что еще больше затруднит борьбу с ними.
Важно отметить, что такая активная и наглая деятельность привела к серьезным последствиям. В этом году банды вымогателей осмелились (или просто сделали это по неосторожности) атаковать стратегически крупные цели, такие как американская трубопроводная система Colonial Pipeline. Тем самым они стали громкой темой обсуждения для политиков и законодателей ведущих стран мира, что впоследствии привело к повышенному вниманию к ним правоохранительных органов, частных компаний и других организаций.
И мы уже видим некоторые результаты. Усиление давления правоохранительных органов на группу DarkSide после инцидента с Colonial Pipeline вынудило преступников провести ребрендинг, кроме того, они потеряли часть денег, которые уже поступали на их счет (ФБР смогло отозвать большую часть уплаченной суммы). Также были арестованы несколько операторов программ-вымогателей (Cl0p, Egregor, Netwalker и, возможно, даже некоторые участники Sodinokibi / REvil). Правоохранительные органы также смогли получить ключи дешифрования для атаки Kaseya с серверов Sodinkoibi (REvil) и помочь ее жертвам. Это давление могло стать причиной того, что несколько банд (например, таких как Avaddon, Ragnarok) отозвали свои требования и выпустили ключи дешифрования в мае-августе 2021 года.
PCWeek/UE: Что влияет на формирование трендов в области ИБ? Например, мы знаем, что сегодня растет число программ-вымогателей, вчера увеличивалось число банковских троянов, и т. д. С чем это связано? Каким образом киберпреступники выбирают сегмент, в котором они будут орудовать?
О. К: Основная причина внезапного роста того или итого направления — почти исключительно деньги. Если один сегмент вредоносной деятельности демонстрирует низкий риск и большие доходы, он почти наверняка привлечет новых игроков. В качестве примера можно привести майнинг криптовалюты в 2018 году, который, казалось, сделал атаки программ-вымогателей малорентабельными и невыгодными. Затем цена биткойнов упала, и вместе с ним упал интерес киберпреступников к майнерам. Все это, как мы теперь знаем, расчистило почву для массового возвращения вымогателей в конце 2019 года.
PCWeek/UE: Объемы ПО растут. Теперь даже машина или автобус насыщены компьютерной электроникой под завязку. Можно ли прогнозировать, что за счет расширения количества различного программного обеспечения увеличится и число эксплойтов?
О. К: Для меня это два разных вопроса. Во-первых, Интернет вещей, то есть подключение к интернету практически всего, включая автобусы и автомобили, — это постоянная тенденция, которая создает большой риск для кибербезопасности в будущем. Проблема в том, что значительное количество даже новейших устройств IoT плохо защищено, там игнорирована большая часть современных знаний о компьютерной/мобильной безопасности. Вот почему мы до сих пор видим ботнеты IoT, такие как Mozi, которые за несколько месяцев накапливают сотни тысяч новых ботов, распространяясь через давние уязвимости безопасности. В настоящее время эта проблема в основном проявляется в маршрутизаторах и другой небольшой электронике, в меньшей степени — в автомобилях и автобусах. Но с прогнозируемым всплекском Интернета вещей в ближайшие годы, появлением сетей 5G и других технологий, цифровой мир изменится, что наверняка откроет дверь для новых типов угроз.
Второй вопрос касается уязвимостей в целом. Существует множество «традиционных» устройств, таких как конечные точки, серверы и базы данных, которые доступны в интернете и гораздо более интересны злоумышленникам, поскольку они уже содержат конфиденциальные, личные или другие данные, которые могут быть украдены, проданы, использованы для вымогательства и др. Другими словами, там уже есть информация, которую можно монетизировать.
Сегодня такие цели могут быть атакованы разными способами, хотя 2020 и 2021 годы показали нам, что некоторых из наиболее серьезных случаев можно было бы избежать, если бы жертвы вовремя исправили настройки своих VPN, удаленного доступа или других систем.
Например, банды вымогателей использовали недавно выпущенные уязвимости в VPN или ProxyLogon (цепочка уязвимостей в серверах MS Exchange) для компрометации своих жертв. Судя по данным ESET, в 2021 году угадывание пароля было вектором внешней сетевой атаки номер один (53%), за ним следовали ProxyLogon (22%) и бэкдор DoublePulsar (10%). И это только первая тройка, сам список намного длиннее.
Миллионы долларов, полученные киберпреступниками с помощью ransomware в 2020 и 2021 годах, сделали их достаточно богатыми, чтобы теперь покупать уязвимости нулевого дня у других игроков и тем самым усложнять в будущем работу служб киберзащиты.
Чтобы ответить на вопрос, увеличится ли количество эксплойтов, я процитирую статью из MIT Technology Review, которая указывает, что в 2020 году эксплуатировалось наибольшее число уязвимостей нулевого дня в реальной среде (in the wild). Поскольку ресурсы и мотивация со временем только растут, мы не ожидаем, что эта тенденция изменится в обозримом будущем.
PCWeek/UE: Что, на ваш взгляд, изменится в сфере информационной безопасности в ближайшем будущем? Возможно некоторые виды киберугроз по какой-то причине действительно исчезнут? Ведь спам как угроза, хоть и не исчез полностью, но его количество значительно уменьшилось.
О. К: Как я уже упоминал в одном из предыдущих вопросов, существует так много факторов, которые способны повлиять на ландшафт угроз, что почти невозможно предсказать, как будет дальше. Судя по данным, собранным телеметрией ESET в период с января 2020 года по август 2021 года, кажется, что атаки с подборами пароля продолжатся и, вполне возможно, в ближайшие месяцы даже усилятся.
Что касается программ-вымогателей, то с начала 2020 года банды киберпреступников заработали много денег, что позволило им улучшить свою инфраструктуру и протестировать новые подходы, а также покупать и злоупотреблять уязвимостями нулевого дня. Вряд ли в этой сфере стоит ожидать позитивных перемен, скорее всего, в обозримом будущем ситуация даже немного ухудшится.
Поскольку серьезность ситуации поместила информационную безопасность в число главных приоритетов, правоохранительные органы также начали применять более проактивный подход к предотвращению и раскрытию киберпреступлений. Мы видели более глобальные операции, такие как обезвреживание Emotet. В США ФБР даже проникло в уязвимые бизнес-сети по всей стране и удалило вредоносные веб-оболочки из скомпрометированных уязвимостей MS Exchange Server. Возможно, в будущем мы увидим больше примеров такого активного подхода.
Еще одна возрастающая категория угроз — это вредоносные программы, связанные с кражей информации. Этот термин объединяет многие семейства, такие как загрузчики, банковские вредоносные программы, бэкдоры, шпионское ПО и другие, поскольку многие из них приобрели и усилили свои возможности, чтобы стать еще более мощными и зарабатывать больше денег. Отличным примером того, насколько устойчивыми и находчивыми могут быть эти угрозы, является TrickBot. Этот ботнет был обезврежен в конце 2020 года, сейчас его пытаются восстановить, улучшая старые модули и внедряя новые, с расширением инфраструктуры управления и контроля. Кроме того, в мае-августе 2021 года его создатели, похоже, даже разработали свои собственную программу-вымогатель (Diavol). Это слияние различных категорий вредоносных программ и формирование единого универсального «сверхвредоносного ПО» — еще одна тенденция, которая сохранится.
Важный внешний фактор, который, судя по всему, оказывает существенное влияние на ландшафт угроз —цены на криптовалюты. Каждый раз их подъем разжигает новую киберпреступную деятельность. Это не означает, что криптовалюта допускает только незаконные транзакции, но между ними существует корреляция (что наглядно проиллюстрировано тенденцией майнинга с помощью вредоносных программ летом 2021 года).