И последние станут первыми
Компания HP Inc опубликовала результаты своего глобального исследования Threat Insights Report за первое полугодие 2021 г., содержащие анализ произошедших атак и используемых уязвимостей в сфере кибербезопасности. Полученные данные указывают на значительный рост в количестве и изобретательности киберпреступлений в период со второй половины 2020 г. по первую половину 2021 г. Также злоумышленники стали на 65% чаще использовать хакерские инструменты, загружаемые с теневых форумов и файлообменников.
Кибераналитики отметили, что активно применяемые хакерами инструменты оказались на удивление эффективными. Например, один из таких инструментов позволял обходить защиту CAPTCHA при помощи технологий компьютерного зрения, а именно оптического распознавания символов (OCR), что позволяло злоумышленникам выполнять атаки на веб-сайты c заполнением учетных данных пользователей. Отчет показал, что киберпреступность приобрела еще более организованный характер, в том числе благодаря даркнет-ресурсам, которые выступают идеальной платформой для злоумышленников, где они могут налаживать сотрудничество друг с другом, обмениваться идеями о тактиках, методах и процедурах для осуществления атак.
Среди наиболее заметных угроз, выявленных исследовательской группой HP Wolf Security, можно отметить атаки, использующие распространение вредоносного спама под видом резюме и нацеленные на судоходные, морские, логистические и связанные с ними компании в семи странах мира, а также атаки с использованием VBS-загрузчика, нацеленные на руководителей компаний.
В исследовании сообщается также, что 75% обнаруженных вредоносных программ попали на компьютеры жертв через электронную почту, а 25% были загружены из сети Интернет. Количество угроз, проникающих в систему с помощью веб-браузеров, выросло на 24%, частично за счет загрузки пользователями инструментов взлома, а также программного обеспечения для майнинга криптовалют. Самыми распространенными типами вредоносных вложений стали архивные файлы (29%), электронные таблицы (23%), документы (19%) и исполняемые файлы (19%).
"Экосистема киберпреступности продолжает развиваться и трансформироваться, предлагая мелким киберпреступникам еще больше возможностей для взаимодействия с более серьезными игроками и хакерскими командами, а также для загрузки передовых инструментов, способных обойти действующие системы защиты от взлома. Мы видим, что хакеры адаптируют свои методы для улучшения монетизации, продавая доступ к уязвимым системам организованным преступным группам, чтобы те могли проводить более изощренные атаки на предприятия. Штаммы вредоносных программ, таких как CryptBot, ранее представлявших опасность только для пользователей, хранивших на своих ПК криптокошельки, теперь представляют угрозу и для бизнеса. Мы видим, что хакеры распространяют вредоносное ПО, управляемое организованными преступными группировками, которые, как правило, предпочитают использовать вирусы-вымогатели для монетизации полученного доступа", - отметил старший аналитик по вредоносному ПО в HP Inc Алекс Холланд.
Директор по ИТ компании Oberon Дмитрий Пятунин рассказал, что реализация атаки выполняется в зависимости от задачи и квалификации хакера. По его словам, опытные команды киберпреступников используют самописные решения и заготовки. "Готовые решения применяются низкоквалифицированными "специалистами" и нацелены на уязвимости распространенных инфраструктурных решений. То есть популярные сборки решений и конструкторы вирусов могут быть применены для объектов атаки, использующих неактуальную систему защиты - например, с отсутствием заплаток для опубликованных в профессиональных сообществах уязвимостей", - объяснил Дмитрий Пятунин.
Он подчеркнул, что в 2020 г. многие компании вынужденно и поспешно переводили сотрудников на удаленную работу, тем самым открыли "ходы" в инфраструктуру. "К сожалению, не всегда примененные решения соответствовали актуальному уровню защиты. Данная ситуация не могла не отразиться на статистике атак - их рост составил 40%, со стороны команд киберпреступников среднего и низкого уровня квалификации, эксплуатирующих описания известных уязвимостей с использованием готового инструментария. Прогнозируемо снижение роста низкоквалифицированных атак до обычных показателей по мере адаптации решений удаленного доступа и возвращения сотрудников в офисы. Данный тренд стоит рассматривать как кризис информационной безопасности, спровоцированный группой негативных факторов, в том числе пандемией", - считает Дмитрий Пятунин.
Руководитель группы анализа угроз информационной безопасности Positive Technologies Вадим Соловьев отметил, что вредоносное ПО, которое злоумышленники различными способами доставляют на ПК жертвы, обычно решает одну из двух ключевых задач: обеспечение доступа к удаленному ПК или кража данных. При этом, по его словам, сегодня можно ставить знак равенства между взломом рабочей станции сотрудника и предоставлением доступа злоумышленникам ко всей сетевой инфраструктуре компании и связанным с ней через доверенные VPN-соединения партнерам. "К таким последствиям компрометации рабочей станции одного сотрудника привело развитие теневого рынка преступных киберуслуг, и в частности появление рынка доступов. Озвученный нами в прошлом году прогноз, что новички во взломе понесут добытые доступы на торговые площадки в дарквеб, сбылся. У злоумышленников появилась новая специализация - "добытчики доступов" (Initial Access Brokers), которые обеспечивают опытные и состоятельные преступные группировки постоянным притоком точек входа в различные организации по всему миру", - сообщил Вадим Соловьев. По его оценке, стоимость подобных доступов может варьироваться от нескольких десятков до десятков тысяч долларов США. Все зависит от размера компании и уровня привилегий в инфраструктуре, который обеспечивается доступом.
"В итоге если сетевой периметр будет взломан новичком, в локальной сети атаковать будут уже профессионалы. Они обладают всеми ресурсами для достижения цели - реализации самых опасных для компании событий: от кражи денег со счетов до полной остановки бизнес-процессов на длительное время. А значит, и выстраивать систему защиты от кибератак необходимо с учетом новых реалий", - рассказал Вадим Соловьев.