Черви-вымогатели и крысы-шпионы: Cisco о ключевых киберугрозах 2020-21

Шифровальщики: смена поколений

Программы-шифровальщики (ransomware), по мнению Cisco, по-прежнему остаются главной проблемой компаний с точки зрения безопасности. «Это одно из немногих направлений деятельности хакеров, которые заметны и которые приносят злоумышленникам немалую прибыль. На криптокошельках только одной из хакерских группировок, которые мы зафиксировали, после всего лишь нескольких атак накопилось около 187-190 биткоинов – при нынешнем курсе это миллионы долларов, – говорит бизнес-консультант по безопасности Cisco Алексей Лукацкий. – Мы считаем, что в 2021 году активность шифровальщиков возрастет, их число станет еще больше, тактики злоумышленников станут еще разнообразнее».

 

 

По мнению эксперта, если APT-атаки (Advanced Persistent Threat, сложные целевые атаки – прим. ред.) направлены в основном на кражу данных, то ransomware еще и «оставляют после себя выжженное поле»: приводят инфраструктуру своих жертв в неработоспособное состояние. Компаниям приходится не только выплачивать мошенникам выкуп (по данным Cisco, более четверти компаний, ставших жертвами программ-вымогателей, предпочитают выплатить выкуп), но и восстанавливать инфраструктуру.

Компании по всему миру атакуются программами-вымогателями каждые 14 секунд, свидетельствуют отчеты Cisco. При этом за редким исключением хакерские группировки стараются оставаться в тени и не привлекать внимание к своей деятельности.

 

Алексей Лукацкий, бизнес-консультант по безопасности Cisco

 

Усугубляет проблему то, что стоимость ransomware в даркнете сегодня очень «демократична», пакет вредоносного ПО Ransomware Kit оценивается в 50 долларов. «Эта пролема, на мой взгляд, будет только нарастать, особенно в условиях связанного с пандемией глобального экономического кризиса, когда люди теряют работу и идет определенное перетекание на темную сторону, ряды киберпреступников пополняются», – замечает Алексей Лукацкий.

В связи со снижением активности дропперов – людей, которые привлекаются для обналичивания украденных денежных средств – в 2020 году хакерские группы, которые ранее были задействованы в атаках на финансовые организации и занимались выводом незаконно переведенных и похищенных денежных средств, сменили модель поведения. Они стали продавать доступ в сети жертв операторам шифровальщиков. Другая тенденция 2020 года – злоумышленники научились зарабатывать даже на тех жертвах, которые отказывались платить выкуп: при таком сценарии конфиденциальная информация выкладывается в публичный доступ. Угроза опубликования чувствительной информации компании стала таким же эффективным средством шантажа, как и угроза потери данных.

В Cisco отмечают также, что число атак на рядовых пользователей в 2020 году сократилось, а число атак на предприятия, наоборот, возросло. Это связано с тем, что пользователи-физлица стали меньше пользоваться ПК, переходя на мобильные устройства, а критичные данные зачастую резервируют в облаке. Кроме того, популярность общения по электронной почте (основной канал заражения) падает, его место занимают мессенджеры. Для предприятия же необходимость оплаты выкупа чаще всего диктуется бизнес-логикой и рассматривается как обычная статья расходов: заплатим миллион чтобы не потерять десять. Кроме того, всё больше распространяется практика страхования от киберрисков, которая во многих случаях позволяет бизнесу сократить потери.

 

 

К основным семействам вымогателей, действующих в прошлом году, Cisco относит Maze, Sodinokibi, Ryuk, DoppelPaymer и ряд других. При этом их жизненный цикл редко превышает 1-2 года, после чего на смену им приходят более продвинутые версии с более широким функционалом. Так произошло с «законодателем мод» на рынке ransomware – семейством вредоносного ПО Maze. Первое упоминание о нем относится к маю 2019 года, а уже в октябре 2020 года владельцы Maze объявили о прекращении его деятельности. Впрочем, операторы ransomware, которые использовали Maze, быстро перешли на более продвинутое семейство программ-шифровальщиков – Egregor.

Именно владельцы Maze, распрострающегося, как и многие другие, через фишинговые e-mail, первыми стали публиковать украденные данные – практика, которую переняли владельцы других шифровальщиков. И именно владельцы Maze создали картель производителей шифровальщиков для обмена тактиками заражения и украденными данными.

 

 

«Была, по сути, создана биржа украденных данных, которой могли пользоваться владельцы разных шифровальщиков. Киберпреступность становится всё более организованной, противостоять ей в одиночку становится очень сложно. И несмотря на то, что масштаб операций Maze после объявления о его закрытии снизились, другие шифровальщики быстро занимают освободившуюся нишу. Операторы ransomware переходят на новые разновидности вредоносного кода», – объясняет Алексей Лукацкий.

По данным Cisco, в 2020 году злоумышленники применяли новые тактики атак на корпоративные сети посредством программ-вымогателей: например, встраивали в вирусное ПО таймеры обратного отсчета, угрожая окончательным уничтожением данных или запуском атаки Big Game Hunting –

когда зараженная система используется как плацдарм для дальнейшего доступа к сети и захвата дополнительных систем жертвы. Участились также рассылки с объявлениями о продаже, в которых преступники продают другим злоумышленникам доступ к различным сетям.

В исследовании Cisco 2021 Security Outcomes Study упоминаются две передовые практики борьбы с вымогателями: проактивное обновление ИБ-технологий и обеспечение интеграции ИБ-систем, в том числе, с широким спектром сторонних решений. Эти практики способствуют созданию сильной внутрикорпоративной культуры обеспечения информационной безопасности, подбору талантливых сотрудников СБ, поддержанию рентабельности ИБ-программы. «Другими методами являются точное обнаружение угроз, своевременное реагирование на инциденты и эффективное использование автоматизации. Важными факторами успешного обеспечения кибербезопасности также являются соблюдение принципа нулевого доверия (zero trust) и тщательная инвентаризация активов: невозможно по-настоящему обезопасить то, о чем не подозреваешь», – сообщают в Cisco.

Многофункциональные трояны

Трояны, или RAT (Remote Access Trojan) – еще один актуальный тренд 2020-21 годов. В отличие от шифровальщиков, это вредоносное ПО нацелено на то, чтобы незамеченным оставаться в инфраструктуре жертвы как можно дольше и вытягивать из нее данные. Объем украденных таким образом данных может превышать несколько гигабайтов – они используются злоумышленниками в несанкционированной деятельности или продаются на черном рынке.

 

 

В 2020 активизировалась сеть распространения вредоносного кода Emotet. Изначально этот троян разрабатывался как банковский, но год назад трансформировался в сеть доставки вредоносного контента – не только банковских троянов, но и ransomware. 

«Современный троянец похож на швейцарский нож: его модульная архитектура и возможности во многом сопоставимы с полноценным ПО, только со знаком «минус»: возможность загрузки новых модулей, различные способы коммуникации с командными серверами, запись аудио и видео через веб-камеру ПК или планшета, запись звука со звуковой карты (например, тех же конференц-коллов), перехват ввода с клавиатуры, кража логинов-паролей, выгрузка данных. Модульность – один из признаков развития вредоносного кода. Обычно троянцы содержат 10-15 модулей, но известны случаи, когда число этих модулей достигало 70-80», – замечает Алексей Лукацкий.

Удаленка как повод усилить ИБ

Популярная в 2020 году технология удаленных рабочих столов так же является предметом большого интереса для злоумышленников – во многом из-за уязвимостей встроенного в ОС Windows протокола  RDP (remote desktop protocols), содержащего ряд уязвимостей. Одна из них – уязвимость BlueKeep, найденная еще в 2019 году, но используемая злоумышленниками до сих пор из-за несвоевременного обновления корпоративного ПО. По данным Cisco, в Интернете сегодня расположены миллионы систем, которые могут быть подвержены атакам через RDP. Опрос Cisco Secure Desctop показал, что около трети организаций фиксировали в своей сети сигналы тревоги, связанные с RDP, и более 80% из них были связаны с уязвимостью BlueKeep.

 

 

К числу рисков, связанных с уязвимостями RDP-протокола, относят кражу идентификационных данных, атаку man-in-the middle («атака посредника», когда злоумышленник внедряется в канал связи между двумя сторонами) и дистанционное выполнение кода. «Любое решение для удаленных рабочих столов в случае компрометации предоставляет злоумышленнику доступ к ресурсам организации. Компании, в которых применяется протокол RDP, должны предпринять дополнительные меры защиты, чтобы обезопасить себя и своих сотрудников», – поясняют в Cisco. Эксперты компании рекомендуют не пользоваться RDP непосредственно через Интернет (необходимо установить VPN-соединение), использовать многофакторную идентификацию и блокировать доступ после разумного числа неудачных попыток.

Новые угрозы

К новым угрозам безопасности, появившимся или получившим актуальность в 2020 году, можно отнести атаки на организации сферы здравоохранения и АСУТП, а также использование мотивов COVID-19 для фишинга.

 

 

Так, на фоне вспышки пандемии, сфера здравоохранения стала особенно критичной с точки зрения защиты от киберугроз: от действий злоумышленников могут зависеть жизнь и здоровье пациентов. Большой проблемой стали унаследованные и устаревшие технологии. Глобальный отчет по кибербезопасности  Cisco 2021 Security Outcomes Study, в котором приняли участие 4800 специалистов в области ИБ, ИТ и защиты конфиденциальности из 25 стран, подтвердил, что эффективное взаимодействие ИТ- и ИБ-служб в сфере здравоохранения повысило способность организаций избегать серьезных инцидентов в среднем почти на 16% и минимизировать незапланированные и ресурсоемкие работы в среднем на 20%.

 

 

С марта 2020 года злоумышленники начали активно использовать слова covid, corona, coronavirus, mask или похожие на них – в доменах, созданных для заражения ПК пользователей или перенаправления их на скомпрометированные сайты. «Например, в Рунете за первые недели после массового перехода на удаленку мы зафиксировали взрывной рост доменов, в названии которых использовались слова coronavirus, covid или mask. Причем в доменах со словом coronavirus оказалось больше половины вредоносных. Таким образом, злоумышленники используют любой информационный повод для того, чтобы привлечь жертв на свои ресурсы, а затем различными способами заразить их устройства», – говорит Алексей Лукацкий.

Важно понимать, что злоумышленники осуществляют свои действия не с помощью каких-то сверхсекретных инновационных технологий, а зачастую пользуются уязвимостями или в поведении пользователей, или в инфраструктурных решениях, операционных системах.

Наконец, в 2020 году были зафиксированы атаки на АСУТП, которые, впрочем, пока не носят взрывного характера и осуществляются не на сами промышленные системы, а в основном на «офисные» системы промышленных предприятий.

Автор: Андрей Блинов.

Тематики: Безопасность

Ключевые слова: Cisco, информационная безопасность