Эксперты Positive Technologies рассказали о том, какие тенденции кибербезопасности сложились в 2020 году, а также поделились своими прогнозами на будущее. В числе ключевых тенденций, сформировавшихся в 2020 году, эксперты Positive Technologies отметили следующие:
- Обратная сторона «удаленки». Переход на удаленный режим работы спровоцировал во всем мире рост числа атак, направленных на эксплуатацию уязвимостей в корпоративных сервисах, доступных из интернета. Ведь компании в срочном порядке выводили сервисы на периметр. Выросло число узлов российских компаний с доступным для подключения RDP. Как следствие, доля атак с эксплуатацией уязвимостей в ПО и недостатков конфигурации ближе к концу 2020 года выросла до 30% (в I квартале было 9%). Еще один тренд, появившийся на фоне пандемии, — атаки, направленные на кражу учетных данных для подключения к системам аудио- и видеосвязи Skype, Webex и Zoom, а также вмешательство в конференции.
- Бум шифровальщиков. В течение 2020 года мы наблюдали постоянное увеличение числа атак шифровальщиков. Если в первом квартале для организаций доля шифровальщиков в атаках с использованием ВПО составляла 34%, то в третьем квартале она достигла 51%. Операторы шифровальщиков все реже проводят массовые атаки, они целенаправленно выбирают крупные компании, которые в состоянии заплатить большой выкуп, или организации, для которых приостановка деятельности опасна, и наносят точечные удары.
- Атаки на цепочку поставок. Настоящей болью в 2020 году стали supply chain attacks. В нашей практике мы сталкивались с такими же атаками на разработчиков ПО, разработчиков средств защиты, на IT-интеграторов, подрядчиков IT-компаний, на порталы государственных организаций в различных странах. Уровень защищенности крупных компаний повышается, и их становится все сложнее взламывать, особенно если целью злоумышленников является долговременное присутствие, а не разовая атака. И поэтому APT-группировки все чаще стали атаковать партнеров и поставщиков жертвы. Защититься от подобных атак очень сложно, это под силу только высококлассным специалистам в области ИБ.
- Выкуп за неразглашение. Шантаж публикацией данных в случае отказа жертвы платить выкуп поставлен на поток. Наибольшую активность в таких атаках в 2020 году проявили операторы Maze, Sodinokibi, DoppelPaymer, NetWalker, Ako, Nefilim, Clop. Для продажи похищенных данных многие операторы шифровальщиков сделали собственные сайты и даже организуют аукционы по продаже украденных данных. Тренд на требование выкупа за неразглашение похищенных данных подхватили и другие злоумышленники. Так, взломщики интернет-магазинов предлагают жертвам заплатить выкуп, чтобы преступники не продавали данные третьим лицам.
- Доступ на продажу. Киберпреступники покупают доступы в организации-жертвы у других злоумышленников. Одними из первых по такой схеме стали действовать операторы шифровальщиков, они предлагают сотрудничество, ищут партнеров для распространения их трояна-вымогателя и обещают своим подельникам долю от суммы выкупа. Рынок доступов к сетям компаний в дарквебе позволяет зарабатывать низкоквалифицированным хакерам, которые могут ограничиться поиском уязвимостей на внешних ресурсах компаний с целью продажи.
- Проблемы промышленного сектора как на ладони. Растет число атак на промышленные и энергетические компании. В 2020 году было зафиксировано около 200 атак на предприятия из этих отраслей, что почти на 60% больше, чем в 2019 году (125 атак). В девяти из десяти атак на промышленность злоумышленники использовали вредоносное ПО. На долю шифровальщиков пришлось 38% атак, а шпионское ПО было замечено в 30% случаев. В начале года внимание многих специалистов по кибербезопасности привлек новый шифровальщик Snake, который умеет удалять теневые копии и останавливать процессы, связанные с работой промышленных систем управления. Первыми жертвами Snake стали автомобильный производитель Honda и гигант ТЭК — компания Enel Group. Сегодня регулярно появляется информация о взломах крупнейших энергетических и производственных компаний по всему миру. Такие атаки сложно скрыть, а определить их источник очень просто: преступники сами сообщают о взломе и требуют выкуп.
- Злоумышленники нацелились на логические уязвимости в банковских приложениях. В 2020 году мы увидели положительную динамику по обеспечению безопасности банковских веб-приложений, а именно тенденцию к переходу на микросервисную архитектуру, повышающую отказоустойчивость системы, и уменьшение количества стандартных веб-уязвимостей (XSS, SQLi, RCE). Из негативных стоит отметить тенденцию к увеличению числа логических уязвимостей, которые могут привести к краже денежных средств, получению преступниками дополнительной информации о пользователях, отказу в обслуживании. Таким образом, злоумышленники сейчас нацелены не на полную компрометацию системы банковского веб-приложения, а на логические уязвимости.
Среди возможных негативных сценариев 2021 года эксперты Positive Technologies отмечают:
- Эксплуатация темы COVID-19 и новые методы фишинга. Мы ожидаем, что в 2021 году будут совершенствоваться методы социальной инженерии, эксплуатирующие темы, связанные с обстановкой в мире, в частности тему COVID-19: к примеру, одной из популярных схем могут стать сайты, на которых мошенники будут предлагать заказать препараты для лечения коронавируса, записаться на платную вакцинацию, получить справку о прохождении вакцинации и т.п. Можно ожидать также, что фишинг станет более индивидуальным, злоумышленники будут выходить на жертв через мессенджеры и социальные сети. Для преодоления корпоративных средств защиты взлом все чаще будет производиться через домашние компьютеры работников.
- Рост числа киберпреступных картелей и появление новых площадок в дарквебе. В следующем году мы, вероятно, увидим новые объединения киберпреступников и площадки для продажи украденных данных. Скорее всего, шифровальщики сохранят отработанную в 2020 году стратегию шантажа: запрашивать выкуп за восстановление работоспособности инфраструктуры и отдельно — за то, чтобы преступники не продали или не опубликовали украденные данные.
- Интерес хакеров к крупным компаниям и рост размеров выкупа. Преступники продолжат атаковать промышленные предприятия и будут ориентироваться на как можно более крупные организации, в то же время предпочитая придерживаться наименьших затрат на взлом или на покупку готового доступа в инфраструктуру. Стоит ожидать, что мы услышим о множестве утечек и об остановке производств и в 2021 году. Скорее всего, повысится и размер выкупов, сегодня в отдельных случаях он уже составляет десятки миллионов долларов, но увеличение числа жертв, готовых платить, лишь стимулирует преступников. Будут появляться и новые группы атакующих, они продолжат кооперироваться и зарабатывать на уязвимости промышленных организаций.
- Шквал новых аппаратных уязвимостей. Исследователи в 2020 году получили уникальную возможность заняться наконец чистыми исследованиями, не тратя время на подготовку к конференциям и другим мероприятиям, и это обязательно найдет свое отражение в ближайшее время.
Массовая удаленная работа не могла не сказаться на состоянии кибербезопасности как бизнеса и госучреждений, так и обычных пользователей. Социальная инженерия стала часто применяться для проникновения в сети организаций. Глобальный новостной повод — пандемию — использовали все типы хакерских группировок. С темой COVID-19 были связаны как массовые, так и APT-атаки, число которых продолжило расти в 2020 году. При этом, как отмечают эксперты Positive Technologies, пандемия, несомненно, способствовала ускоренной цифровизации. Появление новых электронных сервисов обязательно заинтересует преступников и потребует особого внимания с точки зрения ИБ. Выходом из создавшегося цифрового коллапса могут стать специализированные киберполигоны, созданные для тестирования объектов инфраструктуры, сервисов и технологий в безопасной среде, считают эксперты.
«Многие компании пересмотрели свое отношение к удаленному режиму работы. Если в начале 2020 года организациям пришлось спешно переводить сотрудников на работу из дома, то в 2021 году у них появится возможность сделать работу над ошибками, предусмотреть в бюджете средства на обеспечение защиты, организовать работу с учетом лучших практик ИБ. Сегодня компании не могут игнорировать риски: растет заинтересованность в оценке реальных последствий от возможных киберугроз. Появляется множество площадок, предлагающих провести разного рода учения, и наиболее эффективны киберучения на основе цифровой модели организации, соответствующей реальной инфраструктуре. Моделирование бизнес-рисков на киберполигоне обещает стать одним из основных трендов ИБ в ближайшем будущем», — отмечает Алексей Новиков, директор экспертного центра Positive Technologies (PT Expert Security Center).