Еволюція кіберзагроз у 2021 році та стан кібербезпеки у 2022

У 2021 році кіберзлочинність сягнула нових глибин, що коштувало бізнесу в кілька разів більше грошей, ніж у 2020 році. З’явилися нові, більш складні комбіновані атаки. Дистанційна робота та інші фактори сприяли, принаймні частково, помітній еволюції кібератак протягом року.

Компанії швидко впроваджували нові технології, не приділяючи увагу суворим процесам перевірки та контролю. Співробітники використовували як особисті, так і корпоративні пристрої в своїх домашніх мережах, значно збільшивши кількість девайсів, що підключаються до внутрішніх ресурсів компанії.

Багато організацій враховували ризики, але не зовсім точно передбачали результат. На думку 31% керівників департаментів ІТ-безпеки, значна кількість співробітників ігнорувала заходи безпеки, а 28% опитаних повідомили, що співробітники їх вимкнули або змогли обійти якимось чином.

Недостатні заходи безпеки під час роботи вдома були не єдиною причиною «відкриття дверей» для кіберзлочинців. Нестача спеціалістів з ІТ-безпеки стала проблемою при вирішенні серйозних вразливостей програмного забезпечення та захисту від зростаючого списку все більш складних загроз. Нижче перелічені основні методи атак в минулому році.

Вразливість Apache Log4j

Зловмисники активно експлуатували помилку в бібліотеці Log4j, що широко застосовувалася в персональних та комерційних пристроях і системах. Широке використання бібліотеки журналювання Java-программ Log4j для Apache означало, що сотні мільйонів пристроїв перебували під загрозою, доки не було застосовано термінове виправлення безпеки.

Brute-force атака на облікові дані віддаленого робочого столу

Група здирників запустила атаку типу brute-force на облікові дані протоколу віддаленого робочого столу Microsoft Windows (RDP), щоб отримати доступ до мереж жертви та розгорнути програму-вимагач Ranzy Locker. До речі, Ranzy Locker особливо небезпечний, оскільки цей інструмент ransomware може надаватися в оренду іншим шахраям як сервіс (RaaS) за певну платню.

У деяких випадках метою фішингової кампанії стали відомі вразливості Microsoft Exchange Server. Кінцевий результат був той самий: злочинці знайшли та скопіювали файли, що містять особисту та фінансову інформацію, перш ніж зашифрувати їх.

В минулому році кіберзлочинці все більш активно використовували тактику подвійного здирництва. Сутність її в тому, що після того, як за ключ дешифрування сплачено викуп, злодії погрожують злити вкрадені дані в Інтернет, якщо їм не заплатять другу суму. 

Банди здирників підвищують ставки

Щоб змусити більшу кількість жертв заплатити викуп, банда здирників RagnarLocker застосувала нову тактику. Група оголосила, що негайно опублікує викрадені дані жертв, якщо ті залучать правоохоронні органи або якщо жертви отримають професійну допомогу для вирішення проблеми. Ця злочинна банда сумно відома тим, що використовує розвідку для пошуку цінних файлів і пристроїв зберігання в мережах жертв перед тим, як вручну розгорнути програми-вимагачі для шифрування або видалення даних.

У 2021 році банда здирників Conti заробила мільйони доларів, викравши терабайти резонансних даних. В результаті однієї з атак медичні служби Ірландії були повністю відключені, а пацієнтів перенаправили на інший сервіс. Повідомляється, що програма-вимагач зашифрувала 80% медичних даних, включно з електронними медичними записами пацієнтів (EHR). Conti вимагала 20 мільйонів доларів в обмін на ключ дешифрування, в іншому випадку злодії погрожували опублікувати 750 ГБ особистих даних. Та оскільки викуп так і не був сплачений, злочинне угруповання в підсумку подарувало ключ-дешифратор даних і пообіцяло продати 700 ГБ даних. Атака мала як негайний, так і довготривалий вплив на лікарняну систему, адже ірландська система охорони здоров'я витратила 4 місяці та 48 млн доларів на відновлення всіх ІТ-сервісів, а загальна вартість втрат сягнула майже 100 млн доларів.

Компроментація ділової електронної пошти (business email compromise, BEC) через відеоконференції та дипфейки

Злочинці почали використовувати платформи для віртуальних зустрічей для прослуховування бізнес-колів в компаніях та збирання інформації про щоденну бізнес-діяльність. Завдяки отриманим даним вони потім обманом змушують співробітників здійснювати банківські перекази на шахрайські рахунки. Центр скарг на злочини в Інтернеті ФБР повідомив про три поширені тактики:

• Викрадені облікові записи для розвідки: зловмисники компрометують облікові записи електронної пошти співробітників, щоб приєднатися до віртуальних зустрічей та зібрати конфіденційну інформацію про бізнес компанії.
• Фальшиві електронні листи для шахрайських банківських переказів: кіберзлочинці видають себе за акаунти високопоставлених керівників і директорів, надсилаючи підроблені електронні листи з запитом на банківські перекази. Шахрай відправляє електронного листа співробітникам, стверджуючи, що керівництво зайнято на зустрічах і тому не може самостійно впоратися з переказом.
• Шахрай видає себе за топ-менеджера компанії за допомогою технології аудіо-дипфейків: після зламу електронної пошти високопоставленого керівника злочинці запрошують співробітників на віртуальну зустріч. Самозванець використовує нерухоме зображення генерального директора без аудіо або застосовує аудіо-дипфейк, стверджуючи, що передача відео- чи аудіосигналу не працює. Потім зловмисники спілкуються в live-чаті платформи віртуальних зустрічей для того, щоб подати запит на банківський переказ. Деякі злочинці використовують зламаний обліковий запис електронної пошти топ-менеджера, щоб надіслати додаткове повідомлення після відеозустрічі.

Що нас чекає далі

Кібератаки й надалі спричинятимуть руйнування, злами та фінансові збитки. Злочинна діяльність включатиме знайомі тактики разом із новими змішаними методами для отримання максимальної шкоди та фінансової вигоди.

Фішинг

Цей спосіб залишатиметься основним вектором атак у всіх галузях. Водночас тактики злочинців адаптуватимуться, щоб уникнути виявлення і охопити більше жертв. Новий метод атаки тепер використовує шкідливі QR-коди, щоб протистояти інструментам безпеки.

Обсяг багатостадійних фішингових атак також збільшиться. Текстові повідомлення, прямий обмін повідомленнями в соціальних мережах та інструменти командної співпраці (наприклад, Microsoft Teams, Slack або Discord) залишатимуться популярними засобами фішингових атак, щоб обманом змусити жертв надати облікові дані для входу та коди перевірки двофакторної автентифікації (2FA).

Атаки на ланцюжки поставок 

Очікується, що число нападів на ланцюги поставок програмного забезпечення збільшиться. Зловмисники націлюються на довірені системи для доступу до вихідного коду та розповсюдження зловмисного програмного забезпечення. Постачальники керованих сервісів та сервіси віддаленого моніторингу/автоматизації все ще є привабливими цілями, оскільки вони мають доступ до критично важливих систем клієнтів.
Очікується також збільшення кількості фізичних атак на ланцюги поставок. Ці напади безпосередньо вплинули на запаси їжі. У 2021 році бразильський м’ясопереробник JBS S.A. постраждав від кібератаки, що призвело до закриття його підприємств у дев’яти штатах США.

Програми-вимагачі всюди

Шкідливе програмне забезпечення типу ransomeware є доволі прибутковим, тому, скоріш за все, залишатиметься популярним методом атаки. Жертви у 2021 році зазнали рекордних 49,2 мільйонів доларів збитків від атак програм-вимагачів. 
Сектор охорони здоров’я особливо вразливий до атак програм-вимагачів, оскільки ці відомства використовують та зберігають великі обсяги персональних даних. Крім того, в них зазвичай застосовуються старіші пристрої й немає спеціального ІТ-персоналу з безпеки для керування мережею.

Linux і MacOS на прицілі

Обсяг зловмисного програмного забезпечення на основі Linux зростає, тому ця ОС залишається популярною мішенню для програм-вимагачів, троянів, руткітів і криптомайнерів. Крім того, автори такого ПЗ намагаються охопити більше комп’ютерів шляхом портування зловмисного коду з Windows на операційні системи Linux.

Apple MacOS також стала мішенню для шкідливих програм, деякі з яких були перенесені з Windows на MacOS шляхом портування. Нагадаємо, що MacOS побудоване на ядрі Linux. Зловмисне ПЗ для MacOS націлене на вразливості операційної системи. Очікується, що кількість вірусів для MacOS збільшиться через щораз вищу популярність ОС серед розробників шкідливого коду.

Ботнети для крадіжки криптовалюти та запуску DDoS-атак

Лише за перше півріччя 2021 року ботнет-атаки зросли на 41%. Ботнет Pink, який контролює 1,6 мільйона пристроїв і є одним з найбільших ботнетів в світі, використовується для запуску розподілених атак типу «відмова в обслуговуванні» (DDoS) і показу небажаної реклами.

Ботнет MyKings експлуатують для викрадення величезних обсягів криптовалюти шляхом встановлення шкідливого криптомайнера або трояна, що викрадає дані з буферу обміну на комп’ютерах-жертвах. Повідомляється, що група вкрала щонайменше 24,7 мільйона доларів.

Знову з’явився ботнет Mirai. Зловмисники активно використовують уразливість Java для встановлення зловмисного програмного забезпечення Mirai на неоновлених серверах. Цей ботнет застосовується  для різноманітних зловмисних атак, зокрема ransomware, DDoS-атак і зловмисних криптомайнерів.

Трояни та хробаки

Трояни та хробаки продовжуватимуть націлюватися на Linux і Windows. У 2021 році зловмисне програмне забезпечення HolesWarm використовувало вразливі місця в обох операційних системах. Понад 1000 серверів постраждали, особливо в хмарних середовищах.

Модульний троян Trickbot залишається дуже активним. Дослідники Microsoft нещодавно виявили, як троян Trickbot застосовує пристрої Інтернету речей (IoT) у своїй командно-контрольній інфраструктурі для атаки на маршрутизатори MikroTik. Зловмисники Trickbot скомпрометували пристрої, використовуючи відомі паролі за замовчуванням та brute-force атаки, щоб підібрати інші паролі. Також вони намагалися експлуатувати помилки в операційній системі маршрутизатора.

Атаки через API 

Інтерфейси прикладного програмування (API) стають дедалі вразливішими до атак, водночас компанії покладаються на API більше, ніж будь-коли раніше. Зловмисники використовують API, щоб знайти слабкі місця в процесах зберігання та отримання даних (атаки на бізнес-логіку).

Одна з найгучніших історій в цьому секторі — злам модуля автономного водіння Tesla через недолік в інструменті реєстрації, який відстежує споживання енергії та історію розташування. Хакер скористався API модуля, щоб заблокувати та розблокувати двері та вікна автомобіля, а також дозволити водіння без ключа. 
Зловмисники продовжуватимуть атаки через API, щоб збирати особисті дані, красти гроші та сіяти хаос.

Море витоків даних 

У 2021 році кількість повідомлень про витоки даних збільшилася на 68% порівняно з попереднім роком, і очікується, що ця тенденція збережеться. Складні ІТ-середовища, що містять різні активи, часто неконтрольовані, становлять значну загрозу безпеці даних організації, адже надають зловмисникам кілька точок входу. Нове законодавство, наприклад, загальний регламент ЄС щодо захисту даних, може сприяти покращенню гігієни даних і безпеки систем, але багатьом організаціям важко відстежувати місця та методи зберігання даних.

Криптовалютний еквайринг

Атаки на криптовалютні біржі та власників валюти триватимуть. Обсяг криптовалютних злочинів значно розширився у 2021 році. Нелегальні криптовалютні гаманці отримали рекордні 15 мільярдів доларів у вигляді платежів порівняно з 7,9 мільярдами минулого року. Загальне використання зросло на 567% порівняно з попереднім роком. Прийняття криптовалюти як законного платіжного засобу робить її привабливою формою для оплати. Очікується також збільшення схем відмивання грошей, шахрайства та крадіжок гаманців.

Планування ІБ в умовах невизначеного майбутнього

Дослідження за 2021 рік, яке виконали фахівці Acronis, показало, що більшість кібератак були фінансово вмотивовані й тому відбуваються з року в рік. Корпоративні дані є високоцінним товаром навіть не через їхню вартість в даркнеті (Dark web), а через те, наскільки вони важливі для самих компаній.

Захист корпоративних даних від компрометації вимагає проактивного підходу, щоб зменшити наслідки атаки на ваші системи та потенційно врятувати бізнес від краху. Резервне копіювання даних — це добре, але сучасні кібератаки часто спрямовані на шифрування або видалення самих бекапів. Надійний план резервного копіювання та відновлення даних забезпечить збереження резервних копій в окремому місці подалі від решти мережі. Розгортання низки спеціалізованих інструментів від кількох постачальників може задовольнити потреби вашого бізнесу в кожному сегменті, водночас створює зайву складність у вашому ІТ-середовищі.

Одного лише захисту периметру недостатньо, щоб протистояти більшості сучасних кібератак. Розуміючи це, фахівці Acronis розробили рішення Acronis Cyber Protect, що використовує алгоритми машинного навчання для профілактичного блокування атак ransomware. Механізм виявлення на основі поведінки від Acronis перевіряє поточний стан та блокує поширення загроз корпоративною мережею незалежно від типу зловмисного ПЗ. Забезпечуючи багаторівневий захист наступного покоління від експлойтів нульового дня, інструмент оцінки вразливостей та керування виправленнями, Acronis Cyber Protect мінімізує загальну поверхню атак. Таким чином, Acronis Cyber Protect — це комплексне програмне забезпечення для захисту від шкідливого коду та засіб для резервного копіювання, що підходить для компаній будь-якого розміру й пропонує можливості, необхідні для безпеки вашої мережі, пристроїв і даних. 

Саме зараз є гарна нагода почати використовувати рішення для захисту корпоративних інформаційних систем Acronis Cyber Protect Cloud на дуже привабливих умовах! Перейдіть на Acronis Cyber Protect Cloud і користуйтеся БЕЗКОШТОВНО доки діє контракт на ваше поточне рішення з кібербезпеки. Акція актуальна до 31 грудня 2022 року. Щоб скористатися пропозицією, необхідно надати до Acronis підтвердження чинного контракту та/або документи, необхідні для підтвердження відповідності вимогам акції.
 

Докладніше про акцію «100% знижки на Acronis Cyber Protect Cloud»

Отримайте консультацію чи пропозицію щодо участі в акції Acronis Cyber Protect Cloud: soft@megatrade.ua, (044) 538-00-06.