Инциденты, связанные с кибербезопасностью, теперь считаются одной из самых серьезных угроз, с которыми мир столкнется в ближайшее десятилетие. Такие угрозы, как программы-вымогатели или кража данных с целью вымогательства, являются лишь конечным результатом слабых мест в системе безопасности организации. Большинству этих типов атак предшествуют другие инциденты безопасности более низкого уровня, такие как фишинговая атака или успешная доставка вредоносного бота на компьютер в целевой организации. Эти типы инцидентов обеспечивают плацдарм (или, иногда, начальный доступ), которые так же часто продаются или продаются, как и злоумышленник, который получает их изначально. Независимо от того, насколько незначительны атаки, организации могут понести большие убытки, если с ними своевременно не справиться.
Учитывая, что некоторые аналитики прогнозируют, что к 2025 году ущерб, причиняемый глобальной киберпреступностью, может достигнуть 10,5 триллиона долларов США в год, ИТ-лидерам и бизнес-лидерам необходимо постоянно помнить о моделях поведения злоумышленников и уделять приоритетное внимание кибербезопасности в цифровых и информационных технологиях своей организации. ИТ-стратегии в 2022 году и далее.
1. В наступающем году программы-вымогатели станут главной угрозой для кибербезопасности, поскольку поведение участников программ-вымогателей становится более единообразным.
В 2021 году реакция на инцидент с программой-вымогателем стала причиной, по которой почти четыре из пяти клиентов группы быстрого реагирования Sophos воспользовались этим сервисом. Мы ожидаем, что программы-вымогатели останутся очень распространенной угрозой в этом году, отчасти из-за изменений в бизнес-модели преступников.
«Индустрия» программ-вымогателей, так сказать, продвигает специализацию на взломах в стиле «разбей и захвати», при этом наиболее успешные группы программ-вымогателей используют модель обслуживания, чьи сторонние филиалы сдают в аренду доступ к программе-вымогателю в обмен на то, что разработчик получит сокращение доходов. Эта модель, известная как программа-вымогатель как услуга (RaaS), оказалась очень популярной среди преступников, заменив модель, в которой группы программ-вымогателей создают, поддерживают и развертывают свои собственные вредоносные программы. Например, атака программы-вымогателя Colonial Pipeline следовала модели RaaS.
Поскольку модель стимулирует сбор все более растущих требований выкупа, разработчики программ-вымогателей, которые управляют преступным предприятием RaaS, часто предлагают рекомендации своим аффилированным клиентам, помогая обеспечить их успех, а также обеспечить себе день выплаты жалованья. Утечка копий реальных сценариев программ-вымогателей раскрывает причину, по которой так много атак следуют общей схеме - многие различные филиалы внимательно следят за сценариями. Это усложняет процесс атрибуции, который долгое время можно было сделать, наблюдая за различиями в поведении, инструментах или методах групп угроз. Больше никогда. С этой поведенческой точки зрения многие атаки программ-вымогателей выглядят одинаково.
После того, как злоумышленники приобретут необходимое им вредоносное ПО, филиалы RaaS и другие операторы программ-вымогателей могут обратиться в сеть поддержки преступных организаций. В криминальном подполье группы, называемые брокерами первичного доступа, предлагают украденные учетные данные потенциальных жертв для продажи другим субъектам угроз, которые могут захотеть атаковать конкретную организацию или отраслевую вертикаль.
Эти тревожные тенденции как в специализации, так и в сетях поддержки, помогающих преступникам-вымогателям, заслуживают нашего внимания. RaaS позволяет злоумышленникам с очень низкой квалификацией или небольшим бюджетом осваивать программы-вымогатели и распространять их использование. Организации должны обновить свой внутренний мониторинг безопасности и средства защиты, помимо обнаружения вредоносных программ в конечных системах.
Политики, разделяющие сети, применяя многофакторную аутентификацию (MFA) к критически важным системам, и переход к модели вычислений с нулевым доверием - все это может повысить вашу безопасность. Не менее важно, что защитники должны быстро расследовать предупреждения, независимо от их очевидной незначительности, поскольку любое вторжение может превратиться в плацдарм, который может привести к потере контроля над целыми сетями.
2. Криптовалюта будет продолжать подпитывать киберпреступления, такие как программы-вымогатели и вредоносный крипто-майнинг, и эта тенденция, по прогнозам, сохранится до тех пор, пока глобальные криптовалюты не будут лучше регулироваться.
Неустойчивая стоимость криптовалюты будет продолжать стимулировать киберпреступность, связанную с приобретением криптовалюты, причем не только с помощью программ-вымогателей, но и с помощью злонамеренного майнинга криптовалют. Каждый раз, когда появляются новые уязвимости безопасности на стороне сервера, злоумышленники используют их для распространения тайного программного обеспечения криптомайнеров на как можно большем количестве машин, а эксплойты, способные обеспечить эти атаки, сохраняются в дикой природе бесконечно.
Помимо простого зарабатывания денег для анонимного преступника, эти майнеры могут нести огромные расходы на облачные сервисы с оплатой за время вычислений. Они также способствуют глобальному изменению климата за счет увеличения спроса на электроэнергию и могут даже вызвать преждевременный отказ некоторого оборудования. В сочетании с тем фактом, что в 2020 году злоумышленники заработали более 406 миллионов долларов США в легко отмываемой криптовалюте от выкупа, трудно игнорировать тесную связь между преступной деятельностью и криптовалютами.
В нашем исследовании изучаются крипто-майнеры, такие как Lemon Duck и MrbMiner, которые регулярно используют эксплойты для устранения большого количества уязвимостей серверного программного обеспечения. Чтобы предотвратить проникновение криптомайнеров в сеть, организациям необходимо обеспечить наличие у них многоуровневой защиты (например, MFA и использование виртуальных локальных сетей для разделения сегментов сети) и сократить количество входящих методов. доступа к сети компании из общедоступного Интернета до как можно меньшего числа.
3. Ожидается, что использование злоумышленниками различных форм вымогательства для принуждения жертв к уплате выкупа будет продолжаться, а масштабы и интенсивность будут возрастать.
Мы ожидаем, что злоумышленники-вымогатели будут расширять использование альтернативных методов, чтобы заставить жертв платить, и определили как минимум 10 различных типов тактик давления, таких как угроза раскрытия украденных у организации данных и внедрение распределенных атак типа «отказ в обслуживании» (DDoS) для извлечения выплата от жертв. Некоторые преступники даже осмелились позвонить своим жертвам по телефону и потребовать выплаты.
В перспективе ожидается рост как диапазона, так и интенсивности атак программ-вымогателей.
Чтобы свести к минимуму влияние кибератак, компаниям следует инвестировать ресурсы в усиление корпоративной защиты и усилия по восстановлению после сбоев; проводить частое резервное копирование данных и сочетать специалистов-профессионалов и технологии защиты от программ-вымогателей. Им также необходимо подготовить план восстановления вредоносных программ, который подвергается постоянному тестированию и обновлению, чтобы помочь компании как можно скорее встать на ноги в случае худшего.
По мере того, как мы приближаемся к 2022 году, организациям следует стремиться укрепить возможности своей ИТ-инфраструктуры против высокоадаптивных атак программ-вымогателей и эксплуатации уязвимых систем крипто-майнерами. Стоит подумать о партнерстве со сторонним поставщиком ИТ-услуг, чтобы дополнить внутренние ИТ-команды и еще больше усилить ИТ-защиту. Чтобы обеспечить комплексную ИТ-защиту от злоумышленников, компаниям также необходимо повышать осведомленность сотрудников о кибербезопасности с помощью регулярных тренингов по безопасности, например, чтобы избежать повторного использования паролей или перехода по ссылкам в подозрительных электронных письмах.
Источник
