Дослідники відстежують низку проектів Protestware («протестного програмного забезпечення») з відкритим кодом на GitHub, які нещодавно змінили свій код, щоб відображати користувачам повідомлення «Stand with Ukraine» або основні факти про війну в Україні.

Як повідомляється, основні зусилля проводяться через Telegram, але також активно задіються сервіси Google, наприклад, електронній таблиці.

Один з прикладів, популярна бібліотека ES5-ext не оновлювала свій код майже два роки. Але 7 березня проект додав компонент «postinstall.js», який перевіряє, чи прив’язаний комп’ютер користувача до російської інтернет-адреси. Якщо так, код транслює «заклик до миру».

Більш цікавий приклад можна знайти на сторінці GitHub «vue-cli», популярної платформи JavaScript для створення веб-інтерфейсів. 15 березня користувачі виявили, що додано новий компонент, призначений для видалення всіх файлів. Оновлення популярного пакету Vue-Cli намагається стерти файли, якщо користувач має російську або білоруську IP-адресу.

Є також бібліотека коду під назвою «PeaceNotWar», яку підтримує користувач GitHub RIAEvangelist.

«Цей код служить неруйнівним прикладом того, чому важливо контролювати ваші модулі вузла, – написав RIAEvangelist. – Це також служить ненасильницьким протестом проти агресії росії, яка зараз загрожує світу. Цей модуль додасть повідомлення про мир на робочих столах користувачів. Щоб включити цей модуль у свій код, просто запустіть npm i peacenotwar в каталозі вашого коду або корені модуля».

Алекс Холден, українець, який керує фірмою кіберрозвідки Hold Security у Мілуокі, відмічає, що справжні проблеми починаються, коли протестне ПЗ включається в пакети коду, які автоматично завантажуються безліччю програмних продуктів сторонніх розробників. Холден надав, що зараз дуже багато коду, якій обслуговується українськими розробниками ПЗ.

«Українські та неукраїнські розробники модифікують своє загальнодоступне програмне забезпечення, щоб ініціювати шкідливе програмне забезпечення або проукраїнську рекламу під час розгортання на російських комп’ютерах», – відмічає Холден.

Війна відбувається в тому числі й в інформаційному просторі – фейки, фішинг, підробки сайтів тощо. Фахівці OLX зібрали п’ять поширених схем та варіанти протидії, що можуть стати у пригоді українцям.

1. Фейки. Українці регулярно оновлюють стрічку новин, щоб дізнатися про ситуацію на фронті та в дипломатичному полі. Тим часом ворог масово розповсюджує фейки про начебто захоплення міст, капітуляцію України, евакуацію місцевих тощо. Звичайно, в умовах постійної напруги пильність іноді притуплюється, але життєво важливо не втрачати розуму.

Намагайтеся читати лише офіційні та перевірені джерела, а не сумнівні телеграм-канали та пости в соцмережах. Однак майте на увазі, що в умовах воєнного часу навіть надійні медіа та офіційні особи можуть помилятися. Прочитавши важливу новину, дочекайтеся її спростування чи підтвердження. Наочний приклад – новина про руйнування ТЕЦ-6 на Троєщині, яке опублікували на сторінці мера Києва, однак пізніше – спростували інформацію. Запам’ятайте, що часто ворог спеціально поширює негативні повідомлення, щоб деморалізувати населення та посіяти паніку. Отже, якщо не бачите подію на власні очі та не чуєте пряму мову, не вирвану з контексту – довіряйте обережно та не вірте на слово.

2. Діпфейки. Це підроблене відео, на якому ви бачите публічну особу і чуєте її голос. Так, у «Центрі інформаційної безпеки» повідомляли, що у мережі може з’явитися відеозвернення президента Володимира Зеленського про начебто капітуляцію перед Росією.

Попри, на перший погляд, складність технології, розпізнати діпфейк все ж можливо. Зверніть увагу, що коли перед обличчям героя проходить якийсь предмет, наприклад, рука, то вона спотворюється, «пливе». Крім того, можна помітити неприродний тон і дивну текстуру шкіри, тіні на обличчі, які неправильно падають, забагато чи замало кліпання тощо. А основне – дивіться звернення президента та високопосадовців лише на офіційних сторінках і пам’ятайте, що Україна за жодних обставин не здаватиметься ворогу та не капітулюватиме, тож будь-які схожі заяви офіційних осіб – однозначно неправдиві.

3. Підробки сайтів та акаунтів офіційних структур. Для дезорієнтації населення з‘являється безліч аналогів сторінок офіційних структур. Так, ви можете натрапити на фейковий акаунт «Верховної Ради України» в соціальних мережах або підроблений сайт «Служби безпеки України».

Якщо йдеться про сторінки в соцмережах, звертайте увагу на те, чи верифікований акаунт (синя галочка поруч із назвою). Друга можлива зачіпка – невелика кількість підписників та дописів. Що стосується вебсайтів, то обов‘язково дивіться, чи в адресному рядку браузера зображається символ замочку. Це означає, що сторінка пройшла детальну перевірку та отримала сертифікат безпеки. Додатково сайт можна перевірити через сервіс Whois та дізнатися дату реєстрації/створення, приналежність компанії та інші юридичні дані.

4. Фішингові посилання. Найпоширеніший і найбільш дієвий спосіб інтернет-шахрайства використовують і на кіберфронті. Зловмисники розсилають файли різних форматів – від посилання на сайт до архівованого документа чи медіафайлу. Ви можете отримати несподіваного листа як на електронну пошту, так і в особисті повідомлення в соцмережах чи месенджерах. Ще один, удосконалений метод фішингу – підробка посилань на підпис електронних петицій, як от звернення до НАТО про закриття неба над Україною. Тож важливо навчитися розрізняти справжні посилання від підроблених.

Перше і головне правило – це не відкривати несподівані посилання та файли. Якщо їх надіслали знайомі вам контакти, уточніть, що саме знаходиться в повідомленні, адже сторінки ваших близьких теж можуть зламати. Що стосується електронних петицій, запам‘ятайте: якщо посилання підозріло довге, або ж, навпаки, скорочене (наприклад, через сервіс bit.ly), ймовірно, це підробка. Уважно читайте адресу сайту. Часто зловмисник підмінює всього одну букву чи символ. Також зверніть увагу, що жодні офіційні установи ніколи не будуть запитувати у вас паролі до особистих сторінок чи персональні/платіжні дані.

5. Заволодіння обліковими записами українців у Telegram. У перші дні війни чимало користувачів Telegram скаржилися, що в налаштуваннях сторінки їм показувало власне місцеперебування в Москві, Черкеську та інших російських містах. Це все – справа рук ворога, який через українські профілі веде інформаційну війну проти України.

Тож перевірте, чи ваш акаунт у Telegram не використовують зловмисники. Зробити це просто: в налаштуваннях подивіться, з якого регіону підключений ваш пристрій. Якщо місцеперебування смартфона чи комп’ютера збігається з реальним, то все в порядку. Також скасуйте всі інші активні сеанси. Щоб знизити ризик злому акаунту, обов’язково увімкніть двофакторну аутентифікацію. Це дозволить додатково захистись від крадіжки профілю. До речі це також стосується акаунтів у соціальних мережах.

Група аналізу загроз Google (TAG) працює цілодобово, зосереджуючись на безпеці українських користувачів і платформ, які допомагають їм отримувати доступ до важливої інформації та обмінюватися нею.

Протягом останніх двох тижнів TAG спостерігала за активністю з боку низки груп зловмисників, які ми регулярно відстежуємо та які добре відомі правоохоронним органам, зокрема такі хакерські групи як FancyBear і Ghostwriter. Ця діяльність варіюється від шпигунства до фішингових кампаній. Google ділиться цією інформацією, щоб допомогти підвищити обізнаність серед спільноти безпеки та користувачів із високим ризиком:

FancyBear/APT28 – хакерська група, яку пов'язують із російським ГРУ, провела кілька великих фішингових кампаній, спрямованих на користувачів української медіакомпанії UkrNet. Фішингові листи надсилаються з великої кількості зламаних облікових записів (не Gmail/Google) і містять посилання на домени, контрольовані зловмисниками.

У двох останніх кампаніях зловмисники використовували нещодавно створені домени Blogspot як початкову цільову сторінку, яка потім переспрямовували цілі на фішингові сторінки з обліковими даними. Усі відомі домени Blogspot, які контролюються зловмисниками, видалено.

Приклади фішингових доменів облікових даних, які спостерігалися під час цих кампаній:

• iid-unconfirmeduser[.]frge[.]io
• hatdfg-rhgreh684[.]frge[.]io
• ua-consumerpanel[.]frge[.]io
• consumerspanel[.]frge[.]io

Ghostwriter/UNC1151 – білоруська група кіберзловмисників, протягом останнього тижня проводила фішингові кампанії проти польських та українських урядових і військових організацій. TAG також визначила кампанії, націлені на користувачів веб-пошти від таких провайдерів:

• i.ua
• meta.ua
• rambler.ru
• ukr.net
• wp.pl
• yandex.ru

Приклади фішингових доменів облікових даних, які спостерігалися під час цих кампаній:

• accounts[.]secure-ua[.]website
• i[.]ua-passport[.]top
• login[.]creditals-email[.]space
• post[.]mil-gov[.]space
• verify[.]rambler-profile[.]site

Ці фішингові домени заблоковано через Google Safe Browsing – службу, яка визначає небезпечні вебсайти в Інтернеті та сповіщає користувачів і власників вебсайтів про потенційну шкоду.

Mustang Panda або Temp.Hex – група кіберзловмисників, яка базується в Китаї, націлилася на європейські організації за допомогою приманок, пов’язаних з вторгненням в Україну. TAG виявив шкідливі вкладення з іменами файлів, наприклад «Situation at the EU borders with Ukraine.zip». У zip-файлі міститься однойменний файл, який є основним завантажувачем, і якщо його відкрити, він завантажує кілька додаткових файлів, які встановлюють остаточний файл. Щоб зменшити шкоду, TAG повідомила відповідні органи про свої висновки.

Орієнтація на європейські організації являє собою відхід від звичайних цілей Mustang Panda в Південно-Східній Азії.

Також TAG продовжує спостерігати спроби DDoS-атак проти численних сайтів в Україні, зокрема «Міністерства закордонних справ», «Міністерства внутрішніх справ», а також таких сервісів, як Liveuamap, які створені, щоб допомогти людям знайти інформацію. Google розширила доступ до Project Shield, безкоштовного захисту від DDoS-атак, щоб українські урядові вебсайти, посольства в усьому світі та інші уряди в безпосередній близькості від конфлікту могли залишатися онлайн, захищатися і продовжувати пропонувати свої важливі послуги та забезпечувати доступ до потрібної людям інформації.

Project Shield дозволяє Google поглинати поганий трафік під час DDoS-атаки та діяти як «щит» для вебсайтів, дозволяючи їм продовжувати працювати та захищатися від цих атак. На сьогодні сервісом користуються понад 150 вебсайтів в Україні, у тому числі багато інформаційних організацій. Бажаючі також можуть подати заявку.

VMware представила исследование угроз вредоносного ПО на базе Linux Exposing Malware in Linux-Based Multi-Cloud Environments. Как наиболее распространенная облачная операционная система, Linux является основным компонентом цифровой инфраструктуры и поэтому часто становится мишенью злоумышленников для проникновения в мультиоблачную среду. Большинство решений для защиты от вредоносного ПО в основном ориентированы на защиту устройств на базе Windows. Это делает многие публичные и частные облака уязвимыми для атак, направленных на рабочие нагрузки, использующие Linux.

Главные выводы исследования:

• программы-вымогатели все чаще нацелены на серверы, используемые для развертывания рабочих нагрузок в виртуализированных средах;
• в 89% атак методом криптоджекинга используются библиотеки, связанные с криптомайнером XMRig;
• более половины пользователей фреймворка Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike незаконно.

Киберпреступники расширяют масштабы своей деятельности и добавляют в свой арсенал вредоносные программы, цель которых – операционные системы на базе Linux. Взлом одного сервера способен принести злоумышленникам большую прибыль и обеспечить доступ к главной цели без необходимости атаковать конечное устройство. Киберпреступники атакуют как публичные, так и частные облачные среды.

Успешно проведенные атаки программ-вымогателей на облачные среды могут иметь катастрофические последствия для систем безопасности. Атаки шифровальщиков на сервисы, развернутые в облачных средах, часто сочетаются с утечками данных – так реализуется схема двойного вымогательства. Программы-вымогатели эволюционировали, чтобы атаковать/ задействовать хосты, используемые для развертывания рабочих нагрузок в виртуализированных средах. Злоумышленники теперь ищут наиболее ценные активы в облачных средах, чтобы нанести максимальный ущерб. Примерами этому могут служить программы-вымогатели семейства Defray777, которые шифровали данные на серверах ESXi, и программы-вымогатели семейства DarkSide, нанесшие ущерб сетям компании Colonial Pipeline, что вызвало нехватку бензина на всей территории США.

Киберпреступники, нацеленные на быстрое получение прибыли, часто охотятся за криптовалютой, используя для атаки один из двух подходов: внедряют вредоносное ПО для кражи из онлайн-кошельков, либо монетизируют похищенные циклы центрального процессора для майнинга криптовалют (так называемый «криптоджекинг»). Большинство таких атак сосредоточено на майнинге валюты Monero (или XMR) – в 89% атак криптоджекинга используются библиотеки, связанные с XMRig. Именно поэтому, когда в бинарных файлах Linux обнаруживаются специфичные для XMRig библиотеки и модули, это свидетельствует о вредоносной активности с целью криптомайнинга.

Чтобы установить контроль и удержаться в среде, злоумышленники стремятся установить во взломанную систему программную закладку, которая даст им частичный контроль над устройством. Вредоносное ПО, веб-сайты и средства удаленного доступа могут быть внедрены в систему. Одна из основных программных закладок – это Cobalt Strike, средство коммерческого тестирования на проникновение злоумышленника, и инструменты Red Team и Vermilion Strike на базе Linux.

За период с февраля 2020 по ноябрь 2021 гг. подразделение анализа угроз VMware обнаружило в сети более 14 тыс. активных серверов Cobalt Strike Team. Общая доля взломанных и выложенных в сеть идентификаторов клиентов Cobalt Strike составляет 56%, то есть более половины пользователей фреймворка Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike незаконно. Тот факт, что такие средства удаленного доступа, как Cobalt Strike и Vermilion Strike, стали массово использоваться киберпреступниками, представляет серьезную угрозу для компаний.

«Наше исследование показало, что все больше семейств программ-вымогателей переходят в категорию вредоносного ПО на базе Linux, существует вероятность атак, которые могут использовать уязвимости Log4j, – заявил Брайан Баскин (Brian Baskin), менеджер по исследованию угроз компании VMware. – Выводы нашего отчета могут быть использованы для более глубокого понимания природы вредоносных программ на базе Linux и сдерживания растущей угрозы, которую сейчас представляют программы-вымогатели, криптомайнеры и программы удаленного доступа для мультиоблачных сред. Поскольку атаки, нацеленные на облако, продолжают развиваться, организациям следует придерживаться концепции "нулевого доверия" Zero Trust для обеспечения безопасности всей инфраструктуры».

Асоціація ІТ Ukraine представила результати власного дослідження актуального стану вітчизняної IT-галузі, що базується на даних з офіційних джерел, а також опитуванні представників близько 70 компаній. Слід зазначити, що йдеться переважно про галузь розробки програмного забезпечення на замовлення.

Згідно даними Emerging Europe, Україна має найбільший порівняно за найближчими сусідами ринок праці – понад 18,1 млн осіб (оцінки станом на 2019 рік). При цьому кількість ІКТ-спеціалістів сягає 290 тис., а частка експорту комп’ютерних послуг у ВВП становить 2,7%. Таким чином, у нас у 2-4 рази менше ІТ-спеціалістів на 100 тис. населення, ніж у країнах-конкурентах. Це свідчить про високий потенціал розширення зайнятості в ІТ-сфері через формальну освіту та перекваліфікацію (світчинг).

Національна система освіти готує суттєву кількість фахівців для ІТ-галузі. З того ж джерела, на відповідних спеціальностях навчається більше як 104 тис. осіб, а кількість випускників ІКТ становить 68 осіб на 100 тис. населення.

Український ринок розробки ПЗ стрімко зростає. Однак офіційні дані та експертні розрахунки суттєво відрізняються. «Єдиний державний реєстр підприємств і організацій» на кінець 2021 р. налічував 18,6 тис. юридичних осіб з ІТ-КВЕДами. Проте реєстр не враховує реальну активність: «Держстат» дає оцінку у 8,2 тис. діючих юридичних осіб. Звісно, компанії часто складаються з декількох юридичних осіб, тож фактично їх ще менше. За експертними оцінками, на ринку праці активні близько 5 тис. компаній з галузі ІКТ.

Сектор ІТ в Україні доволі різноманітний. Велику частку складають компанії малого та середнього розміру. Найбільше (86%) ІТ-компаній зі штатом до 80 спеціалістів. Ще 11% – від 81 до 200 осіб. Домінують на ринку сервісні компанії (51%), проте багато, крім того, також створюють власні продукти (33%).

Експорт комп’ютерних послуг з України зростає в середньому на 27% щорічно. За чотири роки надходження зросли вдвічі (до 6,83 млрд дол. у 2021 р.), та цей тренд триває. Основними драйверами зростання є США (40% експорту) і Велика Британія (10%).

Попит на IT-послуги разом із порівняно високою оплатою праці зумовлює суттєве зростання кількості ІТ-талантів в Україні. Взаємодія з ФОП є привабливою для компаній, оскільки ІТ часто передбачає проєктний характер робіт. Тому 86% компаній в основному співпрацюють із ФОП. Тож ФОПи складають близько 81% з усіх зайнятих. IT-галузь активно залучає молодь: 80% працівників IT-компаній віком від 18 до 32 років. При цьому приблизно чверть ІТ-спеціалістів – жінки.

Типовий український IT-працівник має вищу, переважно технічну (74%) освіту, володіє англійською мовою на рівні не нижче Intermediate (81%), 60% фахівців мають понад трьох років досвіду.

Україна має потужну наукову базу та мережу публічно фінансованих технічних вишів. З 1700 навчальних закладів в країні 150 пропонують програми рівня бакалаврату за ІТ-спеціальностями. Найпотужніші центри освіти формують кластери компаній у своїх регіонах.

Виші країни готують близько 16-17 тис. бакалаврів ІТ-спеціальностей на рік. Очікується, що підвищений інтерес абітурієнтів до фаху та державне фінансування навчання призведуть до зростання кількості випускників до 23 тис. у 2025 р. У середньостроковій перспективі можливе зростання до 35 тис. випускників-бакалаврів через пік народжуваності у 2008-2013 рр.

Продовження навчання на магістратурі обирають чимдалі менше випускників бакалаврату (54% у 2020 р.). Більшість випускників не розглядають цей ступінь як самостійну цінність. Модернізація навчальних програм технікумів та коледжів є потенційною точкою зростання для галузі.

ІТ-бізнес є зацікавленим стейкголдером системи освіти в Україні. Наразі попит на нових ІТ-фахівців значно перевищує можливості українських закладів вищої освіти. Реакцією на це стала поява численних закладів неформальної ІТ-освіти, які пропонують курси інтенсивної підготовки нових фахівців Junior-рівня. Неформальна освіта готує 10-12 тис. нових ІТ-фахівців на рік. За прогнозами ІТ Ukraine, їх кількість зросте до 20-25 тис. у найближчі роки.

Зважаючи на дефіцит кваліфікованих співробітників, окремі компанії створюють власні програми підготовки талантів, які дозволяють в тому числі людям з інших галузей отримати ІТ-освіту та можливість працевлаштування. Також ІТ-компанії створюють програми освіти разом з освітніми закладами.

Працевлаштування світчерів стає нормою для українського ІТ-ринку. 82% компаній вже наймають або планують наймати світчерів – людей, які прийшли в ІТ-галузь з інших професій.

Українська ІТ-галузь активно залучає інвестиції для розвитку. Щороку, в середньому, укладається угод на загальну суму в 300-700 млн дол. Більша частина угод – інвестиції та гранти для стартапів на ранніх етапах розвитку (Seed та Pre-seed), проте більшу частину фінансування отримують кілька найбільших компаній.

Для ІТ віддалена робота досить звичне явище: ІТ-проєкти, зокрема аутсорсингові, передбачають віддалений від клієнта режим співпраці. Пандемія Covid-19 додатково змушує працювати навіть поза офісом. Також це надає додаткові можливості для ІТ-бізнесу: зокрема дозволяє розглядати кандидатів з інших областей та навіть країн, а також робить можливим скорочення витрат на офіси. Між тим, у разі зняття карантинних обмежень 42% компаній планують починати повертати співробітників в офіси у 2022 р., а 13% навіть хочуть повернути в офіси весь персонал.

З повною версією звіту Ukraine IT report 2021 можна ознайомитись за посиланням.

Группа по борьбе с киберугрозами Cisco Talos Incident Response (CTIR) рассказала о главных событиях на рынке кибербезопасности в 2021 г. На фоне пандемии, которая повлекла за собой ряд специфичных проблем ИБ, специалистам по ИБ пришлось иметь дело с растущим кругом злоумышленников, промышляющих программами-вымогателями, занимаясь при этом крупными инцидентами безопасности, которые затронули организации по всему миру.

По данным Cisco Talos, в прошлом году:

• самой атакуемой отраслью на протяжении большей части 2021 г. оказалось здравоохранение;
• главной угрозой года стали программы-вымогатели (шифровальщики);
• чаще всего атаки начинались с компрометации приложений, имеющих выход в Интернет, и фишинга;
• CTIR имела дело с четырьмя серьезными инцидентами ИБ:
  • атака на цепочку поставок SolarWinds;
  • массовое использование уязвимостей Microsoft Exchange Server;
  • атака хакерской группы REvil на поставщика ИТ-решений Kaseya;
  • обнаружение уязвимости Log4J;
  • из четырех перечисленных пока наиболее значительным для клиентов CTIR стали атаки, использовавшие уязвимости Microsoft Exchange, поскольку они не прекращаются до сих пор.

Основной целью злоумышленников в течение практически всего 2021 г. было здравоохранение, лишь осенью на первое место вышли атаки против локальных администраций. Преимущественно это обусловлено недостаточными средствами, которые медучреждения выделяют на кибербезопасность, а также чрезвычайно высокими требованиями к отсутствию простоев (которые еще только ужесточились в связи с продолжающейся пандемией).

Среди всех угроз в 2021 г. доминировали программы-вымогатели. В их использовании наблюдались два тренда: увеличение числа злоумышленников и рост применения коммерчески доступных продуктов и программ с открытым кодом.

В течение 2020 и в начале 2021 г. чаще всего встречался шифровальщик Ryuk. Затем его активность начала постепенно снижаться, и во второй половине 2021 г. он практически исчез. Ryuk был не единственным вымогателем, чья активность пошла на убыль в 2021 г. Недавно также прекратили действовать или провели ребрендинг такие семейства, как Darkside, BlackMatter, REvil и Maze. Возможно, что именно из-за спада активности вымогателей-гигантов зимой произошел всплеск различных атак, причем ни одно семейство не повторялось дважды.

Одновременно с расширением круга злоумышленников, наблюдаемом в начале осени, возросло применение коммерческих продуктов, программ с открытым кодом и легитимных программ и компонентов операционной системы (living-off-the-land binaries, LOLBINS). Наиболее часто встречающиеся: Cobalt Strike, ADFind, ADRecon, GMER, Bloodhound/Sharphound, PowerShell, PCHunter, 7-Zip, WinRAR, Windows Management Instrumentation, RDP, Rubeus, TeamViewer.

В 2021, как и годом ранее, в большинстве организаций регистрация событий велась так, что во многих случаях установить с точностью начальный вектор атаки не представлялось возможным. Когда же начальный вектор удавалось определить с достаточной уверенностью, на первое место выходили фишинг и приложения, имеющие выход в Интернет.

Рост числа успешных атак связан, в том числе, с раскрытием ряда крупных уязвимостей ПО, используемого многими организациями. В частности, это несколько брешей Microsoft Exchange, которые привели к необходимости проводить мероприятия по реагированию на инциденты во многих организациях.

В то же время, рост числа фишинговых атак может быть связан с тем, что они являются традиционным способом для начального заражения при использовании шифровальщиков, на которые приходилась большая часть угроз в течение 2021 г. Кроме того, осенью прошлого года выросло число компрометаций корпоративной электронной почты, что увеличило долю этого вектора в общей картине.

На фоне стресса, вызванного работой в условиях пандемии, и постоянно нарастающих и усугубляющихся угроз со стороны шифровальщиков группе CTIR пришлось заниматься четырьмя серьезными инцидентами, которые затронули организации во всем мире:

• Декабрь 2020 г. Происходит изощренная атака на цепочку поставок, в ходе которой злоумышленники получили доступ к сетям жертв посредством внедрения трояна в обновления ПО SolarWinds Orion. Целью атаки были многочисленные крупные предприятия и госструктуры США;
• Март 2021 г. CTIR занимается множественными атаками, связанными с рядом неустраненных уязвимостей Microsoft Exchange Server;
• Июль 2021 г. Группа хакеров-вымогателей REvil атакует компанию Kaseya, которая разрабатывает ИТ-решения для поставщиков управляемых услуг (managed service providers, MSP). Так как целью REvil были провайдеры, которые управляют ИТ-услугами заказчиков, атака поразила как минимум 1500 организаций;
• Декабрь 2021 г. Злоумышленники начинают сканировать и использовать критичную уязвимость удаленного исполнения кода в популярной библиотеке Apache Foundation Log4j.

В 2021 г., в разгар атак программ-вымогателей, CTIR выступила с заявлением об отсутствии многофакторной аутентификации (МФА) как одном из главных препятствий на пути к обеспечению ИБ предприятия. CTIR часто сталкивается с инцидентами, которые могли бы быть предотвращены при включении МФА на критичных сервисах. Поэтому эксперты ИБ призывают организации внедрять МФА везде, где это возможно.

Компания Nutanix делится результатами четвертого ежегодного исследования Enterprise Cloud Index (ECI), посвященного использованию облаков предприятиями. Согласно отчету, мультиоблако – наиболее распространенная модель и за три года ее популярность вырастет до 64%. Однако главной проблемой на этом пути остается его сложность: 87% считают, что для успеха требуется более простое управление смешанными облачными инфраструктурами. 83% опрошенных согласны, что модель гибридного мультиоблака идеальна для решения основных проблем, связанных с совместимостью, безопасностью, затратами и интеграцией данных.

Респонденты рассказали о текущих проблемах с облаками, о том, как они используют бизнес-приложения и где планируют запускать их в будущем. Вопросы также были посвящены влиянию пандемии на текущие и будущие решения в области ИТ-инфраструктуры и тому, как из-за этого могут измениться ИТ-стратегия и приоритеты.

Ключевые выводы отчета:

• Основные вызовы мультиоблака – это обеспечение безопасности (49%), интеграция данных (49%) и затраты (43%). Хотя мультиоблако – это наиболее популярная модель и единственная, которая будет расти, большинство предприятий сталкиваются с реальностью, когда они работают одновременно и в частных, и в публичных облаках. Эта ситуация не меняется и все больше руководителей осознают, что в работе с облаками не бывает универсального подхода. В результате большинство опрошенных видят операционную модель гибридного мультиоблака с несколькими частными и публичными контурами и функциональной совместимостью между ними как идеальное решение;
• Пандемия изменила то, как работают подавляющее большинство компаний. И мультиоблако поддерживает новые способы работы. 61% респондентов сфокусированы на предоставлении более гибких условий работы из-за пандемии. Большинство организаций сообщают, что, хотя число удаленных сотрудников может сокращаться или расти, они останутся в обозримом будущем. Мультиоблако предоставляет самую гибкую ИТ-среду для их поддержки за счет распределения данных по разным географическим местоположениям для обеспечения их близости к пользователям и непрерывности бизнеса;
• Мобильность приложений важнее всего. Почти все опрошенные организации (91%) перенесли одно или несколько приложений в другую среду за последние 12 месяцев. При этом 80% согласны с тем, что перенос рабочей нагрузки в новую облачную среду может быть дорогостоящим и трудоемким. В качестве причины переезда они чаще всего называют безопасность (41%), затем производительность (39%) и получение контроля над приложением (38%), что является наиболее вероятными драйверами распространения мультиоблачной модели;
• Предприятия относятся более стратегически к ИТ-инфраструктуре. 72% считают, что ИТ-функция в их организациях воспринимается как более стратегическая, чем год назад. Они также называют такие бизнес-причины для изменения инфраструктуры, как: улучшение удаленной работы и совместной работы (40%), более качественная поддержка клиентов (36%) и улучшение непрерывности бизнеса (35%). Кроме того, они начали сопоставлять насколько инфраструктура соответствует рабочим нагрузкам, основываясь на таких приоритетах как безопасность (41%), производительность (39%) и стоимость (31%).

Четвертый год подряд Vanson Bourne проводит исследование от имени Nutanix, опросив 1700 лиц, принимающих решения в области ИТ, в августе и сентябре 2021 г. База респондентов охватила несколько отраслей, размеров бизнеса и следующие регионы: Америка, Европа, Ближний Восток и Африка, Азиатско-Тихоокеанский регион и Япония.

Спеціалісти Eset підготували список знакових подій у галузі кібербезпеки, які відбулися торік та можуть вплинути на 2022 рік.

1. У 2021 році була зафіксована найвища середня вартість витоку даних за 17 років, яка збільшилась з 3,86 до 4,24 млн дол. за рік. Крім цього, середня вартість витоку даних була на 1,07 млн дол. вищою, у випадках, якщо фактором порушення стали умови віддаленої роботи.

Найпоширенішою причиною витоку даних є викрадення облікових даних користувачів. На цей вектор атак припадало 20% порушень, при цьому середня їх вартість склала 4,37 млн дол.

2. У середині 2021 року Kaseya, постачальник ПЗ для управління ІТ, зазнав компрометації своїх систем через програму-вимагач Sodinokibi. При цьому кіберзлочинці вимагали викуп у розмірі 70 млн дол., який став найбільшою сумою на сьогодні.

3. Відповідно до даних Verizon у 2021 році, 36% порушень були пов'язані з фішинговими атаками, серед яких поширеною темою залишалась пандемія Covid-19. Зловмисники змінювали свої фішингові кампанії залежно від актуальних новин.

Крім цього, атаки за допомогою методів соціальної інженерії стали серйозною загрозою для установ державного управління, зокрема на них припало 69% усіх порушень для цього сектору.

4. Незабаром після виявлення уразливості в утиліті ведення журналу Log4j спеціалісти Eset виявили та заблокували сотні тисяч спроб використання уразливості, більшість з яких було зафіксовано у США та Великій Британії.

5. У 2021 році кількість виявлень банківських шкідливих програм для Android різко зросла, зокрема за січень-лютий майже на 160%, а в наступні чотири місяці ще на 50%. Така тенденція викликає занепокоєння, оскільки банківські трояни можуть отримувати доступ до фінансових коштів жертв.

6. Через чотири роки WannaCryptor (також відомий як WannaCry), як і раніше, є глобальною загрозою. Відомий троян, який інфікує пристрої, уразливі до експлойту EternalBlue, очолив перелік виявлень програм-вимагачів рішеннями Eset з показником 21,3%.

7. Залишається поширеним шахрайство з інвестиціями в криптовалюту. У період з жовтня 2020 року до травня 2021 року жертви зазнали втрат на суму понад 80 млн дол. Швидше за все реальна цифра є ще вищою, оскільки багато користувачів не визнають, що стали жертвою обману.

8. На початку 2021 року відомий ботнет Emotet, одна з найстаріших та найпоширеніших загроз, був знешкоджений внаслідок масштабної глобальної операції. За даними Європолу близько 700 командних серверів було відключено під час арешту.

9. Загалом 82% організацій зізналися у збільшенні своїх бюджетів на кібербезпеку за останній рік, що передбачає до 15% загальних витрат на ІТ.

10. За останні роки зловмисники перейшли від простого інфікування систем програмами-вимагачами до подвійного вимагання, яке передбачає викрадення даних та їх оприлюднення або продаж. Загрози витоку викрадених даних різко зросли з 8,7% у 2020 році до колосальних 81% у другому кварталі 2021 року.

11. Значно зросли загальні витрати на захист від атак програм-вимагачів. У той час як у 2020 році загальна вартість усунення атаки програм-вимагачів становила 761 тис. дол., у 2021 році вона зросла до 1,85 млн дол.

12. Найбільше від кіберзлочинності постраждало старше покоління (PDF), зокрема близько 28% від загальної кількості збитків від шахрайства зазнали жертви у віці старше 60 років, що становить приблизно 1 млрд. дол. втрат.

Ця статистика охоплює лише малу частину загроз, з якими стикаються користувачі та організації. Проте, знання про розвиток кіберзагроз та можливі сценарії зловмисників важливе, щоб залишатися у безпеці.

Дотримуйтесь базових правил кібергігієни, зокрема оновлюйте пристрої до актуальної версії, створюйте складні паролі для входу, уникайте підозрілих посилань та вкладень, а також використовуйте надійні рішення для захисту домашніх та корпоративних пристроїв.

Эксперты по информационной безопасности из компании, недавно образованной путем слияния McAfee Enterprise и FireEye, представили свое видение ландшафта угроз в 2022 г., а также потенциального влияния этих новых или развивающихся угроз на предприятия, государства и простых граждан.

За последний год кибепреступники научились быстрее и эффективнее адаптировать свои тактики для новых схем нападений, в том числе с использованием программ-вымогателей и привлечением хакеров спецслужбами. Ожидается, что в будущем году эти тенденции сохранятся, а методы злоумышленников станут еще более изощренными. В связи с развитием ландшафта угроз и продолжающейся пандемией компаниям крайне важно отслеживать тренды кибербезопасности, чтобы своевременно принимать меры по защите своих данных.

Итак, каких киберугроз следует опасаться в 2022 г.?

1. Атаки с использованием социальных сетей

В ходе атак, санкционированных властями государств (NSN, nation state notification), будут активнее использоваться социальные сети. Для многих людей последние являются важной частью профессиональной деятельности и личной жизни. Со своей стороны киберпреступники активно используют распространенную привычку принимать приглашения в друзья от совершенно незнакомых людей, чтобы увеличить количество подписчиков.

В результате группы хакеров все чаще обращаются к сотрудникам компаний с предложениями трудоустройства, к примеру. Для них это эффективный способ обойти традиционные средства безопасности и напрямую пообщаться с потенциальными сообщниками или жертвами, работающими в компаниях, которые злоумышленники выбрали в качестве мишеней. Кроме того, кибергруппы могут использовать личные сообщения для захвата учетных записей инфлюенсеров и публикации своих постов в аккаунтах жертв.

Хотя данный подход не новый, он применяется почти так же широко, как альтернативные каналы. Конечно, киберпреступнику потребуется найти и изучить дополнительную информацию, чтобы начать беседу с жертвой, да и создание фиктивной учетной записи может отнять немало времени. Тем не менее, целевые атаки на конкретных лиц доказали свою эффективность, поэтому масштабы применения этого вектора будут только увеличиваться – к нему будут обращаться не только группы, занимающиеся шпионажем, но и другие злоумышленники, которые стремятся получить доступ к какой-либо организации с преступной целью.

2. Спецслужбы участят нападения на другие страны за счет привлечения кибепреступников

Одной из обнаруженных специалистами тенденций является увеличение доли совместных операций киберпреступников и спецслужб иностранных государств.

Во многих случаях для этого создается стартап, а затем появляется целая сеть подставных или действующих «технологических» компаний, которые работают под руководством министерств национальной безопасности и государственных служб разведки.

Так, в мае правительство США предъявило обвинения четырем гражданам КНР, которые работали на подставные государственные компании. Эти компании оказывали поддержку хакерам в разработке вредоносного ПО и атаках с целью получения деловой информации, коммерческих тайн и конфиденциальных технологических сведений.

И если в прошлом у конкретного семейства программ-вымогателей всегда был автор – группа хакеров из определенного государства, то сейчас, когда их нанимают для написания кода и проведения атак, эти четкие границы постепенно стираются.

При первом проникновении в систему могут использоваться тактики и инструменты, характерные для «обычных» киберпреступников. Однако важно наблюдать за развитием событий и своевременно принимать меры. В 2022 г. различие между обычными киберпреступниками и хакерами, работающими на спецслужбы, продолжит стираться, поэтому компаниям необходимо проанализировать свое положение в отрасли и изучить тактики действующих в ней злоумышленников.

3. Материально независимые группы киберпреступников разделят власть в экосистеме RaaS

Уже несколько лет атаки с использованием программ-вымогателей широко освещаются в СМИ как имеющие наиболее серьезные последствия. В свое время модель «программа-вымогатель как услуга» (Ransomware-as-a-Service, RaaS) позволила начать карьеру множеству начинающих киберпреступников, что вызвало рост числа взломов и получения незаконной прибыли.

Администраторы и разработчики RaaS долгое время считались главными виновниками проблемы. Правоохранительные органы практически не обращали внимания на их сообщников, не обладающих значительными навыками. На фоне отсутствия технологических прорывов в экосистеме RaaS эта ситуация позволила тем самым «менее способным сообщникам» успешно развиться и стать очень компетентными киберпреступниками с собственными целями и задачами.

После атаки на трубопроводную систему Colonial Pipeline популярные среди киберпреступников форумы запретили рекламу программ-вымогателей. Теперь у групп RaaS нет независимой платформы для активного набора сотрудников, демонстрации своих возможностей, поиска посредников для хранения средств, тестирования бинарного кода модераторами или разрешения споров. Им труднее доказывать свою состоятельность, а разработчикам RaaS – удерживать лидирующие позиции в сообществе киберпреступников.

За последние годы программы-вымогатели принесли их создателям прибыль, исчисляемую миллиардами долларов. Рано или поздно найдутся люди, которые посчитают, что они непременно должны получить свою долю.

В 2022 г. ожидается появление новых материально независимых групп киберпреступников, после чего ведущее положение в экосистеме RaaS перейдет от тех, кто контролирует ПО, к тем, кто контролирует сети компании-жертвы.

4. После упомянутого передела власти в сфере RaaS менее квалифицированные операторы получат больше свободы

Экосистема Ransomware-as-a-Service развивалась благодаря появлению сообщников и посредников, сотрудничавших с разработчиками за долю прибыли. Эта организационная структура приобрела оптимальный вид в эпоху GandCrab, однако сегодня мы наблюдаем первый раскол в этом союзе.

Первоначально вся власть в этом альянсе принадлежала разработчикам, которые самостоятельно выбирали сообщников и даже проводили собеседования, чтобы определить уровень их технической подготовки. Чем больше игроков появлялось на рынке программ-вымогателей, тем выгоднее сообщники могли продать свои услуги. При этом они договаривались не только о повышенной доли прибыли, но и об учете их мнения при принятии решений. Например, функция составления списков Active Directory в программе-вымогателе DarkSide, возможно, ставила задачу нивелировать необходимость в высоком уровне технической грамотности сообщников. Эти перемены – признак возможного возврата к более ранним этапам становления программ-вымогателей, когда спрос на менее квалифицированных операторов, полностью полагающихся на опыт разработчиков ПО, был особенно высок.

5. Передача 5G- и IoT-трафика между сервисами API и приложениями делает их особенно привлекательными мишенями

Злоумышленники отслеживают корпоративную статистику и тренды, чтобы выявить сервисы и приложения с повышенным риском. Все типы облачных приложений (SaaS, PaaS и IaaS) стали источником качественной трансформации API на уровне планирования, потребления и применения разработчиками ПО в любых сценариях – B2B или B2C. Охват и популярность ряда облачных приложений, бесчисленные «сокровища» в виде критически важных для бизнеса данных, а также возможности указанных API делают их очень привлекательной мишенью для киберпреступников. Наличие API изначально предполагает связь с другими системами, что создает дополнительные риски для бизнеса. Эти интерфейсы часто становятся вектором для более обширных атак на цепочки поставок.

Судя по последним данным, более 80% всего интернет-трафика приходится на сервисы на базе API. Такая вездесущесть привлекает разработчиков вредоносного ПО, которые планируют атаки на API для получения максимальной прибыли.

Многофункциональные API давно эволюционировали из простого связующего ПО в полноценные приложения, на которых основана работа большинства современных потребительских приложений. Приведем несколько примеров:

• Мобильные приложения 5G. Связь 5G и развертывание конечных устройств IoT обслуживают растущую потребность в дополнительных возможностях подключения;
• Интернет вещей. По прогнозам, к 2025 г. в мире будут работать более 30,9 млрд. устройств IoT. В 2021 г. объем рынка промышленного IoT увеличится до 124 млрд. долл.;
• Пакеты динамических офисных программ онлайн-формата. К 2026 г. объем глобального рынка облачного офисного ПО достигнет 50,7 млрд. долл.

В большинстве случаев атаки на API остаются незамеченными, поскольку эти интерфейсы считаются доверенными каналами, к которым не применяются средства управления и обеспечения безопасности достаточного высокого уровня.

По прогнозам экспертов, особую актуальность в будущем приобретут следующие ключевые риски:

1. нежелательное раскрытие информации из-за неправильной настройки API;
2. эксплуатация современных механизмов аутентификации, например, Oauth/Golden SAML для доступа к API и устойчивого нахождения в атакуемых средах;
3. развитие традиционных атак с использованием вредоносного ПО для проникновения в систему и распространение в ней через облачные API, например, Microsoft Graph API. Примеры такого применения – недавние атаки SolarWinds и APT40/Gadolinium;
4. потенциальное незаконное использование API для захвата корпоративных данных, например, за счет внедрения программы-вымогателя в облачное хранилище типа OneDrive и т.д.;
5. использование API в программно-определяемой инфраструктуре также создает опасность ее полного захвата или создания теневой инфраструктуры с незаконными целями.

Видимость использования приложений и работы API должна стать приоритетом для организаций. Конечная цель – инвентаризация всех используемых API с учетом рисков и действенная политика контроля доступа к этим сервисам. Не менее важно обеспечить видимость элементов инфраструктуры, не связанных с пользователями, например, учетных записей служб и принципов работы приложений, которые интегрируют API в более широкую корпоративную экосистему.

Разработчикам API необходимо создать эффективную модель предупреждения угроз и внедрить механизм контроля доступа с нулевым доверием. Другие важные моменты – организация безопасного входа в систему и применение телеметрии для более эффективного реагирования на инциденты и обнаружение несанкционированного использования.

6. Дальнейшая эксплуатация контейнеров с приложениями приведет к захвату ресурсов конечных устройств хакерами

Фактически, контейнеры являются платформой для современных облачных приложений. Такие преимущества, как портативность, эффективность и высокая скорость, помогают организациям быстрее внедрять приложения и использовать инновационные способы управления бизнесом. Однако расширение использования контейнеров также увеличивает поверхность атаки. Какие методы могут применять хакеры, и какие группы рисков связаны с контейнерами? Эксплуатация общедоступных приложений (MITRE T1190) – метод, популярный среди киберпреступников, использующих APT и программы-вымогатели.

Организация Cloud Security Alliance (CSA) определила несколько групп рисков, связанных с образами, оркестраторами, реестрами, контейнерами как таковыми, хостовыми операционными системами и аппаратным обеспечением. Ниже представлены некоторые ключевые риски, которые, по прогнозам специалистов, будут активнее эксплуатироваться в будущем:

1. Риски оркестратора. Увеличение числа атак на уровне оркестрации – Kubernetes и связанных API, главным образом за счет ошибок в конфигурациях;
2. Риски образов или реестров. Увеличение случаев использования вредоносных или тайно внедренных образов за счет неэффективных проверок уязвимости;
3. Риски контейнеров. Увеличение числа атак на уязвимые приложения.

Более частая эксплуатация указанных уязвимостей в 2022 г. может повлечь за собой незаконное использование ресурсов с помощью вредоносного ПО для криптомайнинга, хищение данных, поддержку устойчивых атак и проникновение в хост-систему с помощью контейнеров.

Как можно защититься? В качестве мер по снижению рисков рекомендуется «встроить» безопасность в процесс DevOps за счет непрерывного контроля отсутствия ошибок в конфигурации, целостности образов и привилегий администратора. Используйте матрицу Mitre ATT&CK Matrix для контейнеров, чтобы выявить недостатки в архитектуре облачной безопасности.

7. Разработка эксплойтов для уязвимостей теперь занимает несколько часов, и с этим уже ничего не поделать… Единственное решение – экстренные патчи

Когда в 2020 г. были похищены данные 17 тыс. клиентов SolarWinds, после чего примерно 40 из них подверглись нападению хакеров, многие были шокированы масштабом взлома. К сожалению, в 2021 г. общее число скомпрометированных пользователей заметно увеличилось – на фоне крайне медленной реакции компаний на действия киберпреступников. Наглядный пример – спустя две недели после выпуска патча для ProxyLogon компанией Microsoft на 30 тыс. серверах Exchange уязвимость все еще не была устранена (по другим оценкам число серверов составило 60 тыс.).

В этом же году в Exchange обнаружилась вторая серьезная проблема – ProxyShell. В августе на следующий день после презентации Blackhat об уязвимостях Exchange Server был выпущен проверочный эксплойт (POC-эксплойт) для всех «дыр», закрытых патчами Microsoft в апреле и мае. По данным отчета Shodan, спустя неделю после появления этого эксплойта более 30 тыс. серверов Exchange оставались незащищенными – причем эти данные не давали полной картины происходящего (у специалистов Shodan не было времени, чтобы полностью просканировать Интернет). Говоря кратко, патчи были выпущены весной, но соответствующими уязвимостями еще можно было воспользоваться осенью.

Какой вывод можно сделать из всего вышесказанного? В следующем году и хакеры, и специалисты по безопасности продолжат совершенствовать свои навыки, чтобы создавать вредоносные и проверочные эксплойты в течение нескольких часов после раскрытия уязвимости. Вместе с тем, главным образом в связи с возрастанием серьезности последствий взлома, компании должны усилить бдительность и оптимизировать управление ресурсами и патчами. Им необходимо выявить общедоступные активы и внедрять «заплаты» в кратчайшие сроки, невзирая на возможные неудобства для работы бизнеса. Оперативное применение патчей должно стать одной из приоритетных задач. Хотя полностью исключить эксплуатацию уязвимостей с серьезными последствиями нельзя. Следует понимать, что чем больше организаций будут неукоснительно выполнять базовые правила, тем меньше будет масштаб кибератак.

Специалисты по информационной безопасности компании Cisco представили список наиболее значительных, по их мнению, кибератак уходящего года. Никому не дано в точности предсказать каким в этом плане станет 2022 г. Очевидно, что на фоне растущей доступности средств для взлома, цели злоумышленников и киберинциденты будут становятся все масштабнее. Поэтому, чтобы наступающий год не застал врасплох, стоит оглянуться и вспомнить ключевые события года уходящего.

Январь

Хотя первая атака на цепочку поставок SolarWinds произошла в декабре 2020 г., ее последствия ощущались еще долго после этого.

Объектами атак стали специалисты по кибербезопасности. В числе получателей вредоносных ссылок и запросов в соцсетях от фальшивых аккаунтов оказались и аналитики Cisco Talos.

Февраль

Оператор платформы Lockbit, которая предлагает программы-вымогатели в качестве услуги, предоставил ряд ценных сведений о положении дел в этой сфере и о том, как атакующие выбирают свои жертвы.

С появлением трояна Masslogger набирает популярность безфайловое вредоносное ПО. Этот троян ориентирован на кражу учетных данных из веб-браузеров.

В 2021 г. злоумышленники предпочитали работать на тех, кто больше заплатит. Первым признаком этого тренда стала деятельность группы Gamaredon.

Март

Пока подразделение Cisco Talos продолжало разбираться с SolarWinds, на первый план вышла группировка Hafnium, атаковавшая уязвимости нулевого дня сервера Microsoft Exchange. Самой опасной из брешей, выявленных в ходе этой кампании, оказалась ProxyLogon. Через нее атакующие могли пройти по цепочке и взять под свой контроль весь сервер.

Апрель

Несмотря на то, что вакцина от Covid-19 уже была широко доступна, признаков возвращения в офисы не наблюдалось. Общаясь между собой, некоторые сотрудники продолжали пользоваться такими приложениями для совместной работы, как Slack и Discord, но злоумышленники не дремали: доверенные серверы попадали под их контроль и распространяли вредоносное ПО.

Май

Вирус LemonDuck, впервые обнаруженный в 2020 г., получил дальнейшее развитие. Теперь он нацелился на серверы Exchange с упомянутыми выше уязвимостями и взял на вооружение фреймворк Cobalt Strike.

Выяснилось, что Gamaredon – лишь одна из группировок, старающихся оставаться в тени. Они стали именоваться каперами (Privateers).

Атаке вымогателя DarkSide подвергся крупнейший на восточном побережье США трубопровод Colonial Pipeline. В ряде штатов насосные станции на несколько дней остались без газа, остальные подняли цены.

Июнь

Через несколько недель после атаки на трубопровод Colonial Pipeline группировка DarkSide ушла в тень, отключив свой платежный портал и сообщив о прекращении деятельности. Со временем она всплывет под именем BlackMatter.

JBS, крупный мировой производитель мясной продукции, подвергся кибератаке вымогателей и выплатил 11 млн. долл. Хотя деятельность компании не прекращалась, это привело к панике среди американских потребителей и росту закупок мяса впрок.

Июль

Новый месяц вскрыл новые уязвимости Microsoft нулевого дня. В этот раз под прицелом атакующих оказалась брешь в диспетчере печати Windows, получившая название PrintNightmare.

Национальный праздник США 4 июля стал выходным днем для всех, кроме специалистов по кибербезопасности, которым пришлось сразиться с очередной атакой на цепочку поставок. В этот раз целью злоумышленников стал провайдер управляемых услуг Kaseya, который инфицировал жертв вымогателем REvil.

Август

Снова обнаружена уязвимость PrintNightmare. В этот раз ею воспользовалась группировка вымогателей Vice Society. Специалисты Cisco Talos выявили множество организаций, пострадавших от этой атаки.

Выросла популярность приложений для совместного доступа в Интернет, и атакующие не преминули этим воспользоваться. Эти приложения дают возможность заработать небольшие деньги, «сдавая в аренду» часть своего канала, но, как обнаружили специалисты, немалую долю таких арендаторов составили злоумышленники.

Сентябрь

В результате атаки веб-сайт Amnesty International стал распространителем антивирусного ПО, якобы предназначенного для удаления с мобильных устройств шпиона Pegasus. Вместо этого происходила рассылка вредоносного ПО и кража информации.

Утечка данных группировки Conti стала продолжением истории о программах-вымогателях как услуге. Это позволило многое узнать о ее активности в частности и о таких группировках вообще.

Октябрь

Новый крупный игрок на поле спама – вредоносное ПО Squirrelwaffle. Это одно из самых изощренных и опасных изобретений уходящего года.

Ноябрь

Очередной набор необнаруженных уязвимостей: Microsoft предупреждает об атаках на установщик Windows Installer, в результате которых атакующий может получить привилегии администратора. Тем временем, уязвимости сервера Exchange продолжают эксплуатироваться, на этот раз вымогателем Babuk.

Американская полиция арестовала двух человек, предъявив обвинение в участии в атаке на цепочку поставок Kaseya в составе хакерской группировки REvil. За информацию, которая будет способствовать аресту лидера REvil, объявлена награда 10 млн. долл.

На время притихший, после проведенного в начале года международного полицейского рейда на распространителей Emotet, ботнет снова подает признаки жизни.

Декабрь

Специалисты Talos выявили серию кампаний, проводимых группировкой, которую назвали Magnat. В ее арсенал входит фейковое расширение браузера Google Chrome.