Компания Fortinet представила основные результаты нового полугодового исследования FortiGuard Labs Global Threat Landscape Report. Данные об угрозах свидетельствуют о значительном увеличении объема и сложности атак, направленных на отдельных лиц, организации и критическую инфраструктуру. Расширяющаяся поверхность атаки – гибридная рабочая сила и учащиеся, находящихся в периметре традиционной сети и вне ее – остается мишенью злоумышленников. Своевременное сотрудничество и развитие партнерских отношений между правоохранительными органами, а также государством и частными компаниями даст возможность нарушить экосистему киберпреступников.

Основные выводы исследования за первое полугодие:

Данные FortiGuard Labs показывают, что средняя еженедельная активность программ-вымогателей в июне 2021 г. была более чем в десять раз выше, чем годом ранее. Это демонстрирует постоянный и в целом устойчивый рост в течение года. Атаки нанесли ущерб цепочкам поставок множества организаций, в частности, критически важным секторам, и повлияли на повседневную жизнь, производительность и торговлю больше, чем когда-либо прежде.

Больше всего досталось организациям телекоммуникационного сектора, за ними следовали государственные учреждения, поставщики управляемых услуг безопасности, автомобильный и производственный секторы.

Кроме того, некоторые операторы программ-вымогателей сместили свою стратегию с загрузки через электронную почту к сосредоточению на получении и продаже начального доступа к корпоративным сетям, что еще раз демонстрирует продолжающуюся эволюцию программ-вымогателей как услуги (RaaS), подпитывающую киберпреступность.

Ключевой вывод заключается в том, что программы-вымогатели остаются явной и реальной опасностью для всех организаций, независимо от отрасли и размера. Организациям необходимо применять упреждающий подход с решениями для защиты конечных точек в реальном времени, обнаружения и автоматического реагирования для обеспечения безопасности сред наряду с подходом с нулевым доверием, сегментацией сети и шифрованием.

Рейтинг распространенности наиболее часто обнаруживаемых вредоносных программ по их семействам показывает рост числа вредоносной рекламы (malvertising) с использованием социальной инженерии и scareware. Более одной из четырех организаций выявляли попытки распространения вредоносной рекламы или scareware, среди которых Cryxos – самое известное семейство. Хотя, скорее всего, большое количество обнаружений сочетается с другими подобными кампаниями JavaScript, которые можно считать вредоносной рекламой. Гибридная рабочая реальность, несомненно, подтолкнула киберпреступников к этой тактике – они используют ее чтобы запугивать и вымогать. Чтобы человек не стал жертвой scareware и вредоносной рекламы, как никогда важно обучать его и повышать осведомлённость о таких подходах.

Отслеживание распространенности обнаружения ботнетов показало всплеск активности. В начале года 35% организаций обнаруживали активность ботнетов в том или ином виде, а через шесть месяцев этот показатель составил 51%. За общий всплеск активности в июне ответственен TrickBot. Изначально банковский троян со временем превратился в сложный и многоступенчатый инструментарий, поддерживающий целый ряд незаконных действий.

Mirai был самым распространенным в целом; он обогнал Gh0st в начале 2020 г. и с тех пор сохранял лидерство до 2021 г. Mirai продолжает пополнять свой арсенал новым кибероружием, но вполне вероятно, что его доминирование, по крайней мере частично, все еще обусловлено стремлением преступников эксплуатировать устройства Интернета вещей (IoT), используемые людьми, работающими или обучающимися на дому.

Также заметна активность Gh0st – ботнета удаленного доступа, который позволяет злоумышленникам полностью контролировать зараженную систему, захватывать прямые трансляции с веб-камеры и микрофона или загружать файлы.

Более чем через год после начала удаленной работы и сменного обучения киберпротивники продолжают использовать в своих целях новые повседневные привычки. Для защиты сетей и приложений организациям необходимы подходы с нулевым доверием к доступу, обеспечивающие наименьшие привилегии доступа для защиты от проникновения в сеть конечных точек и устройств IoT.

В тоже время, борьба с киберпреступностью дает плоды. В сфере кибербезопасности не каждое действие имеет немедленный или длительный эффект, но несколько событий 2021 г. свидетельствуют о позитивных изменениях именно для защитников. В июне первоначальному разработчику TrickBot были предъявлены многочисленные обвинения. Кроме того, скоординированное уничтожение Emotet, одного из самых распространенных вредоносных программ в новейшей истории, а также действия по пресечению операций программ-вымогателей Egregor, NetWalker и Cl0p представляют собой значительный импульс со стороны киберзащитников, включая мировые правительства и правоохранительные органы, направленный на борьбу с киберпреступностью.

Кроме того, внимание, которое привлекли некоторые атаки, заставило нескольких операторов программ-вымогателей объявить о прекращении своей деятельности. Данные FortiGuard Labs свидетельствуют о замедлении активности угроз после уничтожения Emotet. Активность, связанная с вариантами TrickBot и Ryuk, сохранилась и после отключения ботнета Emotet, но ее объем снизился. Это напоминание о том, как трудно сразу ликвидировать киберугрозы или цепочки поставок противника, но эти события являются важными достижениями, несмотря ни на что.

Изучение данных об угрозах с более высоким разрешением позволяет сделать ценные выводы о том, как развиваются методы атак в настоящее время. Лаборатория FortiGuard Labs проанализировала специфическую функциональность, присущую обнаруженным вредоносным программам, испытал образцы, чтобы проследить, какой результат предполагался киберпротивниками. В результате был составлен список негативных действий, которые вредоносное ПО могло бы совершить, если бы полезная нагрузка атаки была выполнена в целевых средах.

Это показывает, что киберпротивники стремились к повышению привилегий, обходу защитных систем, боковому перемещению по внутренним системам и утечке скомпрометированных данных, среди прочих методов. Например, 55% наблюдаемых функций повышения привилегий использовали хукинг, а 40% – внедрение процессов. Отсюда можно сделать вывод, что защитники уделяют особое внимание тактике уклонения от защиты и эскалации привилегий. Хотя эти методы не являются новыми, организации будут лучше защищены от будущих атак, вооружившись этими своевременными знаниями. Интегрированные и основанные на искусственном интеллекте (ИИ) платформенные подходы, основанные на оперативной информации об угрозах, необходимы для защиты по всем направлениям, а также для выявления и устранения меняющихся угроз, с которыми организации сталкиваются сегодня в режиме реального времени.

В то время как правительство и правоохранительные органы принимали меры в отношении киберпреступности в прошлом, первая половина 2021 г. может изменить правила игры с точки зрения динамики развития событий в будущем. Для принятия действенных мер против киберпреступников необходимо всестороннее сотрудничество с отраслевыми поставщиками, организациями по анализу угроз и другими глобальными партнерскими организациями, чтобы объединить ресурсы и информацию об угрозах в реальном времени. Тем не менее, автоматическое обнаружение угроз и искусственный интеллект по-прежнему необходимы для того, чтобы организации могли реагировать на атаки в режиме реального времени и смягчать их с высокой скоростью и масштабируемостью на всех уровнях. Кроме того, обучение пользователей по вопросам кибербезопасности так же важно, как и прежде. Все нуждаются в регулярном обучении передовым методам обеспечения безопасности отдельных сотрудников и организации.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365