Революция программ-вымогателей: актуальные киберриски в 2023 году

В этой статье пойдет речь об актуальных прогнозах в сфере кибербезопасности на 2023 год. Революция программ-вымогателей уже происходит, поэтому крайне важно обезопасить свою компанию от любых новых форм кибервымогательства.

Введение

Руководители ИБ-отделов и CISO десятилетиями защищают компании от программ-вымогателей, адаптируясь к изменениям в технологиях и избегая рисков, связанных с кражей данных или сбоями в работе критически важных систем. Однако у киберпреступников всегда есть козыри в рукаве, и теперь глобальное сообщество кибервымогателей, похоже, готово осуществить революцию, что сделает их программы более эффективными, универсальными и опасными.

Как изменится бизнес-модель использования программ-вымогателей?

Цепочка атак, организованных с помощью программ-вымогателей, может быть легко адаптирована в зависимости от вида преступной деятельности. Атаки киберпреступников варьируются для совершения различного рода вымогательств, компрометации деловой электронной почты (BEC), кражи криптовалюты и манипулирования фондовым рынком. На самом деле, уже есть свидетельства того, что программы-вымогатели стали использоваться революционно по-новому.

Чтобы защитить компанию от киберрисков следующего поколения, руководителям ИБ-отделов следует обратить свое внимание на возможные последствия революции программ-вымогателей.

1. Программы-вымогатели как средство получения информации правительством

Некоторые правительства уже набирают киберкоманды, которые будут использовать программы-вымогатели для получения дополнительной информации о компаниях и организациях. Например, Национальное агентство по борьбе с преступностью (англ. «National Crime Agency») Великобритании разработало особую программу по превращению хакеров-подростков в экспертов по этической безопасности. Однако другие государства больше заинтересованы в том, чтобы претендовать на инструменты и таланты уже сформированных специалистов на рынке.

Киберпреступники, которые могут проникнуть в системы компаний и вымогать у них большие деньги, способны легко осуществить и те виды атак, в которых заинтересованы многие государства. Отношения между правительством и хакерами можно описать как «услуга за услугу», поскольку группы, завербованные государством, получают официальное разрешение на атаку своих целей, если это соответствует национальным интересам. Однако, учитывая преступный характер групп вымогателей, столь же вероятно, что правительство будет иметь определенные рычаги воздействия на своих рекрутов в виде смягченных приговоров за уже осуществленные преступления.

Недавние события доказывают, что подобные сценарии развития событий не просто гипотетичны. Из-за конфликта между Россией и Украиной, который начался в 2022 году, группа хакеров Killnet перешла под руководство BlackSide – другой группы киберпреступников, имеющей опыт в вымогательстве, фишинге и краже криптовалют. Под руководством BlackSide группа Killnet атаковала такие цели, как Lockheed Martin, и утверждает, что украла данные сотрудников данного подрядчика в сфере обороны.

Такие группы, как BlackSide, имеющие доступ к высокоэффективным методам проникновения и государственное спонсирование, вскоре могут превратиться в серьезную угрозу.

2. Манипуляции на фондовом рынке

Киберпреступники из группировки Darkside проявили гнусную изобретательность в 2021 году. Они пошли на шаг дальше и не просто проникли в систему и развернули там полезную нагрузку для запуска программы-вымогателя. Вместо этого Darkside объединилась с биржевыми трейдерами, чтобы «шортить» свою жертву — распродать акции целевой компании до того, как информация о взломе станет достоянием общественности, чтобы получить прибыль от падения цен на фондовом рынке.

Финансовые регуляторы знакомы с подобной практикой и могут распознать подозрительные схемы торговли акциями. Однако в данном случае были применены более изысканные стратегии, такие как «шортить и запутывать», когда трейдеры помогли еще больше снизить цену акций, чтобы прибыль достигала сотен миллионов долларов и оправдывала риски. Кроме того, у киберпреступников, занимающихся манипуляциями на фондовом рынке, есть и другие методы увеличения своей прибыли.

Если взлом останется незамеченным, программы-вымогатели могут потратить недели на сбор конфиденциальных данных, чтобы снизить акции целевой компании. Затем, опубликовав новости о взломе, чтобы прервать нормальную работу фирмы, произойдет немедленное падение цен на рынке, что принесет огромную прибыль злоумышленникам.

Хотя схемы манипулирования фондовым рынком требуют определенного капитала, экспертных знаний и сообщников, они достаточно популярны среди многих групп киберпреступников. Руководителям ИБ-отделов необходимо заставить советы директоров признать, что всего одно нарушение может иметь разрушительные последствия для организаций, поскольку данные, цены на акции и общественный имидж будут поставлены под угрозу в одно мгновение.

3. Цепочки поставок

В последние годы участились атаки на цепочки поставок. Однако, когда эксперты в сфере кибербезопасности обсуждают угрозы, создаваемые этими проникновениями, они обычно рассматривают их как проблему национальной безопасности. Широкое распространение программ-вымогателей может быть столь же разрушительным. И, на самом деле, несколько амбициозных групп кибервымогателей уже доказали, насколько эффективной и опасной может быть подобная практика.

В 2021 году злоумышленники, связанные с REvil, внедрили программу-вымогатель через поставщиков программного обеспечения компании Kaseya, занимающейся IТ-решениями, и внедрились в около 1500 различных компаний. Такая атака очень эффективна, поскольку клиенты по своей сути доверяют управляемому программному обеспечению, в то время как злоумышленникам требуется всего несколько вложений, чтобы их внедрение оправдало себя.

Существуют и более опасные способы применения подобной практики – они сочетают в себе эффективность программ-вымогателей, широкий охват цепочки поставок и внедрение в компании, связанные с деятельностью самого государства. Программы-вымогатели NotPetya в 2017 году проникли в софтверную компанию MeDoc, на которую полагались почти 80% организаций в Украине. Хотя злоумышленники и смогли внедрить программу-вымогатель, истинной целью NotPetya, по-видимому, было создание хаоса, поскольку жертвы, согласившиеся заплатить, не смогли в итоге восстановить свои данные и работу системы.

Учитывая риски (финансовые или репутационные), связанные с подобными атаками, руководители ИБ-отделов должны позаботиться о том, чтобы ограничить воздействие извне, обеспечив безопасность цифровых цепочек поставок в своей организации.

4. Использование атак типа BEC вместо полезных нагрузок программ-вымогателей

Одно простое, но весьма опасное предсказание для будущего программ-вымогателей заключается в том, что вместо развертывания полезной нагрузки злоумышленники, обладающие навыками проникновения в компьютерные системы организации, будут использовать найденные там данные для осуществления другого типа атаки – BEC.

Компрометация деловой электронной почты (англ. «Business email compromise (BEC)») приводит к тому, что сотрудники начинают переводить злоумышленникам крупные суммы денег. Обычно для осуществления этой атаки не требуется никакого фишинга учетных данных или внедрения вредоносного ПО – достаточно общедоступной информации и социальной инженерии. И хотя социальная инженерия – это особый набор навыков, который еще предстоит освоить многим киберпреступникам, это только вопрос времени, когда гипотетическая бОльшая прибыль, побудит хакеров к изучению новых практик.

ФБР сообщает о том, что ущерб в мире от атак типа BEC в период с июня 2016 по декабрь 2021 года составил 43 миллиарда долларов, при этом средние потери в 2016 году оцениваются в $160 000. Подобные финансовые риски – это еще одна причина, из-за которой руководители ИБ-отделов должны серьезно относиться к каждому нарушению.

Заключение

Киберпреступники, использующие программы-вымогатели, постоянно совершенствуют свои методы, чтобы быть более эффективными и получать бОльшую прибыль. Это происходит не только для того, чтобы перехитрить руководителей ИБ-отделов, но и для того, чтобы конкурировать с другими кибергруппами.

Независимо от того, предполагает ли следующий сдвиг в бизнес-модели программ-вымогателей объединение усилий с правительством или другими квалифицированными сообщниками или изменение фокуса для максимизации прибыли, руководителям ИБ-отделов следует заблаговременно подумать о том, как снизить свои киберриски. Решений, которые обнаруживают программы-вымогатели, может оказаться недостаточно. Универсальная платформа XDR может обеспечить более быстрое и точное обнаружение и реагирование.

Автор переведенной статьи: компания Trend Micro.