ЕС ввёл новые киберсанкции, CISO продолжают относиться к ИИ с подозрением, в Нигерии арестовали почти 800 скамеров разом, аналитики ожидают удвоения числа фишинговых атак по итогам года, госхакеры КНДР доминируют в поле хищения криптовалюты, а в США продолжают использовать ранее забаненные решения Kaspersky.
ЕС вводит санкции против российских киберпреступников за «дестабилизирующие действия»
Европейский союз объявил о санкциях против российских киберпреступников за проведение атак и кампаний дезинформации за рубежом. Европейский совет ввел меры против 16 лиц и трех организаций, которые, как утверждается, предпринимают «дестабилизирующие действия за рубежом» от имени российского государства.
Это первый случай, когда межправительственное агентство ввело санкции в рамках правил, принятых в октябре 2024 года. Также в ЕС заявили, что осуждают «усиливающуюся кампанию гибридной деятельности» Кремля.
Активы всех организаций и лиц, указанных в новых санкциях, будут заморожены активов, а гражданам и компаниям ЕС будет запрещено предоставлять им средства. Кроме того, всем лицам, включенным в санкции, будет запрещен въезд или транзит через территорию ЕС.
GenAI: службы безопасности требуют решений, основанных на экспертных знаниях
Интеграция генеративного ИИ (GenAI) по-прежнему остается в центре внимания многих руководителей по кибербезопасности, но не любой ценой, согласно новому опросу CrowdStrike, опубликованному 17 декабря.
Из 1022 специалистов по глобальной кибербезопасности и ИТ, опрошенных в рамках исследования State of AI in Cybersecurity Survey, 64% либо изучают инструменты GenAI, либо уже приобрели их. Кроме того, 70% респондентов заявили, что намерены приобрести GenAI в течение следующих 12 месяцев. Подавляющее большинство считают, что GenAI в конечном итоге оптимизирует работу аналитиков, а не заменит человеческий труд.
Однако, несмотря на явный интерес, опрос показывает, что руководители по безопасности все еще находятся на ранней стадии интеграции GenAI: только 6% фактически внедрили такой инструмент и только 18% активно его тестируют.
Когда дело доходит до выбора правильного инструмента GenAI, восемь из десяти руководителей по безопасности (76%) отдают предпочтение инструментам, специально разработанным для кибербезопасности. Этот выбор в первую очередь обусловлен страхом принять неверные решения из-за инструмента GenAI, при этом 83% респондентов заявило, что не будут доверять инструментам, которые предоставляют неподходящие или необоснованные рекомендации по безопасности.
Наконец, те же восемь из десяти руководителей по безопасности предпочитают подход на основе платформы, с помощью которого они могут развертывать GenAI для нескольких вариантов использования, а не развертывать GenAI в каждом конкретном случае.
Нигерия борется с мошенничеством в сфере криптовалютных инвестиций и аферами в сфере романтических отношений
792 человека были арестованы в Лагосе, самом густонаселенном городе Нигерии, за предполагаемое участие в крупномасштабной мошеннической схеме с криптовалютой и афере с романтическими отношениями. Информацию об аресте обнародовал 16 декабря Ола Олукойеде, исполнительный председатель Комиссии по экономическим и финансовым преступлениям Нигерии (EFCC).
Подозреваемые разных национальностей, в том числе 148 китайцев и 40 филиппинцев, два казахстанца, один пакистанец и один индонезиец, были задержаны 10 декабря в ходе неожиданной операции в их убежище, внушительном здании, известном как Big Leaf Building, на острове Виктория в Лагосе.
На пресс-конференции Олукойеде рассказал, что подозреваемые использовали объект, который можно было ошибочно принять за корпоративную штаб-квартиру финансового учреждения, для обучения своих нигерийских сообщников тому, как инициировать аферы с романтическими отношениями и инвестициями с использованием фишинговых методов. Они также использовали личности своих нигерийских сообщников для совершения преступных действий. Сеть в основном нацеливалась на жертв, проживающих в США, Канаде, Мексике и Европе.
«Все этажи оборудованы высокопроизводительными настольными компьютерами. Только на пятом этаже следователи обнаружили 500 SIM-карт местных телекоммуникационных компаний, которые были куплены в преступных целях», — уточнил представитель EFCC.
Для нигерийских сообщников создаются учетные записи WhatsApp, привязанные к иностранным телефонным номерам, особенно из Германии и Италии, и они вовлекают жертв в романтические разговоры, а также в фиктивные деловые и инвестиционные обсуждения, чтобы обманом заставить их совершать покупки на предполагаемой онлайн-платформе для инвестиций под названием www[.]yooto[.]com.
«Иностранцы злоупотребляют печальной репутацией нашей страны как убежища мошенников, чтобы обосноваться здесь и скрыть свои чудовищные преступные предприятия. Но, как показала эта операция, в Нигерии преступникам негде будет укрыться», — заявил Ола Олукойеде.
EFCC сотрудничает со своими партнерами, чтобы установить масштабы мошенничества и соучастников, а также вероятность любого сотрудничества с организованными международными мошенническими группами.
Число фишинговых атак удвоится в 2024 году
Эксперты по кибербезопасности выявили резкое увеличение фишинговых атак, включая рост общего числа фишинговых сообщений на 202% во второй половине 2024 года. Согласно отчету SlashNext о фишинговой разведке за 2024 год, в тот же период также наблюдался существенный всплеск фишинговых атак с использованием учетных данных на 703%.
Основные выводы исследования показывают, что пользователи сталкиваются в среднем с одной сложной фишинговой атакой на почтовый ящик каждую неделю. Мобильные пользователи сталкиваются с 600 угрозами ежегодно, что подчеркивает переход от фишинга только по электронной почте к многоканальным подходам.
Среди всех векторов атак фишинг на основе ссылок остается наиболее распространенным, при этом 80% вредоносных ссылок классифицируются как угрозы нулевого дня — недавно созданные URL-адреса, которые обходят традиционные методы обнаружения.
Тенденции и методы атак
В отчете тактика фишинга разбита на три основные категории:
Сканирование в реальном времени показало, что большинство атак на основе ссылок включают URL-адреса нулевого дня, созданные незадолго до использования. Они обходят обычные средства защиты на основе сигнатур, требуя от организаций развертывания инструментов анализа угроз в реальном времени.
«Мы знаем, что по мере того, как мы внедряем инновации, злоумышленники будут находить новые и новые способы запуска вредоносных кампаний, — отметила Николь Кариньян, вице-президент по стратегическому кибер-ИИ в Darktrace. — Например, в 2024 году мы увидели рост злоупотреблений широко используемыми сервисами и платформами, включая Microsoft Teams и Dropbox, для фишинговых кампаний».
Мобильные и многоканальные риски
Анализ также показывает, что фишинг выходит за рамки электронной почты, нацеливаясь на такие платформы и сервисы, как SMS, LinkedIn и Microsoft Teams. Мобильные угрозы — smishing и вредоносные ссылки в приложениях для обмена сообщениями — остаются серьезной проблемой. Пользователи сталкиваются в среднем с одной мобильной угрозой в неделю, с пиками от трех до шести в периоды высокой активности.
Взгляд в будущее
Поскольку злоумышленники все чаще используют ИИ для создания сложных фишинговых кампаний, организациям следует пересмотреть свою структуру безопасности. Отчет SlashNext прогнозирует рост угроз на платформах обмена сообщениями, при этом злоумышленники используют инструменты совместной работы и тактику социальной инженерии. Эта эволюция требует комплексного автоматизированного подхода для обнаружения и устранения масштабных угроз.
«Важнейшим дополнением к этим стратегиям должно стать применение технологии аутентификации без пароля или ключей входа (Passkeys)», — прокомментировал тенденцию генеральный директор Keeper Security Даррен Гуччионе.
«Эти технологии дополняют существующие меры безопасности, снижая зависимость от традиционных паролей, которые остаются главной целью для фишинга и других атак на основе учетных данных. Ключи входа добавляют уровень безопасности с помощью биометрической или основанной на устройстве авторизации, что затрудняет злоумышленникам использование украденных учетных данных», — добавил он.
Криптохакеры украли 2,2 млрд долларов: пока доминируют северокорейцы
По данным Chainalysis, в 2024 году злоумышленники украли 2,2 млрд долларов с криптовалютных платформ, причем большая часть (61%) незаконных средств приписывается северокорейским хакерам.
Аналитическая компания блокчейна анализирует потоки криптовалюты уже несколько лет и заявила, что 2024-й — это пятый год за последнее десятилетие, когда хакеры украли более миллиарда долларов у криптовалютных компаний. Показатель за текущий год представляет собой рост на 21% в годовом исчислении, при этом количество отдельных инцидентов также резко возросло — с 282 в 2023 году до 303 в 2024-м.
Однако интенсивность атак снизилась во второй половине года — возможно, по геополитическим причинам. Общая стоимость похищенных в период с января по июль 2024 года средств достигла 1,58 млрд долларов, что на 84% больше, чем за аналогичный период 2023-го, и, если бы эта сумма была сопоставима со второй половиной года, потери составили бы более 3 млрд долларов.
Chainalysis предположил, что замедление атак может быть результатом встречи Владимира Путина с Ким Чен Ыном в июне, где, как считается, была достигнута сделка о разблокировании северокорейских активов стоимостью в миллионы долларов, ранее замороженных в соответствии с санкциями Совета Безопасности ООН, а также о потенциально передовых ракетных и подводных технологиях. В отчете отмечается, что стоимость средств, украденных северокорейскими хакерами, снизилась на 54% после саммита.
При этом в целом атаки со стороны Северной Кореи становятся все более частыми, утверждают в Chainalysis: «Примечательно, что атаки на сумму от 50 до 100 млн долларов и более 100 млн долларов происходили в 2024 году гораздо чаще, чем в 2023-м, что говорит о том, что КНДР становится лучше и быстрее в масштабных операциях. Это резко контрастирует с предыдущими двумя годами, в течение которых ее операции чаще приносили прибыль менее 50 млн долларов».
К сожалению, этот рост также сопровождается «растущей плотностью» взломов, которые приносили меньшие суммы — около 10 тыс. долларов. «Некоторые из этих событий, по-видимому, связаны с северокорейскими ИТ-работниками, которые все чаще проникают в крипто- и Web3-компании и нарушают их сети, операции и целостность», — предупредили аналитики Chainalysis.
«Эти работники часто используют сложные тактики, методы и процедуры (TTP), такие как поддельные удостоверения личности, посредники по найму третьих лиц и манипулирование возможностями удаленной работы для получения доступа», — заключили они.
Создание более надежной защиты
Chainalysis призвала компании более тщательно проверять потенциальных сотрудников и улучшить гигиену закрытых ключей для защиты своих активов. В более общем плане она рекомендовала «инициативы по обмену данными, передовые инструменты отслеживания и целевое обучение», чтобы помочь криптофирмам повысить устойчивость и лучше выявлять и нейтрализовывать угрозы.
«Кроме того, по мере того, как криптонормативные рамки продолжают развиваться, контроль за безопасностью платформ и защитой активов клиентов, вероятно, усилится. Передовые отраслевые практики должны идти в ногу с этими изменениями, обеспечивая как профилактику, так и подотчетность, — полагают в Chainalysis. — Способствуя более тесному партнерству с правоохранительными органами и снабжая команды ресурсами и опытом для быстрого реагирования, криптоиндустрия может усилить свою защиту от краж».
Организации США продолжают использовать продукты Kaspersky, несмотря на запрет
Несмотря на запрет продуктов Kaspersky в США, они продолжают активно использоваться организациями США, в том числе 19 государственными учреждениями. Анализ Bitsight показал, что 40% организаций США, которые, как было отмечено, использовали продукты Kaspersky до вступления запрета в силу 29 сентября 2024 года, по-видимому, по-прежнему используют эти решения.
Результаты показывают, что политикам нужны эффективные способы измерения текущего использования технологий на фоне растущей обеспокоенности правительства рисками цепочки поставок и доверием поставщиков технологий, заявила Bitsight. Анализ был основан на наблюдении Bitsight за соединениями/коммуникациями между глобальными IP-адресами, которые она приписала конкретным организациям, и серверами обновлений Kaspersky.
Значительное падение использования продуктов Kaspersky
Несмотря на продолжающееся использование продуктов Kaspersky, исследование показало, что запрет оказал значительное влияние на глобальное применение решений вендора. В апреле 2024 года Bitsight зафиксировал около 22 тыс. глобальных организаций и более семи миллионов уникальных IP-адресов, взаимодействующих с серверами обновлений Kaspersky. К 30 ноября это число сократилось до примерно 8000 глобальных организаций и двух миллионов уникальных IP-адресов, что говорит о падении примерно на две трети.
Темпы падения использования продуктов Kaspersky в период с апреля по ноябрь были выше в странах, которые не ввели прямые запреты. К ним относятся Германия (падение на 69%), Великобритания (70%) и Италия (65%), что сопоставимо с 58% в США.
Bitsight пишет: «Заявление правительства США о запрете Kaspersky явно повлияло на глобальное использование продуктов Kaspersky как в США, так и на международном уровне. Но данные показывают более сложную историю. С одной стороны, запрет, по-видимому, не полностью исключил использование Kaspersky в США к установленному сроку».
«Не менее интересно влияние, которое запрет США, по-видимому, оказывает на использование Kaspersky в других странах, даже в местах, которые ранее объявили о своих собственных ограничениях и предупреждениях», — добавили эксперты.
20 июня 2024 года Бюро промышленности и безопасности Министерства торговли США (BIS) вынесло окончательное решение, запрещающее Kaspersky Lab, Inc., американскому филиалу российской компании по кибербезопасности, предоставлять какие-либо продукты или услуги в США.
Этот запрет мотивирован предполагаемыми связями компании с российскими властями, которые, по мнению властей США, представляют угрозу национальной безопасности. Kaspersky отрицает, что находится под влиянием Кремля, и пообещала оспорить запрет. Однако в июле московская компания объявила о свертывании своей деловой деятельности в США.
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.png)