Мир за неделю: Запад закручивает гайки в сфере ИБ, а доходы хакеров растут

ВЭФ констатирует цифровое неравенство в сфере ИБ, хактивисты из Алжира берут своё числом, президент Джо Байден перед уходом наложил ограничения на экспорт технологий ИИ, в Великобритании запрещают госсектору платежи за вымогательство, Microsoft страдает от уязвимостей нулевого дня, киберпреступники предпочитают криптовалюты, требования нового закона ЕС о киберустойчивости поставили бизнес в тупик.

 

ВЭФ предупреждает о растущей несправедливости в киберпространстве

Несправедливость в информационной сфере усилилась за последний год на фоне растущей сложности в киберпространстве и геополитической неопределенности, говорится в Глобальном прогнозе кибербезопасности 2025 Всемирного экономического форума (ВЭФ).

В отчете, опубликованном 13 января 2025 года, ВЭФ выявил существенное неравенство в возможностях различных предприятий, секторов и регионов эффективно реагировать на кибератаки. Более трети (35%) малых организаций считают, что их киберустойчивость недостаточна, и эта доля выросла в семь раз с 2022 года. Напротив, доля крупных организаций, сообщающих о недостаточной киберустойчивости, сократилась почти вдвое.

Что касается региональных различий, то 36% респондентов исследования ВЭФ в Африке и 42% в Латинской Америке не уверены в способности своей страны реагировать на крупные киберинциденты, направленные против критической инфраструктуры. В Европе и Северной Америке только 15% заявили, что у них нет такой уверенности.

В отчете ВЭФ также говорится, что государственный сектор значительно менее подготовлен к решению киберинцидентов по сравнению с коллегами из частного сектора. Так, 38% респондентов из госсектора сообщили о недостаточной устойчивости, по сравнению с 10% средних и крупных организаций частного сектора. Связано это и с нехваткой квалифицированных кадров, и с растущей сложностью ландшафта кибербезопасности, что привело к увеличению затрат и навыков, необходимых организациям для обеспечения киберустойчивости.

Негативными факторами в сфере кибербезопасности, являются эскалация геополитической напряженности и связанные с ней кибершпионаж и потеря конфиденциальной информации или интеллектуальной собственности, растущая сложность цепочек поставок в сочетании с отсутствием прозрачности и контроля за уровнями безопасности поставщиков, уязвимости и риски, связанные с быстрым внедрением ИИ, распространение и дисгармония стремительно растущих глобальных правил кибербезопасности, нехватка основных талантов и навыков для выполнения необходимых требований безопасности.

 

Новая группа вымогателей использует ИИ для разработки вредоносных инструментов

Новая группа вымогателей, получившая название FunkSec, которая появилась в конце 2024 года, заявила, что только в декабре она атаковала 85 жертв, согласно Check Point Research (CPR). В отчете от 10 января CPR отметила, что операторы FunkSec, по-видимому, используют разработку вредоносного ПО с помощью ИИ. Это позволяет даже неопытным злоумышленникам быстро создавать и совершенствовать передовые инструменты.

FunkSec представляет себя как новую операцию по предоставлению программ-вымогателей как услуги (RaaS), и, похоже, не имеет известных связей с ранее выявленными бандами вымогателей. В настоящее время мало информации о ее происхождении или деятельности. Check Point указала, что группа использует тактику двойного вымогательства, сочетая кражу данных с шифрованием, чтобы заставить жертв платить выкуп.

Хотя до декабря 2024 года группа была практически неизвестна, в том месяце группа опубликовала данные о жертвах более чем 85 организаций, превзойдя активность всех других группировок, занимающихся вымогательством. Сайт утечки данных группы раскрывает большое количество жертв, охватывающих все континенты. При всём том значительная часть утекших наборов данных группы, по-видимому, переработана из предыдущих кампаний хактивизма, что вызывает вопросы о подлинности их заявлений.

Исследователи Check Point отметили, что группа требует необычно низкие выкупы, иногда всего лишь 10 000 долларов, и продает украденные данные третьим лицам по сниженным ценам. Эксперты оценили, что реальность воздействия FunkSec скромна, как с точки зрения реальных жертв, так и уровня знаний группы. Операции FunkSec, вероятно, проводятся неопытными лицами, связанными с деятельностью хактивистов.

Предложение FunkSec включает в себя специально разработанный инструмент распределенного отказа в обслуживании (DDoS), инструмент, предназначенный для удаленного управления рабочим столом, автоматизации и взаимодействия с данными, а также интеллектуальный инструмент генерации и сбора паролей. Анализ Check Point публичных операций и инструментов группы выявил специальный шифровальщик, вероятно, разработанный относительно неопытным автором вредоносного ПО из Алжира.

Часть инструментов группы вымогателей, вероятно, была разработана с использованием решений разработки с использованием ИИ, прокомментировал CPR. Такой метод «мог способствовать их быстрой итерации, несмотря на очевидное отсутствие у автора технических знаний», написали исследователи.

FunkSec использовала несколько персон, чтобы добиться известности, и пыталась ассоциировать себя с несколькими ныне несуществующими группами хактивистов, включая Ghost Algéria и Cyb3r Fl00d. Группа также, по-видимому, нацелена на организации в странах, связанных с Израилем или поддерживающих его.

 

Новое правило ИИ направлено на предотвращение неправомерного использования технологий США

Уходящая администрация Байдена-Харрис ввела новое Временное окончательное правило о распространении искусственного интеллекта, направленное на укрепление национальной безопасности США и предотвращение неправомерного использования передовых технологий США странами, вызывающими беспокойство.

Меры, определенные в новом правиле, включают продолжающиеся ограничения на продажу передовых полупроводников для предотвращения их использования в обучении сложных систем ИИ, ограничение передачи весов модели для передовых моделей с закрытым весом, установку протоколов безопасности для защиты моделей ИИ с закрытым весом, лицензирование продаж чипов.

Правило еще больше упрощает лицензирование продаж чипов, чтобы обеспечить ответственное глобальное распространение технологии ИИ. Оно снимает ограничения на продажу чипов 18 ключевым союзникам и партнерам с сильными структурами защиты технологий, облегчая доступ для юрисдикций, соответствующих интересам безопасности США.

Заказы на чипы, включающие вычислительную мощность до примерно 1700 передовых графических процессоров, не потребуют лицензии. Это исключение распространяется на большинство заказов на чипы от университетов, медицинских учреждений и исследовательских организаций, использующих ИИ для неконфиденциальных целей. Эта мера также ускоряет поставку низкорисковых технологий США по всему миру.

Чтобы обеспечить безопасность технологии ИИ, правило вводит два ключевых стандарта. Статус «универсальный проверенный конечный пользователь» (UVEU) предоставляется субъектам в союзных странах, позволяя им размещать до 7% своих глобальных вычислительных мощностей ИИ в других странах, сохраняя при этом передовую подготовку в США. Статус «национальный проверенный конечный пользователь» (NVEU) доступен субъектам за пределами стран, вызывающих беспокойство, разрешая закупку вычислительной мощности, эквивалентной до 320 000 передовых графических процессоров в течение двух лет.

Субъекты, не подпадающие под эти категории, по-прежнему могут приобретать до 50 000 передовых графических процессоров в каждой стране, гарантируя, что технологии США поддерживают такие секторы, как здравоохранение и телекоммуникации по всему миру.

По мнению экспертов, правило отражает более широкий консенсус в Вашингтоне относительно того, что ИИ утверждает себя как технология «великой державы», подчеркивая важность сохранения доминирования США и союзников, одновременно предостерегая от чрезмерно ограничительного экспортного контроля, который может подавить инновации. Чтобы не уйти в изоляционизм и не подорвать международное сотрудничество, эксперты рекомендуют сосредоточиться на создании точных, направленных средств контроля, которые защищают критически важные возможности ИИ.

 

Великобритания рассматривает возможность запрета платежей за вымогательство государственными органами

Правительство Великобритании предложило запретить государственному сектору и организациям критической инфраструктуры осуществлять платежи за вымогательство. Предлагаемый запрет был включен в консультацию, проведенную Министерством внутренних дел. Он направлен на защиту больниц, школ, железных дорог и других важных государственных служб от растущей угрозы программ-вымогателей. Консультации продлятся 12 недель и завершатся 8 апреля.

Инициатива правительства стала ответом на многочисленные недавние громкие атаки с использованием программ-вымогателей, которые нарушили работу государственных служб, привели к утечкам данных и серьезным экономическим потерям. Например, атака на Королевскую почту в начале 2023 года, по оценкам, обошлась службе в 10 млн фунтов стерлингов на восстановление и снижение доходов.

Расчет Министерства внутренних дел состоит в том, чтобы сделать критически важные службы непривлекательными целями для программ-вымогателей. Также было предложено создание обязательного режима отчетности об инцидентах с программами-вымогателями. Он будет направлен на увеличение доступных разведданных об атаках программ-вымогателей для правоохранительных органов Великобритании.

Информация, собранная из обязательной отчетности, будет использоваться для поддержки международных операций правоохранительных органов, направленных против банд, занимающихся программами-вымогателями, таких как операция Cronos, которая пресекла деятельность группы, занимающейся программами-вымогателями LockBit в 2024 году.

Кроме того, в ходе консультаций будет рассмотрена реализация режима предотвращения платежей за программы-вымогатели, который предоставит жертвам руководство о том, как реагировать в случае инцидента. Он также поможет заблокировать платежи известным преступным группам и организациям, находящимся под санкциями. Эта услуга также послужит повышению осведомленности Национального агентства по борьбе с преступностью (NCA) о реальных атаках и требованиях выкупа преступниками.

Предложения следуют рекомендациям, выпущенным Инициативой по борьбе с программами-вымогателями в октябре 2024 года, которая призывает организации рассмотреть другие варианты, прежде чем выплачивать киберпреступникам выплаты за программы-вымогатели.

Вопрос о запрете организациям производить выплаты за программы-вымогатели является спорным в индустрии кибербезопасности. Эксперты подчеркивают потенциальные непреднамеренные последствия введения таких запретов, такие как постановка предприятий в положение, когда они либо выходят из бизнеса, либо платят выкуп незаконно. Хотя всеобщие запреты рассматривались другими правительствами, включая Австралию, они до сих пор воздерживались от их внедрения.

Эд Макнейр, генеральный директор Censornet, подчеркнул, что запрет на выплаты за программы-вымогатели государственным и критически важным инфраструктурным компаниям может привести к двухуровневому обществу, в котором частные компании подвергаются более высокому риску, включая предприятия малого и среднего бизнеса, имеющие ограниченные ресурсы кибербезопасности.

Также есть сомнения относительно того, действительно ли запрет платежей дестимулирует злоумышленников, занимающихся программами-вымогателями. Большинство коммерчески мотивированных злоумышленников неразборчиво в своих целях. Кроме того, атаки с использованием программ-вымогателей, спонсируемых государством, в первую очередь направлены на то, чтобы вызвать сбои, а это означает, что запрет платежей не повлияет на их цели.

В ежегодном обзоре Национального центра кибербезопасности (NCSC) за 2024 год атаки с использованием программ-вымогателей были определены как самая непосредственная и разрушительная угроза критически важной национальной инфраструктуре Великобритании. В отчете отмечается, что эти атаки в основном осуществляются российскими преступными группировками.

 

Microsoft исправила восемь уязвимостей нулевого дня в начале года

Microsoft выпустила обновления безопасности для восьми уязвимостей нулевого дня в свой первый вторник исправлений 2025 года, при этом три уязвимости активно эксплуатируются. Microsoft определяет их как программные уязвимости, которые либо были публично раскрыты, либо активно эксплуатируются, при этом не доступно исправление.

Три исправленные уязвимости нулевого дня, которые относятся к последней группе, — это CVE-2025-21333, CVE-2025-21334 и CVE-2025-21335. Они описываются как ошибки повышения привилегий (EoP) Windows Hyper-V NT Kernel Integration VSP с оценкой CVSS 7,8. Старший директор по исследованию угроз Immersive Labs Кев Брин предупредил системных администраторов не обманываться относительно низким баллом CVSS, учитывая, что Hyper-V «сильно встроен» в Windows 11 и используется для ряда задач безопасности, включая защиту устройств и защиту учетных данных.

«Microsoft предоставляет очень мало информации о том, как злоумышленники используют эту уязвимость. Однако они перечислены как уязвимости EoP — это означает, что если злоумышленник уже получил доступ к хосту с помощью чего-то вроде фишинговой атаки, то он может использовать эти уязвимости для получения разрешений на уровне системы на зараженном устройстве», — пояснил он.

«С разрешениями на уровне системы злоумышленники могут включить другие векторы атак, такие как отключение инструментов безопасности или сброс учетных данных с помощью таких инструментов, как mimikatz, для перемещения между корпоративными доменами. Эти методы часто наблюдаются у государственных и финансово мотивированных групп, таких как операторы программ-вымогателей».

Тайлер Регули, заместитель директора по исследованиям и разработкам в области безопасности в Fortra, также отметил три критических уязвимости CVE во вторник с оценками CVSS 9,8. С учетом того, что в этом месяце Microsoft устранила более 150 уязвимостей CVE, управление исправлениями должно быть автоматизировано, если организации хотят удержаться на плаву, утверждает Регули.

«Исправление уязвимостей не должно быть индивидуальным занятием на предприятии, и если это так, возможно, пришло время поговорить с вашим руководством об изменениях в кадровом составе и инструментах», — добавил он.

 

Незаконные поступления криптовалюты должны превысить 51 млрд долларов за год

По данным Chainalysis, в прошлом году злоумышленники обманом, взломом и мошенничеством получили от жертв не менее 41 млрд долларов, и эта цифра, вероятно, со временем превысит 51 млрд долларов. В прошлом году компания по анализу блокчейна расследовала незаконную деятельность в сети, сосредоточившись на таких конкретных категориях, как украденные средства, рынки даркнета и программы-вымогатели, а не на традиционной преступности, вроде незаконного оборота наркотиков.

Хотя ее первоначальная оценка на 2024 год (40,9 млрд долларов) показывает меньше средств, полученных незаконными криптовалютными адресами, чем в предыдущем году (46,1 млрд долларов), эта цифра, вероятно, вырастет примерно на 25%, как только Chainalysis выявит больше адресов, связанных с преступной деятельностью. Самые большие суммы были связаны с категориями «незаконный субъект-организация», «мошенничество», «рынок даркнета», «украденные средства», «санкционированная юрисдикция» и «санкционированное учреждение».

За последние годы Bitcoin стал гораздо менее популярным среди киберпреступников. В 2024 году большая часть (63%) незаконной деятельности была связана со стейблкоинами. Однако, по данным Chainalysis, Bitcoin продолжает доминировать в некоторых видах криптовалютных преступлений, таких как программы-вымогатели и продажи на рынке даркнета. Кроме того, в отчете о криптовалютных преступлениях не рассматривается ведущая конфиденциальная монета Monero, которая, как известно, популярна среди киберпреступников.

Украденные средства увеличились примерно на 21% в год до 2,2 млрд долларов, при этом Северная Корея обвиняется в 1,3 млрд долларов (61%) от общей суммы, украденной за год. Пользуясь своей безнаказанностью, злоумышленники, занимающиеся программами-вымогателями, заработали в 2024 году сотни миллионов долларов, говорится в отчете. Рынки даркнета получили 2 млрд долларов, что немного меньше, чем в 2023 году, а незаконные потоки от мошеннических магазинов сократились чуть более чем вдвое, до 220 млн долларов.

«Множество незаконных субъектов, включая транснациональные организованные преступные группы, все чаще используют криптовалюту для традиционных видов преступлений, таких как незаконный оборот наркотиков, азартные игры, кража интеллектуальной собственности, отмывание денег, торговля людьми и дикими животными и насильственные преступления», — говорится в отчете. — «Более того, некоторые преступные сети прибегают к криптовалюте для содействия полипреступности или множественным видам преступлений».

Однако подавляющее большинство криптовалютной деятельности является законным. Согласно отчету, объем криптовалютных транзакций, связанных с незаконной деятельностью, исторически никогда не превышал 1%. В 2024 году этот показатель в настоящее время составляет 0,14%.

 

DORA вступает в силу: финансовые компании все еще сталкиваются с трудностями в области соблюдения нормативных требований

Закон ЕС о цифровой операционной устойчивости (DORA) — это уже реальность. Новое законодательство официально вступило в силу 17 января 2025 года, и организации, подпадающие под действие DORA, теперь могут столкнуться с существенными штрафами за несоблюдение. Законодательство направлено на повышение киберустойчивости в финансовом секторе и снижение распространенности и воздействия критических сбоев от киберсобытий, которые могут нанести серьезный ущерб мировой экономике.

Положения распространяются на банки, страховые и инвестиционные компании. Сторонние поставщики ИТ в финансовой отрасли также подпадают под действие закона. Хотя DORA является законом ЕС, он также применяется ко многим глобальным организациям, которые работают в регионе.

Финансовым организациям был предоставлен двухлетний переходный период для внедрения требований DORA. В результате многие ожидают, что регуляторы займут жесткую позицию в отношении несоблюдения. Как пояснила старший аналитик Forester Мадлен ван дер Хаут, соблюдение DORA не подлежит обсуждению, и регуляторы ожидают ощутимого прогресса. Нарушители рискуют столкнуться с рядом существенных и далеко идущих последствий, включая ущерб репутации и штрафы.

Их размер может составлять до 2% от их мирового годового оборота или 10 млн евро (10,2 млн долларов США), в зависимости от того, что больше. Сторонние организации также могут столкнуться со штрафами в размере до 1% от их среднего дневного мирового оборота за каждый день несоблюдения на срок до шести месяцев.

Кроме того, регулирующие органы имеют право ограничивать или приостанавливать деятельность финансовых компаний, не соблюдающих требования, до тех пор, пока они не достигнут полного соответствия. В серьезных случаях несоблюдение требований может привести к временной приостановке операций, фактически останавливая бизнес. Такие санкции могут иметь даже большие финансовые последствия, чем штрафы.

В частности, DORA предусматривает индивидуальную ответственность руководителей бизнеса за несоблюдение требований их фирмами, которые могут получить максимальный штраф в размере 1 млн евро (1,02 млн долларов США). Ван дер Хаут рассчитывает, что глобальные финансовые компании, базирующиеся за пределами ЕС, приведут свои практики в соответствие с DORA, чтобы оставаться конкурентоспособными и обеспечивать взаимодействие с клиентами из ЕС.

Несмотря на позитивные признаки, есть аспекты DORA, которые вызывают опасения у представителей бизнеса. В отчете Orange Cyberdefense установлено, что 43% британской финансовой отрасли не уложатся в срок соответствия DORA и не будут соответствовать требованиям в течение как минимум трех месяцев. Сомнения, в первую очередь связаны с положениями, касающимися управления рисками третьих лиц в сфере ИКТ. DORA требует от компаний собирать информацию о своих контрактах с поставщиками ИТ в реестр.

Еще одной важной проблемой являются финансовые затраты, связанные с соблюдением DORA. Они особенно затруднительны для небольших финансовых компаний, у которых может не быть ресурсов для выявления рисков по всей своей ИТ-инфраструктуре и цепочке поставок. В отчете Rubrik говорится, что около половины финансовых организаций в Великобритании потратили более 1 миллиона евро на соблюдение DORA. Львиная часть этих затрат связана с основным требованием DORA по созданию надежных процессов для выявления и оценки ИТ-рисков.

DORA — это важный законодательный акт, который отражает растущее понимание рисков в цепочке поставок и осознание того факта, что киберинциденты могут произойти в любое время, даже при самых строгих мерах. Однако остаются опасения по поводу практической реализации строгих требований DORA к отчетности и установлению договорных отношений со сторонними поставщиками ИТ, правила для которых еще не были окончательно утверждены.

21 января, 2025

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

07.02.2025
В открытый доступ попали учётные данные для 15 тыс. устройств FortiGate
07.02.2025
Во встрече с регулятором примут участие руководители Банка России, министерств и ведомств
07.02.2025
Таиланд применил свой главный антифрод-приём — «рубильник»
07.02.2025
Роскомнадзор отчитался о блокировке неверифицированных «симок»
07.02.2025
VK кладёт в портфолио SIEM-решение
06.02.2025
Минцифры выдаст гражданам «тревожные кнопки»
06.02.2025
71% компаний актуализирует свои ИБ-навыки на профессиональных конференциях и вебинарах
06.02.2025
Россия и Китай сплетут нейросеть
06.02.2025
Curator: Россия, США и Бразилия — главные страны-источники DDoS-атак
06.02.2025
Новые телеком-правила подняли стоимость угнанных Telegram-аккаунтов

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных