Мир за неделю: власти начинают понимать пагубность экономии на безопасности

Власти США запретили «экспорт» данных в страны из черного списка, компания Prodaft намерена «приручить» киберпреступность, боты обогнали людей в трафике за счет ИИ, пентестеры Cobalt обнаружили недоработки организаций в устранении уязвимостей, экономия на программе MITRE чуть не привела к «катастрофическому нарушению глобальной кибербезопасности», а Microsoft раскрыла главные направления по применению нейросетей мошенниками.

США блокируют получение данных граждан иностранными правительствами

Министерство юстиции США представило инициативу, направленную на противодействие практике получения иностранными правительствами конфиденциальных персональных данных американцев. Программа безопасности данных вступила в силу 8 апреля 2025 года при 90-дневном переходном периоде.

Новая программа устанавливает «контроль над экспортом», который не позволяет иностранным противникам получать доступ к данным, связанным с правительством США, а также к большим геномным, геолокационным, биометрическим, медицинским, финансовым и другим конфиденциальным персональным данным.

План далее реализует указ, опубликованный администрацией Байдена в феврале 2024 года. Этот документ был разработан для противодействия угрозе со стороны таких государств, как Россия, Китай и Иран, которые якобы покупают правительственные данные и данные частных лиц у коммерческих организаций или принуждают компании в их юрисдикции получать доступ к такой информации.

Заместитель генерального прокурора США Тодд Бланш прокомментировал эту новость так: «Зачем вам как иностранному противнику проходить через сложные кибервторжения и кражи, чтобы получить данные американцев, если вы можете просто купить их на открытом рынке или заставить компанию в вашей юрисдикции предоставить вам доступ?»

Правительство США заявило, что иностранные правительства используют передовые технологии, такие как ИИ, для анализа и манипулирования большими объемами конфиденциальных персональных данных в различных вредоносных целях. К ним относятся шпионаж и другие кибероперации. Кроме того, эти датасеты могут использоваться для создания и совершенствования ИИ и других передовых технологий.

Министерство юстиции США обозначило шесть стран как «страны, вызывающие беспокойство» из-за предполагаемых практик, связанных с покупкой данных США: Китай, Куба, Иран, Северная Корея, Россия и Венесуэла. Ведомство обвинило страны из черного списка в намерении использовать данные американцев для создания угрозы национальной безопасности США, включая традиционный и экономический шпионаж, слежку, принуждение и влияние, шантаж, иностранное вредоносное влияние, преследование журналистов, политических деятелей и многое другое.

В соответствии с Программой безопасности данных гражданам и организациям США запрещено намеренно участвовать в транзакциях, связанных с передачей данных со страной, вызывающей беспокойство, если только они не освобождены или не разрешены общей или специальной лицензией. Нарушения программы могут привести к существенным гражданским и уголовным санкциям для организаций и лиц, включая максимальный тюремный срок в 20 лет.

Prodaft предлагает сделку «без осуждения» по покупке аккаунтов Dark Web у пользователей форума по киберпреступности

Компания Prodaft, занимающаяся киберугрозами, призывает пользователей самых известных форумов даркнета, посвященных киберпреступности, начать новую жизнь и продать свои аккаунты «хорошим парням». В рамках первой в мире инициативы под названием SYS европейская компания предложила купить проверенные аккаунты на пяти ключевых форумах по киберпреступности: XSS, Exploit in, RAMP4U, Verified и Breachforums.

«Тем, кто был вовлечен в эти действия и теперь хочет перевернуть страницу, не нужно объяснять свое прошлое или отвечать на какие-либо вопросы, — пообещала компания в публичном объявлении, опубликованном 11 апреля 2025 года. — Никаких осуждений, никаких вопросов — всего лишь простая, безопасная транзакция, которая выгодна обеим сторонам и помогает вам оставить старую жизнь позади. Это ваш шанс отойти и начать жизнь без стресса, без груза прошлого, сдерживающего вас».

Пользователи одного из пяти форумов могут отправить запрос в Prodaft через чат Tox. После анализа учетной записи, оценки ее стоимости, проверки уровня доступа и того, что учетная запись не использовалась «для незаконной деятельности, которая выходит за рамки этических или правовых норм», Prodaft предоставит отправителю предложение вместе с подробностями о способе оплаты (компания будет доплачивать за учетные записи форума с ролями модератора или администратора). Если отправитель примет предложение Prodaft, фирма безопасно обработает платеж и обеспечит безопасную передачу аккаунта.

В то время как все приобретенные учетные записи форума будут сообщаться партнерам Prodaft из правоохранительных органов для обеспечения прозрачности, фирма пообещала, что будет строго защищать личность продавца и не разглашать дополнительную информацию. Платить будут в биткоинах, монеро или любых других криптовалютах, которые пользователи форума даркнета пожелают получить. Кроме того, Prodaft призвала всех анонимно сообщать о киберпреступлениях или о чем-либо неэтичном или противоречащем их ценностям в даркнете, используя те же каналы Tox и электронной почты.

«Эти конкретные учетные записи форума позволят нам увидеть, что происходит в водах противника. Или, говоря проще, мы хотим их использовать для целей человеческой разведки (HUMINT) и обеспечить себе как можно большую видимость в даркнете», — заключили представители фирмы.

Трафик ботов превышает активность людей, поскольку злоумышленники обращаются к ИИ

Автоматизированный трафик теперь составляет большую часть активности в Интернете, а доля трафика плохих ботов выросла с 32% до 37% в год в прошлом году, согласно данным Thales. Отчет французского оборонного гиганта Imperva Bad Bot Report 2025 года выходит уже 12-й год и, как всегда, основан на данных, собранных глобальной сетью Imperva, которая, по-видимому, заблокировала 13 трлн запросов плохих ботов в тысячах доменов и отраслей в прошлом году.

Трафик ботов в 2024 году составил 51% от общего объема, впервые за десятилетие превзойдя человеческую активность, заявил поставщик. Он сказал, что в этом росте виновата вредоносная активность — в частности, использование ИИ и больших языковых моделей (LLM) для упрощения создания плохих ботов в масштабе.

В отчете говорится, что ByteSpider Bot был ответственен за 54% всех атак с использованием ИИ в прошлом году, за ним следуют Applebot (26%), ClaudeBot (13%) и ChatGPT User Bot (6%). ByteSpider — это легитимный веб-краулер, которым управляет владелец TikTok ByteDance, в то время как Applebot — эквивалент американского гиганта. ClaudeBot собирает данные для обучения помощника Anthropic на основе генеративного ИИ (GenAI) Claude.

Сфера туризма (41%) и розничная торговля (59%) имеют высокие доли трафика плохих ботов, причем туризм стал самым атакованным сектором в 2024 году — на него пришлось 27% всех атак ботов. Однако доля атак с использованием продвинутых ботов фактически ежегодно снижалась (с 61% до 41%), в то время как атаки с использованием простых ботов выросли с 34% до 52%. Это показывает, что боты на базе ИИ помогают менее опытным злоумышленникам запускать большее количество более простых атак, утверждает Thales.

Плохие боты могут использоваться во всем, от DDoS-атак до эксплуатации пользовательских правил и нарушений API. Фактически, 44% трафика продвинутых ботов в прошлом году были нацелены на API для использования уязвимостей в рабочих процессах API, осуществления автоматизированного мошенничества с платежами, кражи учетных записей и кражи данных.

Поставщики финансовых услуг, здравоохранения и электронной коммерции больше всего подвержены риску этих продвинутых атак API из-за конфиденциального характера данных, которыми они управляют, отмечается в отчете. Организациям, внедряющим облачные сервисы и архитектуры микросервисов, важно понимать, что те самые функции, которые делают API необходимыми, также могут сделать их уязвимыми для риска мошенничества и утечки данных.

Найдены организации, устраняющие лишь пятую часть ИИ-уязвимостей

Согласно новому исследованию компании Cobalt, занимающейся пентестингом как услугой (PTaaS), организации устраняют только 48% всех уязвимостей с помощью обнаруженных эксплойтов. Это число еще более тревожно для приложений и инструментов генеративного ИИ (GenAI), поскольку только 21% обнаруженных недостатков устраняется.

Однако есть и положительная сторона: количество устраненных уязвимостей значительно увеличивается — до 69% для уязвимостей с высоким или критическим уровнем серьезности.

Большинство компаний (95%) провело пентестинг веб-приложений GenAI Large Language Model (LLM) в прошлом году, и треть (32%) тестов обнаружила уязвимости, заслуживающие серьезной оценки. Риски включали быстрое внедрение, манипуляцию моделями и проблемы утечки данных.

В целом, руководители служб безопасности демонстрируют чрезмерную уверенность в борьбе с уязвимостями, поскольку 81% респондентов заявил, что «уверен» в состоянии безопасности своей компании, несмотря на то, что 31% серьезных выявленных проблем не был устранен. Почти три четверти (72%) назвало атаки ИИ своей главной проблемой, опередив риски, связанные со сторонним программным обеспечением, эксплуатируемыми уязвимостями, внутренними угрозами и государственными субъектами.

Только половина участников исследования полностью уверена в том, что может выявить и предотвратить уязвимость своего поставщика программного обеспечения, тогда как 82% обязано по требованию клиентов/регулирующих органов предоставлять гарантии по этой части. Как заметил технический директор Cobalt Гюнтер Оллман, организации, которые действительно используют наступательный подход к безопасности, делают огромный шаг к укреплению защиты от киберпреступников, убеждая своих клиентов, что с ними вести бизнес безопасно.

Бюджетная экономия чуть не заставила MITRE прекратить операции CVE

Сообщество кибербезопасности недавно испытало шок, так как правительство США объявило о решении не продлевать контракт MITRE на управление базой данных Common Vulnerabilities and Exposures (CVE).

Программа CVE некоммерческой организации на протяжении четверти века помогает ИБ-сообществу управлять и смягчать уязвимости программного обеспечения, предоставляя критически важную информацию для поддержки разведки угроз, а также обнаружения и реагирования. Она обеспечивает общедоступный, стандартизированный и централизованный ресурс для отслеживания и управления CVE. Эти уникальные идентификаторы присваиваются каждой уязвимости и публикуются уполномоченными органами нумерации CVE (CNA).

Над финансированием программы навис дамоклов меч в результате стремления администрации Трампа к «эффективности» федерального правительства. Однако эксперты встали на защиту, расценив такой шаг как недальновидный и в конечном итоге вредный для национальной безопасности США. Бывший директор CISA Джен Истерли описала систему CVE как «один из важнейших столпов» кибербезопасности. Ее потеря может означать для бизнеса повышенный риск взлома или вымогательства, более высокие затраты на безопасность и соответствие требованиям плюс потерю доверия со стороны клиентов и регулирующих органов.

Видимо, под давлением экспертного сообщества CISA вмешалось, чтобы спасти программу Common Vulnerabilities and Exposures (CVE) от потенциального сбоя, и заявило о продлении контракта на 11 месяцев. 16 апреля представитель ведомства объявил, что оно воспользовалось опционным периодом своего контракта с MITRE, чтобы «гарантировать отсутствие перерывов в критически важных услугах CVE». Эксперты приветствовали решение CISA, которое предотвратит «потенциально катастрофическое нарушение глобальной кибербезопасности».

Microsoft пресекла попытки мошенничества на сумму 4 млрд долларов

Злоумышленники все чаще используют ИИ и автоматизацию. В отчете Cyber Signals компания Microsoft заявила, что предотвратила мошеннические акции на сумму 4 млрд долларов, отклонила 49 тыс. мошеннических партнерских регистраций и заблокировала 1,6 млн попыток регистрации ботов в час.

Техгигант указал на конкретные области, в которых ИИ помогает злоумышленникам улучшить результаты. Первая — это мошенничество в электронной коммерции, где инструменты ИИ позволяют скамерам создавать сайты-двойники для сбора информации и продажи несуществующих товаров. Их можно настроить за считанные минуты, тогда как раньше этот процесс занимал дни или недели, пояснили в Microsoft.

Чат-боты для обслуживания клиентов на базе ИИ добавляют еще один уровень обмана, убедительно взаимодействуя с клиентами. Они могут задерживать возврат платежей, прибегая к заготовленным оправданиям и манипулируя жалобами с помощью сгенерированных ответов, придавая фейковым сайтам видимость профессиональных.

Вторая область внимания киберпреступников — мошенничество с трудоустройством. Инструменты GenAI позволяют злоумышленникам создавать поддельные списки вакансий с целью кражи конфиденциальной информации у соискателей. Собеседования на основе ИИ и автоматизированные электронные письма повышают достоверность мошенничества с трудоустройством, затрудняя для кандидатов выявление скам-предложений, отмечается в отчете.

Злоумышленники часто запрашивают личную информацию, такую как резюме или даже реквизиты банковского счета, под видом проверки информации о соискателе. Незапрошенные текстовые сообщения и электронные письма с предложениями о работе, обещающие высокую оплату за минимальную квалификацию, обычно являются признаком мошенничества.

ИИ помогает преступникам сделать мошенничество с технической поддержкой более успешным, заявила Microsoft. Используя социальную инженерию, они осуществляют сбор соответствующей информации о целевых жертвах и «упаковку» ее в надежные приманки, доставляемые по телефону, электронной почте, в текстовых сообщениях или другими способами.