В ходе пресс-конференции Positive Technologies «Кибербезопасность 2020-2021 — тенденции и прогнозы» эксперты компании рассказали об основных тенденциях кибербезопасности прошедшего года.
Массовая удаленная работа не могла не сказаться на состоянии кибербезопасности как бизнеса и госучреждений, так и обычных пользователей. Социальная инженерия стала часто применяться для проникновения в сети организаций. Глобальный новостной повод — пандемию — использовали все типы хакерских группировок. С темой COVID-19 были связаны как массовые, так и APT-атаки, число которых продолжило расти в 2020 году. Но и это еще не весь список. Так какие же тенденции прошлого года выделили в Positive Technologies?
Обратная сторона «удаленки». Переход на удаленный режим работы спровоцировал во всем мире рост числа атак, направленных на эксплуатацию уязвимостей в корпоративных сервисах, доступных из интернета. Ведь компании в срочном порядке выводили сервисы на периметр. Выросло число узлов российских компаний с доступным для подключения RDP. Как следствие, доля атак с эксплуатацией уязвимостей в ПО и недостатков конфигурации ближе к концу 2020 года выросла до 30% (в I квартале было 9%). Еще один тренд, появившийся на фоне пандемии, — атаки, направленные на кражу учетных данных для подключения к системам аудио- и видеосвязи Skype, Webex и Zoom, а также вмешательство в конференции.
Бум шифровальщиков. В течение 2020 года наблюдалось постоянное увеличение числа атак шифровальщиков. Если в первом квартале для организаций доля шифровальщиков в атаках с использованием ВПО составляла 34%, то в третьем квартале она достигла 51%. Операторы шифровальщиков все реже проводят массовые атаки, они целенаправленно выбирают крупные компании, которые в состоянии заплатить большой выкуп, или организации, для которых приостановка деятельности опасна, и наносят точечные удары.
Атаки на цепочку поставок. Настоящей болью в 2020 году стали supply chain attacks. В своей практике Positive Technologies сталкивались с такими же атаками на разработчиков ПО, разработчиков средств защиты, на IT-интеграторов, подрядчиков IT-компаний, на порталы государственных организаций в различных странах. Уровень защищенности крупных компаний повышается, и их становится все сложнее взламывать, особенно если целью злоумышленников является долговременное присутствие, а не разовая атака. И поэтому APT-группировки все чаще стали атаковать партнеров и поставщиков жертвы. Защититься от подобных атак очень сложно, это под силу только высококлассным специалистам в области ИБ.
Выкуп за неразглашение. Шантаж публикацией данных в случае отказа жертвы платить выкуп поставлен на поток. Наибольшую активность в таких атаках в 2020 году проявили операторы Maze, Sodinokibi, DoppelPaymer, NetWalker, Ako, Nefilim, Clop. Для продажи похищенных данных многие операторы шифровальщиков сделали собственные сайты и даже организуют аукционы по продаже украденных данных. Тренд на требование выкупа за неразглашение похищенных данных подхватили и другие злоумышленники. Так, взломщики интернет-магазинов предлагают жертвам заплатить выкуп, чтобы преступники не продавали данные третьим лицам.
Доступ на продажу. Киберпреступники покупают доступы в организации-жертвы у других злоумышленников. Одними из первых по такой схеме стали действовать операторы шифровальщиков, они предлагают сотрудничество, ищут партнеров для распространения их трояна-вымогателя и обещают своим подельникам долю от суммы выкупа. Рынок доступов к сетям компаний в дарквебе позволяет зарабатывать низкоквалифицированным хакерам, которые могут ограничиться поиском уязвимостей на внешних ресурсах компаний с целью продажи.
Проблемы промышленного сектора как на ладони. Растет число атак на промышленные и энергетические компании. В 2020 году было зафиксировано около 200 атак на предприятия из этих отраслей, что почти на 60% больше, чем в 2019 году (125 атак). В девяти из десяти атак на промышленность злоумышленники использовали вредоносное ПО. На долю шифровальщиков пришлось 38% атак, а шпионское ПО было замечено в 30% случаев. В начале года внимание многих специалистов по кибербезопасности привлек новый шифровальщик Snake, который умеет удалять теневые копии и останавливать процессы, связанные с работой промышленных систем управления. Первыми жертвами Snake стали автомобильный производитель Honda и гигант ТЭК — компания Enel Group. Сегодня регулярно появляется информация о взломах крупнейших энергетических и производственных компаний по всему миру. Такие атаки сложно скрыть, а определить их источник очень просто: преступники сами сообщают о взломе и требуют выкуп.
Злоумышленники нацелились на логические уязвимости в банковских приложениях. В 2020 году мы увидели положительную динамику по обеспечению безопасности банковских веб-приложений, а именно тенденцию к переходу на микросервисную архитектуру, повышающую отказоустойчивость системы, и уменьшение количества стандартных веб-уязвимостей (XSS, SQLi, RCE). Из негативных стоит отметить тенденцию к увеличению числа логических уязвимостей, которые могут привести к краже денежных средств, получению преступниками дополнительной информации о пользователях, отказу в обслуживании. Таким образом, злоумышленники сейчас нацелены не на полную компрометацию системы банковского веб-приложения, а на логические уязвимости.
