29.12.2021

Киберугрозы в 2022 году. Ежегодный прогноз FortiGuard Labs

2021 год запомнился беспрецедентным ростом киберпреступности. Исследования FortiGuard Labs зафиксировала почти 11-кратное увеличение атак программ вымогателей с июля 2020 по июнь 2021 года по сравнению с аналогичным периодом прошлых лет. 

Вызовы, с которыми мы столкнемся в будущем, гораздо существеннее, чем простой рост количества атак. Наблюдается увеличение нападений на особо важные объекты. Кибератаки на клиентов IT компании SolarWinds (разработчик ПО для управления промышленными и правительственными сетями, системами и инфраструктурой), нарушение работы Colonial Pipeline (в результате хакерских действий на 5 дней была парализована работа нефти-трубопроводной системы на востоке США) и JBS Meats (крупнейший поставщик мяса в США для Макдональдса и крупных торговых сетей) затрагивают тысячи организаций и миллионы людей, не имеющих к IT никакого отношения.

Хотя в большинстве нападений по-прежнему используются известные факторы уязвимости, злоумышленники удваивают усилия по выявлению новых. 

В январе прошлого года вероятно спонсируемая китайскими государственными структурами группа Hafnium выявила семь новых уязвимостей в Microsoft Exchange Servers - более чем за два месяца до появления патчей. Три из этих уязвимостей ранее были идентифицированы Microsoft, четыре были на тот момент уязвимостями нулевого дня.

Автоматизированные атаки Hafnium были нацелены на незащищенные серверы Exchange. Затем была использована веб-оболочка для удаленного управления вредоносными программами, краж данных и получения несанкционированного доступа к критически важным системам. Пострадали десятки тысяч организаций по всему миру, в том числе базирующиеся в США юридические фирмы, оборонные подрядчики, лаборатории, проводящие исследования инфекционных заболеваний, неправительственные организации.

 

Конвергенция - продвинутая, непрерывная киберпреступность 

Киберпреступления делят на два типа (методология MITRE ATT&CK ® - глобальная база знаний о тактике и методах хакеров и киберпреступников): левая или правая сторона по шкале атаки.

Справа расположены хорошо знакомые атаки, такие как создание и запуск вредоносных программ для повреждения систем, кражи данных или их захват с целью вымогательства и шантажа. Это традиционная сфера деятельности большинства киберпреступников. 

Слева по этой шкале находятся такие усилия, как получение первоначального доступа, проведение разведки, выявление и использование уязвимостей в качестве оружия. Продвинутые непрерывные угрозы (Advanced persistent threats) находятся слева, потому что большая часть действий выполняется до непосредственной атаки. Например, определение уязвимой сети, получение несанкционированного доступа и обеспечение скрытого длительного присутствия. 

Продвинутые непрерывные угрозы обычно ассоциируются с организациями, обладающими большим количеством ресурсов, такими как национальные государства или спонсируемые государством субъекты.

Число киберпреступлений увеличивается, конкуренция между хакерскими преступными группировками растет, как и хакерские группы, связанные с государственными структурами, они все больше ориентируются на левую сторону шкалы атак, затрачивая больше времени и усилий на разведку и выявление уязвимостей нулевого дня, что в будущем будет способствовать расширению угроз CEV (Common Vulnerabilities and Exposures – публичная база угроз, спонсируемая Национальным отделом кибербезопасности Министерства внутренней безопасности США).

Помимо роста количества выявленных хакерами уязвимостей наблюдается быстрое распространение знаний об эти уязвимости среди злоумышленников, а также тенденция роста сервисов по распространению вредоносного программного обеспечения как услуги.

 

Новый области распространения угроз

С выходом Windows 11, естественно, появятся новые уязвимости, связанные с этой операционной системой, которые будут использовать хакерские группировки. В 2022 году мы также увидим новые направления их активностей.

Менее подверженные атакам системы престают ими быть. Linux управляет многими внутренними системами в большинстве сетей, но до недавнего времени это семейство операциоееых систем игнорировалось хакерским сообществом. Ситуация изменилась с пояалением Vermilion Strike - это вредоносная реализация критически важной функции "Beacon" в составе печально известного инструмента Cobalt Strike - это программа "эмуляции угроз", используемая "красными командами" для выявления и демонстрации риска взлома сети.

Linux-ботнеты: Для платформ Linux пишутся новые вредоносные программы для ботнетов, которые могут использовать зараженные устройства для расширения атак, а также замедлять их производительность. Это еще больше расширяет поверхность угроз и количество угроз, от которых необходимо защищаться.

Сети операционных технологий (ОТ) и другие нетрадиционные цели: Мы станем свидетелями увеличения числа атак на нетрадиционные цели, такие как системы операционных технологий (ОТ). Согласно недавнему исследованию U.S. Cybersecurity & Infra, атаки с использованием программ вымогателей все чаще направлены на критически важные объекты инфраструктуры и "продемонстрировали растущую угрозу для операционных технологий". 

Квантовые цели: Мы начнем наблюдать использование квантовых компьютеров в качестве целей хакеров, особенно в части квантового шифрования. Как и в случае любой новой технологии, будет много исследователей, пытающихся выявить ошибки и уязвимости. Пока квантовые компьютеры находится в руках крупных корпораций, университетов и правительств, но это не означает, что их нельзя использовать сторонними лицами. Государства собирают огромное количество данных, большая часть которых зашифрована. Ожидается, что вскоре мощь квантовых систем будет использована для взлома традиционного шифрования. Раскрытая критическая информация будет использована для осуществления будущих/дополнительных атак. 

Цель искусственный интеллект. Мы также можем увидеть первые попытки внедриться или обойти системы машинного обучения (ML) и искусственный интеллект. Преступники будут атаковать узлы машинного обучения, имеющие выход в интернет и расположенные на границе сети. Примером одного из способов использования искусственного интеллекта может быть скрытное обучение систем безопасности игнорировать определенные типы атак. Эта категория угроз настолько серьезна, что компания MITRE объявила о новой матрице угроз под названием ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems), которая призвана помочь организациям определить и классифицировать атаки на искусственный интеллект и системы машинного обучения.

Вирусы-вымогатели как услуга. Кибер вымогательство как услуга принесла миллиарды долларов разработчикам вредоносного ПО и связанным с ними лицами. Новые аферы, использующие эту бизнес-модель, предлагают целый ряд услуг по кибер вымогательству: продажа доступа к предварительно скомпрометированным базам данных организаций, внедрение вредоносного ПО с целью требований выкупа, «отмывание» денег с использованием криптовалюты. Мы видим, как эта модель используется в других вариациях "фишинг как услуга" и "ботнет как услуга".

 

Охотники за головами

Одним из интересных результатов быстрого роста киберпреступности является то, что преступные организации теперь противодействуют друг другу. Начались войны «за территорию», современные тенденции указывают на то, что эта активность, скорее всего, будет усиливаться, с конечной целью - подрыв деятельности конкурентов.

Традиционно тактика, техника и способ действий киберпреступников разрабатываются с помощью криминалистического IT анализа. Не так давно недовольный участник «партнерской программы» вымогателя Conti слил в сеть руководства и технические мануалы, используемые хакерами для обучения своих «партнеров». Документы рассказывают, как получить доступ к чужой сети, закрепиться, расширить доступ, а затем похитить данные перед шифрованием.

Захват серверов и ресурсов других киберпреступников стал настолько распространенным явлением, что некоторые хакерские организации начали добавлять цифровые сертификаты в свои системы ботнета C2 для предотвращения захвата инфраструктуры.

Расширение границы сети

В связи с пандемией и практикой work from anywhere – удаленки - наблюдается интенсивное расширение границ сетей. Этому способствует развитие интернета вещей (IoT), конечных точек, а также новых приложений, требующих вычислительной мощности в режиме реального времени. Благодаря 5G и искусственному интеллекту более умные устройства на границе сети позволяют создавать приложения в реальном времени. К ним относится обработка и анализ видео, беспилотные автомобили и автоматизированные производственные цеха. В таких средах сбор и обработка данных происходит локально на границе, а не пересылается в облако или центр обработки данных. Это позволяет быстрее принимать решения, в условиях, когда скорость реагирования имеет решающее значение.

В прошлом году мы предсказали появление троянских программ Edge-Access Trojans (EATs), предназначенных для атак на пограничные среды. Это создаёт условия срочного реагирования на действия программ вымогателей, так как они могут блокировать элементы критически важной инфраструктуры.  

Расширение сетей открывает широкие возможности для атак (Living off the Land) при которой злоумышленники используют легитимные программы и функции для выполнения вредоносных действий в целевой системе. 

 

Локализованные кражи кошельков

В последние несколько лет мы наблюдаем устойчивое снижение числа троянских программ, нацеленных на банковские операции и электронные переводы. Банки стали эффективнее обнаруживать и защищаться от вредоносных программ и мошенничества. Обеспечение безопасности и регулирование денежных перевода становится более строгим. Но это не означает, что киберпреступники не заинтересованы в краже чужих денег.

Компания FortiGuard Labs недавно зафиксировала новую фишинговую угрозу, которая использует поддельный генератор подарочных карт Amazon для кражи криптовалюты. Эта вредоносная программа отслеживает буфер обмена жертвы на предмет адресов кошельков и заменяет их адресами кошельков злоумышленника. Они также использует поддельные документы, чтобы спровоцировать жертву передать конфиденциальную информацию, например, учетные данные сайтов интернет-магазинов, номера кредитных карт и домашние адреса. FortiGuard Labs также обнаружила новую фишинговую кампанию прошлым летом, которая включала вредоносное ПО, предназначенное для кражи информации о криптовалютных кошельках.

Мы ожидаем увидеть больше вредоносных программ, предназначенных для взлома крипто-учетных данных и цифровых кошельков. Преступники предпочитают идти по пути наименьшего сопротивления. Захват банковских переводов становится все более сложным, поскольку кредитные организации шифруют транзакции и требуют многофакторной аутентификации. Цифровые кошельки, с другой стороны, как правило, менее защищены, также они представляют собой гораздо больший «рынок». 

Вымогатели вайперы 

Программы-вымогатели всегда полагались на свою способность шифровать, уничтожать и извлекать данные, чтобы заставить организации платить. Тенденции указывают, что вымогатели начинают повышать ставки, добавляя в свой арсенал вредоносное ПО вайпер, предназначенное для удаления данных и вывода из строя критически важных систем, такие как ОТ или производственное оборудование и серверы, если не будет удовлетворено требование о выкупе. По иронии судьбы, вредоносам вайперам почти десять лет. DarkSeoul и Shamoon, например, были печально известными вариантами вайперов еще в 2012 году, поэтому интересно наблюдать, как они возвращаются как часть современных более сложных угроз.

Фокус на кибер спорт

Киберспорт - это организованные многопользовательские соревнования по видеоиграм, часто между профессиональными 

игроками и командами. Это быстро развивающаяся отрасль, выручка которой в этом году превысит 1 миллиард долларов.  Newzoo прогнозирует, что в 2022 году этот показатель  достигнет 1,8 миллиарда долларов. Киберспорт становится особенно привлекательной мишенью, для программ-вымогателей, финансовых и транзакционных краж или атак нацеленных на человеческий фактор (техника социальной инженерии). Учитывая темпы роста, киберспорт и онлайн-игры, вероятно, станут крупными объектами атак в 2022 году.

Выход за пределы земли

Мы ожидаем увидеть доказательства концепции использования злоумышленниками уязвимостей спутниковых сетей. Спутниковый доступ в Интернет продолжает расширяться. Новые спутниковые системы на низкой околоземной орбите (LEO) становятся все более быстрыми и более дешевыми, что делает их экономически выгодным вариантом не только для удаленных пользователей, но и для более крупных бизнес-клиентов. Viasat, HughesNet и Starlink (бета-версия) доступна уже сейчас, а новые игроки, такие как OneWeb и Project Kuiper (от Amazon), скоро появятся в сети. Starlink сообщает о скорости загрузки более 560 Мбит / с, при этом обещана гигабитная скорость.

Мы уже начали наблюдать новые атаки. ICARUS - это DDoS-атака POC, которая использует прямой глобальный доступ к спутникам для запуска атак из множества мест. Каждый спутник и поддерживающие его базовые станции являются потенциальной точкой входа в сеть. Только Starlink располагает более чем 4000 спутниками и, по прогнозам, в конечном итоге будет включать более 30 000 взаимосвязанных спутников, с миллионами терминалов, с которых можно будет начать атаку. 

Искусственный интеллект становится оружием киберприступников

Мы уже давали прогноз,что киберпреступники начнут использовать искусственный интеллект для усиления своей деятельности. Искусственный интеллект применяется в целях защиты информации для обнаружения необычного ИТ-поведения, которое может указывать на атаку, обычно со стороны ботнетов.  Теперь злоумышленники используют искусственный интеллект, чтобы помешать сложным алгоритмам ИБ обнаружить аномальные активности.

Глубокая имитация (deepfakes) вызывает все большую озабоченность, поскольку для ее реализации используется искусственный интеллект, она может  быть использована для усиления атак методом «социальной инженерии» (использование человеческого фактора).

GPT-3 (Generative Pre-trained Transformer) - это технология на основе ИИ, которая использует глубокое изучение языка, для создания убедительно выглядящих электронных писем. При помощи этой технологии злоумышленники могут использовать перехваченные электронные письма, компрометируя почтовые серверы или проводя атаки, направленные на людей, путем генерации электронных писем и ответов на ранее отправленные электронные письма, которые имитируют стиль письма, специфическую лексику конткретного человека, например, менеджера или руководителя, в том числе, вставляя в переписку ссылки на предыдущие письма.

Имитация письменной коммуникации это только начало, уже появилось программное обеспечение, позволяющие имитировать человеческие голоса. Вокальный «слепок» человека можно создать, используя всего несколько секунд аудиозаписи, а затем генерировать произвольную речь в реальном времени. 

В августе 2021 было продемонстрировано доказательство концепции видео замещения, в ходе которого было выведено изображение генеральный директор NVIDIA, наложенное на актера.

Хотя этот тип глубокой имитации (deep fake) на основе работы искусственного интеллекта все еще находится в начальной стадии разработки, он станет актуальным, поскольку производительность центральных процессоров (CPU) / графических процессоров (GPU) увеличивается, а их стоимость снижается.  Входной порог для создания подобных глубоких имитаций также будет снижен за счет коммерциализации передовых приложений.

В конечном итоге это может привести к созданию имитаций через голосовые и видео приложения в реальном времени для прохождения биометрического контроля.

Не так давно был выпущен инструмент с открытым исходным кодом под названием Counterfit для тестирования систем искусственного интеллекта, таких как распознавание лиц и изображений, обнаружение мошенничества и т.д., позволяющий убедиться, что используемые алгоритмы заслуживают доверия.

Организации могут использовать глубокие имитации, созданные при помощи ИИ для red /blue wargaming (учения с участием команд «свои» и «противник». Мы также можем ожидать, что злоумышленники будут делать то же самое, используя этот инструмент для выявления уязвимостей в системах искусственного интеллекта.

 

Охота на крота

Многие специалисты по кибербезопасности называют нынешние усилия по пресечению киберпреступности “охотой на крота”, потому что преступная деятельность, прекращенная в одном месте, имеет тенденцию возобновляться в другом, обычно теми же субъектами. Часть этой непрерывной преступной активности автоматизирована. Например, отключение сервера C2 просто инициирует автоматическую установку нового сервера где-то в другом месте, практически не прерывая преступную деятельность. В результате циклы атак становятся короче и короче.

Один из главных вопросов, который задают профессионалы в области информационной безопасности, заключается в том, как мы можем замедлить их работу? Нападение (нанесение ударов) - особенно эффективная тактика. “Взламывая” их броню, мы становимся более эффективными в координации контрударов, ослабляя злоумышленников и вынуждая их перегруппироваться.

Мы уже видим, как стратегическая координация и государственно-частные партнерства повышают нашу способность выводить преступные организации из игры на более длительный срок. И чем лучше у нас получается использовать новые ресурсы, такие как новый проект Всемирного экономического форума "Партнерство против киберпреступности", а также каталог "игровых пособий по киберугрозам", тем легче будет обнаружить и пресечь незаконную деятельность.

Защита от угроз завтрашнего дня начинается сегодня

Многие угрозы завтрашнего дня являются продолжением тех, с которыми мы сталкиваемся сегодня. Они, как правило, быстрее, их труднее обнаружить, они более вредоносны и объединяют существующие угрозы в новые комбинации. Даже новые угрозы нулевого дня имеют одну общую черту: все они хотят заставить вашу сеть или устройства сделать что-то, нежелательное  - изменить, добавить или удалить файл, добавить или удалить функцию, внедрить что-то в обычный процесс, скопировать что-то или оставить что-то после себя. Поняв это, мы можем реализовать стратегии безопасности, разработанные для обеспечения нормальной работы, обнаружения и вмешательства, когда происходит что-то неожиданное.

Для этого требуются подходы, нацеленные на взаимодействия, а не на изолированное функционирование. Нужны более разумные решения, которые знают, как получать информацию об угрозах в режиме реального времени, способные обнаруживать общие черты угроз и уникальные характеристики, сопоставлять огромные объемы данных для обнаружения аномалий и автоматически инициировать скоординированное реагирование.

Продлить или купить подписку на сервисы защиты  FortiGuard на выгодных условиях можно на специальной странице нашего сайта. 

Источник и полная версия прогноза на английском языке:

https://www.fortinet.com/blog

 

Все статьи

Нужна
консультация?

Оставьте заявку

1.svg

Рассрочка

Мы предлагаем возможность приобрести оборудование и решения Fortinet в рассрочку. Вы можете связаться с нами, чтобы обсудить условия предоставления услуги.

2.svg

Доставка

Доставим оборудование транспортными компаниями, представительства которых есть в вашем городе. Свяжитесь с нами, и мы подберем для вас оптимальное решение.

3.svg

Гарантия

На все продаваемые товары действует официальная гарантия производителя. Мы также будем рады помочь вам с постгарантийным обслуживанием.

4.svg

Обучение

Мы регулярно проводим обучающие семинары, посвященные продуктам компании Fortinet, а также готовы провести инструктаж ваших сотрудников по работе с оборудованием.