Обратная сторона удаленки

Итоги ушедшего года и прогнозы на 2021 год

05.02.2021
12:10

В числе ключевых тенденций, сформировавшихся в 2020 году, эксперты Positive Technologies отметили следующие:

Обратная сторона «удаленки»

Во всем мире переход на удаленный режим работы спровоцировал рост числа атак, направленных на эксплуатацию уязвимостей в корпоративных сервисах, доступных из интернета. Компании в срочном порядке выводили сервисы за контролируемый периметр. Выросло число узлов российских компаний с доступным для подключения RDP. Как следствие, доля атак с эксплуатацией уязвимостей в ПО и недостатков конфигурации ближе к концу 2020 года выросла до 30% (в I квартале было 9%). Еще один тренд, появившийся на фоне пандемии, — атаки, направленные на кражу учетных данных для подключения к системам аудио- и видеосвязи Skype, Webex и Zoom, а также вмешательство в конференции.

Шифровальщики активизировались

В течение 2020 года наблюдалось постоянное увеличение числа атак шифровальщиков. Если в первом квартале для организаций доля шифровальщиков в атаках с использованием ВПО составляла 34%, то в третьем квартале она достигла 51%. Операторы шифровальщиков все реже проводят массовые атаки, они целенаправленно выбирают крупные компании, которые в состоянии заплатить большой выкуп, или организации, для которых приостановка деятельности опасна, и наносят точечные удары.

Цепочки поставок под прицелом

В течение 2020 года стали чаще встречаться атаки supply chain attacks. Так как крупные компании становится все сложнее взламывать, APT-группировки все чаще стали атаковать партнеров и поставщиков жертвы. Защититься от подобных атак очень сложно, это под силу только высококлассным специалистам в области ИБ.

Выкуп за молчание

Угроза публикацией данных в случае отказа жертвы платить выкуп поставлен на поток. Наибольшую активность в таких атаках в 2020 году проявили операторы Maze, Sodinokibi, DoppelPaymer, NetWalker, Ako, Nefilim, Clop. Для продажи похищенных данных многие операторы шифровальщиков сделали собственные сайты и даже организуют аукционы по продаже украденных данных. Тренд на требование выкупа за неразглашение похищенных данных подхватили и другие злоумышленники. Так, взломщики интернет-магазинов предлагают жертвам заплатить выкуп, чтобы преступники не продавали данные третьим лицам.


Торговля доступами

Киберпреступники покупают доступы в организации-жертвы у других злоумышленников. Одними из первых по такой схеме стали действовать операторы шифровальщиков, они предлагают сотрудничество, ищут партнеров для распространения их трояна-вымогателя и обещают своим подельникам долю от суммы выкупа. Рынок доступов к сетям компаний в дарквебе позволяет зарабатывать низкоквалифицированным хакерам, которые могут ограничиться поиском уязвимостей на внешних ресурсах компаний с целью продажи.

Проблемы промышленного сектора

Растет число атак на промышленные и энергетические компании. В 2020 году было зафиксировано около 200 атак на предприятия из этих отраслей, что почти на 60% больше, чем в 2019 году (125 атак). В девяти из десяти атак на промышленность злоумышленники использовали вредоносное ПО. На долю шифровальщиков пришлось 38% атак, а шпионское ПО было замечено в 30% случаев. В начале года внимание многих специалистов по кибербезопасности привлек новый шифровальщик Snake, который умеет удалять теневые копии и останавливать процессы, связанные с работой промышленных систем управления. Первыми жертвами Snake стали автомобильный производитель Honda и гигант ТЭК — компания Enel Group. Сегодня регулярно появляется информация о взломах крупнейших энергетических и производственных компаний по всему миру. Такие атаки сложно скрыть, а определить их источник очень просто: преступники сами сообщают о взломе и требуют выкуп.

Уязвимости в банковских приложениях

Эксперты в 2020 году увидели положительную динамику по обеспечению безопасности банковских веб-приложений, а именно тенденцию к переходу на микросервисную архитектуру, повышающую отказоустойчивость системы, и уменьшение количества стандартных веб-уязвимостей (XSS, SQLi, RCE). Из негативных отмечена тенденция роста уязвимостей, которые могут привести к краже денежных средств, получению преступниками дополнительной информации о пользователях, отказу в обслуживании. Таким образом, злоумышленники сейчас нацелены не на полную компрометацию системы банковского веб-приложения, а на логические уязвимости.

Эксперты Positive Technologies отмечают негативные сценарии 2021 года :

1. Эксплуатация темы COVID-19 продолжится. В 2021 году, к примеру, одной из популярных схем могут стать сайты, на которых мошенники будут предлагать заказать препараты для лечения коронавируса, записаться на платную вакцинацию, получить справку о прохождении вакцинации. Фишинг станет более индивидуальным, злоумышленники будут выходить на жертв через мессенджеры и социальные сети. Для преодоления корпоративных средств защиты взлом все чаще будет производиться через домашние компьютеры работников.

2. Увеличение числа киберпреступных картелей и появление новых площадок в дарквебе. В следующем году, вероятнее всего, шифровальщики сохранят отработанную в 2020 году стратегию шантажа: запрашивать выкуп за восстановление работоспособности инфраструктуры и отдельно — за то, чтобы преступники не продали или не опубликовали украденные данные.

3. Атаки на крупные компании. Преступники продолжат атаковать промышленные предприятия и будут ориентироваться на как можно более крупные организации, в то же время предпочитая придерживаться наименьших затрат на взлом или на покупку готового доступа в инфраструктуру. Скорее всего, повысится и размер выкупов, будут появляться новые группы атакующих, они продолжат кооперироваться и зарабатывать на уязвимости промышленных организаций.