ВЕСТИ

Прямой Эфир

    Прогнозы

      Топ трендов кибербезопасности 2018 года

      Москва, 8 октября - "Вести.Экономика" Кибербезопасность остается животрепещущей темой как для простых пользователей, так и для крупнейших корпораций и компаний. За год сформировался ряд тенденций, играющих определяющую роль в стратегиях защиты от киберугроз. Переход от оборонительной позиции к охоте за киберпреступниками – магистральный тренд рынка информационной безопасности сегодня.

      Group-IB, международная компания, специализирующаяся на предотвращении кибератак, в ежегодном отчете "Hi-Tech Crime Trends 2018" проанализировала глобальные тренды развития киберпреступности и представила видение будущих целей проправительственных хакерских групп и финансово-мотивированных хакеров.

      Саботаж и шпионаж – главные цели проправительственых хакеров

      Фокус перспективной разработки и инноваций в создании сложных вирусов, а также проведении многоступенчатых целевых атак сместился от финансово-мотивированных киберпреступников к проправительственных хакерам. Их действия направлены на обеспечение долговременного присутствия в сетях объектов критической инфраструктуры с целью саботажа и шпионажа за компаниями энергетического, ядерного, коммерческого, водного, авиационного и других секторов.

      В топ-3 стран происхождения самых активных проправительственных хакерских групп входит Китай, Северная Корея и Иран. Шпионаж также остается ключевым направлением деятельности групп, спонсируемых государствами разных стран. Азиатско-Тихоокеанский регион (APAC) по итогам H2 2017 – H1 2018 стал самым активно атакуемым хакерами разных стран. За год здесь была зафиксирована активность 21 различных групп, что больше чем в США и Европе, вместе взятых. Новым вектором шпионажа в Group-IB называют взлом домашних и персональных устройств должностных лиц государств.

      В отчете Group-IB представлены порядка 40 активных групп, но их гораздо больше. Они спонсируются различным государствами, среди которых Северная Корея, Пакистан, Китай, США, Россия, Иран и Украина. Страновую принадлежность части групп пока установить не удалось.

      Как правило, обнаруженные новые группы или правительственные кампании уже существовали несколько лет, но, по разным причинам, не были замечены. Специалисты Group-IB делают неутешительный вывод: уникальный ландшафт APT-угроз (англ. Advanced Persistent Threat — "развитая устойчивая угроза", целевая кибератака), характерный для каждого региона постоянно меняется, хакеры стараются пользоваться широко распространенными инструментами, в том числе для тестов на проникновение, что затрудняет работу исследователей. Отсутствие данных об обнаруженных атаках в отдельной стране или секторе экономике, скорее всего, означает, что о них пока не известно, а не о том, что они отсутствуют.
      Финансовый сектор вновь под угрозой

      В 2018 г. была раскрыта новая хакерская группа – Silence. Помимо нее сегодня самыми опасными для банков во всем мире являются MoneyTaker, Lazarus и Cobalt. Они способны взломать банк, добраться до изолированных финансовых систем и вывести деньги. Три группы из четырех – русскоговорящие.

      В среднем каждый месяц в России успешно атакуют 1-2 банка: средний ущерб от атаки – 132 млн руб ($2 млн). Эксперты Group-IB констатируют, что количество целенаправленных атак на банки с целью хищения через SWIFT за отчетный период увеличилось в три раза. Среднее время для обналичивания денег из банкомата дропами или "мулами" составляет всего около 8 минут.

      По прогнозам Group-IB, аресты лидеров Cobalt, Fin7 (Anunak) приведут к тому, что оставшиеся члены этих групп начнут формировать новые. Среди других наиболее вероятных регионов возникновения новых киберпреступных организаций – Латинская Америка, а также азиатские страны. Скорее всего, их первыми целями будут банки. Эксперты Group-IB предупреждают, что коллаборация хакерских групп, применение ими легальных инструментов и умышленное копирование тактик друг друга приведут к многочисленным ошибкам в атрибуции.
      Атаки на клиентов банков

      Мошенничество с банковскими картами остается в числе наиболее опасных угроз для физических лиц: недостаточное распространение систем поведенческого анализа при проведении транзакций приводит не только к прямому ущербу, но и к росту бизнеса кард-шопов. Ежемесячно в мире для продажи в кард-шопах загружаются около 686 тыс. текстовых данных скомпрометированных банковских карт и 1,1 млн дампов. Общий объем рынка кардинга за анализируемый период составил $663 млн.

      Снижение угроз со стороны банковских троянов для ПК в России продолжается с 2012 г. Атаки на физических лиц ушли в прошлое, а ущерб для юридических лиц по итогам отчетного периода сократился еще на 12% и составил 547 800 000 ₽ (8,3 млн).

      Рынок Android-троянов после нескольких лет роста остановился в России, но продолжает развиваться на мировой арене. Количество проводимых ежедневных хищений с помощью Android-троянов в России снизилось почти в три раза. Также стоит отметить и сокращение среднего размера хищений. Если в прошлом году он был 11 тыс. руб., то в этом году уже 7 тыс. На международном рынке ситуация радикально отличается: за анализируемый период было выявлено 6 новых троянов для ПК (IcedID, BackSwap, DanaBot, MnuBot, Osiris и Xbot), а также выложены либо проданы исходные коды еще 5 троянов.

      Веб-фишинг – метод хищений, который показал рост и в России, и на международном рынке в этом году. Количество групп, которые создают фишинговые сайты под российские бренды, выросло с 15 до 26. В России общее количество ежедневных успешных фишинговых атак выросло до 1274 (ранее – 950). С помощью web-фишинга в России было похищено 251 млн руб., что на 6% больше, чем в прошлом году.

      На международном рынке, в отличие от прошлого периода, первую позицию заняли фишеры, нацеленные на облачные хранилища, а не на финансовый сектор. По объему фишинговых сайтов в мире США занимают 1-е место (80%), 2-е место – Франция, 3-е – Германия. Согласно отчету Group-IB 73% всех фишинговых ресурсов попадают в следующие три категории: облачные хранилища (28%), финансовые (26%) и онлайн-сервисы (19%).
      Криптоиндустрия: новые рынки – старые угрозы

      Около 56% всех средств, украденных с ICO, были похищены с помощью фишинговых атак. В 2017 и 2018 гг. внимание хакеров возросло к атакам с целью взлома криптобирж. Всего было ограблено 14 криптовалютных бирж.

      Общий ущерб – более $882 млн. Как минимум 5 атак связывают с северокорейскими хакерами из группы Lazarus, чьи жертвы преимущественно находятся в Южной Корее. Вслед за Lazarus, вероятнее всего, атаковать криптобиржи начнут Silence, MoneyTaker и Cobalt, при этом основным вектором проникновения в корпоративные сети криптобирж остается целевой фишинг.

      Криптоджекинг (скрытый майнинг) как направление мошенничества получил наибольшее развитие в 2017-2018 гг. После выхода ПО для скрытого майнинга Coinhive, появилось еще 7 программ подобного типа. Эксперты Group-IB прогнозируют, что крупнейшие майнеры в мире могут стать целью не только киберпреступников, но и прогосударственных атакующих. При определенной подготовке это может позволить им взять под контроль 51% мощностей для майнинга и захватить управление криптовалютой. Сразу 5 успешных "атак 51%" было зафиксировано в первой половине 2018 г.: сумма прямого финансового ущерба составила от $0,55 млн до $18 млн.
      Новые технологии взлома

      Если в прошлом году основное внимание специалистов по безопасности было связано с эпидемиями WannaCry, NotPetya, BadRabbit, то начало 2018 г. показало, что новый источник глобальной угрозы информационной безопасности – это side-channel атаки и уязвимости микропроцессоров разных вендоров.

      В отчете Group-IB анализируется множество примеров, показывающих реальную опасность брешей аппаратного обеспечения и их ключевую проблему: все эти уязвимости невозможно быстро и эффективно закрыть при помощи программных обновлений. Именно поэтому исследовательская активность, посвященная поиску уязвимостей в BIOS/UEFI, усиливается с каждым годом пропорционально возросшему количеству угроз, которые используются в реальных целенаправленных атаках. При этом о них становится известно благодаря утечкам, а не исследованию атак: сегодня на рынке нет решений, которые могли бы эффективно выявить такие угрозы.

      "Сегодня производители продуктов для кибербезопасности предлагают достаточно эффективные способы борьбы с вредоносными программами, проникающими в компьютерные системы, однако никакая антивирусная программа не поможет, когда проблема находится на уровне прошивки, на уровне оборудования, – предупреждает Дмитрий Волков, CTO Group-IB. – Во-первых, заражение оборудования через существующую уязвимость сложно детектировать. Во-вторых, эту проблему сложно устранить. Комбинация side-channel атаки с аппаратной уязвимостью, которая позволяет выполнять множество действий в операционной системе, открывает новые возможности заражать устройства незаметно. Если устройство скомпрометировано таким образом, то переустановка операционной системы или даже выброс жесткого диска не решит проблему. Неважно, где вы находитесь: как только вы подключите устройство к интернету, преступник будет иметь над ним полный контроль".

      В Group-IB констатируют, что в настоящее время исследования, посвященные поиску уязвимостей в BIOS/UEFI, а также разработка реальных эксплойтов – достаточно трудоемкие и дорогие процессы: не так много хакеров способны выполнять такие атаки, но эта ситуация может измениться, что в корне изменит подход к кибербезопасности в ближайшие годы.

      Новости партнеров

      Форма обратной связи

      Отправить

      Форма обратной связи

      Отправить