Следствие ведут знатоки
Каждый декабрь «Лаборатория Касперского» проводит мероприятие, на котором ее специалисты подводят итоги уходящего года и рассказывают о наиболее нашумевших инцидентах, случившихся за отчетный период в кибермире.
В конце 2014 всем присутствующим было предложено прокатиться на машине времени (http://www.sotovik.ru/news/238191-po-virusam-na-mashine-vremeni.html), а в декабре 2015 – насладиться ток-шоу из студии студии Kaspersky Digital Radio.
В этот раз так же не обошлось без креатива. Два эксперта «Лаборатории Касперского» играли роли детективов, пытавшихся разобраться в том, что победило в 2016 – добро или зло, нападение или защита. На роль третейского судьи был приглашен известный журналист и телеведущий Владимир Познер.
Специалисты «Лаборатории Касперского» сделали акцент на шести основных тенденциях развития киберугроз.
Масштабы и сложность киберпреступной экономики сегодня больше, чем когда-либо раньше. Примером тому служит крупная и активно действующая торговая площадка xDedic, на которой продаются учетные данные более 70 тысяч взломанных серверов по всему миру.
Крупнейшие кражи денег теперь осуществляются через межбанковскую сеть SWIFT. Именно с помощью этой системы в феврале 2016 года злоумышленники украли 100 миллионов долларов из Центрального банка Бангладеш.
Критически важная инфраструктура пугающе уязвима. Достаточно вспомнить атаку BlackEnergy, которая оказалась уникальной по масштабу причиненного вреда. Сама атака случилась еще в конце 2015 года, однако вся тяжесть последствий стала ясна в начале 2016-го. Действия хакеров привели к отключению систем распределения электроэнергии на западе Украины, а также удалению ПО с зараженных компьютеров и сопровождалась DDoS-атаками на службы техподдержки атакованных предприятий.
Целевые атаки становятся более непредсказуемыми. Так, группировка ProjectSauron создавала полностью новый набор инструментов индивидуально для каждой жертвы и избегала повторного использования одних и тех же тактик и технологий. Такой подход затрудняет распознавание атак не только с помощью защитных технологий, но и с помощью индикаторов компрометации, которые чаще всего работали в случае с целевыми атаками.
Публикация в Сети краденных баз данных становится средством манипуляции общественным мнением. Злоумышленники начали намеренно выкладывать в открытом доступе в Интернете большие объемы личных данных пользователей, которые они получили в ходе различных атак, в том числе сложных целевых кампаний АРТ класса. Обнародуя личную и служебную переписку, частные фотографии или данные от учетных записей, как обычных пользователей, так и известных персон, злоумышленники преследуют разные цели: от жажды наживы, до желания очернить репутацию отдельных людей. Поэтому, как предполагают эксперты, в 2017 году еще большую остроту приобретут вопросы сохранения конфиденциальности данных и тайны частной жизни пользователей, обеспечения должного уровня безопасности в условиях расцвета криптовалют, а также распознавания целевых атак, которые становятся все более сложными и непредсказуемыми.
Камера может стать «бойцом» глобальной киберармии. Сегодня в мире миллионы незащищенных устройств и систем – от умной бытовой техники и автомобилей до больниц и целых городов, которые имеют прямой доступ к Интернету. И этим не преминули воспользоваться злоумышленники: например, в октябре для осуществления DDoS-атак киберпреступники использовали ботнет, состоящий из более полумиллиона домашних гаджетов, подключенных к Сети.
В 2016 году пользователи стали чаще сталкиваться с вредоносным ПО, предназначенным для кражи денег. За последние 12 месяцев защитные решения «Лаборатории Касперского» заблокировали попытки запуска таких зловредов почти на 3 миллионах устройств. При этом Россия возглавила список стран, в которых пользователи наиболее подвержены риску заражения финансовым вредоносным ПО, – за год с банковскими зловредами столкнулись около 5% российских пользователей, то есть каждый двадцатый.
Прошедший год имеет все шансы войти в историю как год расцвета программ-шифровальщиков и вымогателей, которые «захватывали в плен» данные и устройства, как отдельных пользователей, так и целых компаний. Интенсивность атак с использованием этих зловредов за последние 12 месяцев увеличилась как минимум вдвое, количество новых модификаций шифровальщиков выросло в 11 раз, а среди троянцев-вымогателей появилось 62 новых семейства. Кроме того, в киберпреступном мире все большую популярность набирает «сдача в аренду» вымогателей в виде услуги для тех злоумышленников, у которых не хватает опыта или желания разрабатывать программы самостоятельно.
В начале года решения «Лаборатории Касперского» блокировали атаки шифровальщиков на компании в среднем раз в две минуты, а на индивидуальных пользователей – каждые 20 секунд. К концу года эти показатели кардинально изменились: теперь бизнес сталкивается с программами-вымогателями приблизительно раз в 40 секунд (то есть в три раза чаще), а отдельные пользователи – раз в 10 секунд (то есть вдвое чаще).
Увеличение числа атак шифровальщиков на бизнес привело к тому, что 67% компаний полностью или частично потеряли свои корпоративные данные, а каждая пятая организация не сумела восстановить файлы даже после уплаты выкупа.
Эксперты «Лаборатории Касперского» отмечают, что шифровальщики становятся сложнее и разнообразнее. Так, появились вымогатели, меняющие тактику при встрече с финансовым ПО – к примеру, троянец Shade, попадая на компьютер сотрудника финансового департамента, вместо стандартного шифрования файлов устанавливает в системе шпионскую программу, вероятно, с целью возможной кражи денег в будущем. Помимо этого, все чаще стали встречаться зловреды, которые шифруют не отдельные файлы, а главные файловые таблицы или весь жесткий диск целиком.
В 2017 году киберпреступники продолжат изобретать различные способы кражи денег с помощью кибератак. Эксперты «Лаборатории Касперского» считают, что в зону внимания злоумышленников в новом году попадут не столько банки, сколько другие финансовые организации, например, фондовые биржи или инвестиционные фонды.
Однако главный финансовый вызов наступающего года будет связан с криптовалютами. За последние несколько лет в этой области произошли грандиозные изменения: если раньше на рынке существовал лишь один биткойн, то сегодня число различных криптовалют доходит до 50, при этом около 10 из них имеют серьезную рыночную капитализацию. Государства уже смирились с неизбежностью виртуальных денег и постепенно начинают внедрять их в свои финансовые системы. Не исключено, что в следующем году рынок криптовалют пополнится новыми образцами, за выпуском которых будут стоять реальные банки. В связи с этими обстоятельствами ряд банковских транзакций, в которых используются технологии блокчейна и основанные на них цифровые валюты, могут столкнуться с новыми угрозами и уязвимостями. А перед индустрией информационной безопасности встанет новая задача по защите криптовалютной инфраструктуры.
«При столь высоком уровне развития киберугроз, который мы наблюдали на протяжении 2016 года, задача раннего распознавания вредоносных программ и несанкционированного проникновения в корпоративные сети становится приоритетной. При этом для успешного детектирования угроз сегодня крайне важно обладать глубинным пониманием кибермира. Анализ угроз, обнаруженных в этом году, позволил нам выявить новые тенденции и уникальные подходы киберзлоумышленников – и эти знания помогут нам усовершенствовать защитные инструменты и сделать распознавание и предотвращение угроз еще более эффективным. Другими словами, мы используем прошлое, чтобы подготовиться к будущему», – отметил Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».
© СОТОВИК