Кому кибервойна, кому мать родна

Самым пугающим трендом прошлого года специалисты Group-IB назвали использование кибероружия в открытых военных операциях. Речь идет об атаках на критическую инфраструктуру государств. В первом полугодии 2019 г. стало известно о трех таких военных операциях. В марте в результате атаки на ГЭС Венесуэлы большая часть страны осталась без электричества на несколько дней. А в мае в ответ на кибератаку армия Израиля произвела ракетный удар по хакерам группировки "ХАМАС". В июне США использовали кибероружие против иранских систем контроля за запуском ракет в ответ на сбитый американский беспилотник.

"Последние три года четко показывают скорость эскалации угроз в киберпространстве. 2017-й стал годом эпидемии вирусов-шифровальщиков WannaCry, NotPetya и BadRabbit. Позапрошлый год обнаружил слабую готовность к side-channel-атакам и угрозам, связанным с уязвимостями в микропроцессорах. 2019-й стал годом открытых военных киберопераций. Конфликт между государствами приобрел новые формы, и киберактивность играет ведущую роль в этом противостоянии. Фокус исследователей во всем мире постепенно смещается с финансово мотивированных хакерских групп, зарабатывающих деньги взломом различных организаций, в сторону прогосударственных атакующих", - говорит сооснователь Group-IB Дмитрий Волков.

Он прогнозирует, что переход на 5G усугубит ситуацию с угрозами в мировом телекоме. "Первая причина ухудшения ситуации - архитектурные особенности, которые открывают возможности для новых типов атак на сети операторов", - рассказывает Дмитрий Волков. Вторая причина - конкурентная борьба за новый рынок. Она может привести к демонстрации возможностей по взлому отдельных вендоров и появлению большого количества анонимных исследований об уязвимостях определенных технологических решений.

Как отмечает представитель Group-IB, несмотря на то что за последний период опубликовали большое количество исследований о новых проправительственных группировках, эта сфера остается малоизученной. "Была замечена активность 38 групп, семь из них - новые, целью которых является шпионаж. К примеру, в сфере энергетики известно лишь два фреймворка - Industroyer и Triton (Trisis). И оба были найдены в результате ошибки их операторов. Также хочу отметить, что известные в публичном пространстве проправительственные группировки - в основном из развивающихся стран", - сказал Дмитрий Волков.

Эксперты отмечают, что в 2019 г. участились случаи появления в открытом доступе информации об инструментах атакующих от имени якобы активистов или бывших участников группировки. Чаще всего это обратный взлом: когда злоумышленники сами становятся жертвами. Частные компании не имеют права проводить подобные операции. Такие полномочия есть только у спецслужб.

Кроме случаев обратного взлома, сообщают специалисты Group-IB, увеличилось и количество атак на иностранные банки со стороны русскоязычных группировок. Cobalt, Silence, MoneyTaker (Россия), Lazarus (Северная Корея), SilentCards (новая группа из Кении) представляют сейчас реальную угрозу финансовому сектору. В России ущерб от целенаправленных атак на банки со стороны финансово мотивированных злоумышленников сократился почти в 14 раз.
Исчезновение троянов для ПК продолжается. Единственной страной, активно создающей трояны, стала Бразилия. Дмитрий Волков отмечает, что в России их писать почти перестали. Трояны для Android исчезают медленнее, чем для ПК. Однако количество новых вирусов в несколько раз меньше, чем тех, что вышли из оборота. "Новые программы эволюционируют от перехвата SMS к автоматическому переводу средств через банковские мобильные приложения - автозаливу. Количество активных троянов продолжит снижаться за счет внедрения средств защиты и резкого сокращения экономической выгоды для атакующих", - полагает Дмитрий Волков.

По данным Group-IB, в РФ ущерб от хищения с помощью троянов для ПК сократился на 89% и составил 62 млн руб. Общий объем хищений на Android упал на 43% и составил 110 млн руб. Количество групп, использующих Android-трояны в России, сократилось с восьми до пяти. При этом исчезли трояны с наибольшим количеством мошеннических транзакций. Оставшиеся группы больше не используют SMS-канал для хищений. Его заменил метод перевода с карты на карту, что привело к увеличению среднего размера хищения с 7 тыс. до 11 тыс. руб.

На фоне падения троянов растет угроза социальной инженерии без использования вредоносного кода. Злоумышленники продолжают применять поддельные аккаунты в соцсетях, совершают звонки с надежных номеров по хорошо продуманным скриптам, покупают для надежности базы паспортных данных. К относительно новым методам социальной инженерии можно отнести управление телефоном с помощью программ удаленного доступа, которые жертвы устанавливают на устройства под руководством телефонных мошенников.

Рынок кардинга растет за счет JS-снифферов. При падении финансовой отдачи от использования банковских троянов для ПК и Android злоумышленники стали применять более эффективный способ заработка. Уже сейчас количество JS-снифферов превышает количество троянов, а общее количество скомпрометированных с их помощью карт выросло на 38%. Как считают специалисты Group-IB, JS-снифферы станут наиболее динамично развивающейся угрозой, особенно для стран, где не распространена система 3D Secure.

В России ущерб от финансового фишинга сократился на 65% до уровня 87 млн руб. На общую цифру повлияло как снижение количества активных групп, так и уменьшение "среднего чека" атаки. Из-за низкой экономической эффективности фишинговых атак в этом сегменте осталось всего 11 активных групп из 26.

В 2019 г. эксперты Group-IB зафиксировали атаки новой группы, которая получила имя RedCurl. Основные цели группы - шпионаж и финансовая выгода. После выгрузки значимой документации злоумышленники устанавливают майнеры в инфраструктуру скомпрометированной компании. Особенность группы - высокое качество фишинговых атак. Под каждую компанию злоумышленники создают отдельное письмо. RedCurl использует уникальный самописный троян, осуществляющий коммуникацию с управляющим сервером через легитимные сервисы, что сильно затрудняет обнаружение вредоносной активности в инфраструктуре.

Согласно статистике Генпрокуратуры РФ, каждое 20-е преступление, которое совершают в России, относится к категории киберпреступлений. Среди тенденций отечественного рынка ИБ коммерческий директор компании Oberon Александр Батырев отмечает рост утечек персональных данных, в частности биометрических. "Если оценивать в отраслевом разрезе, то по числу публичных инцидентов лидируют банки и страховые компании, телеком-операторы и ретейлеры. Именно они обладают доступом к финансовым, а теперь и к биометрическим данным пользователей. И с каждым годом подобные утечки будут стоить крупному бизнесу все дороже: по информации Сбербанка, потери от кибератак в нашей стране составляют около 650 млрд руб. ежегодно", - сказал Александр Батырев. Кроме того, в числе трендов прошедшего года он назвал повышенный интерес хакеров к крупным компаниям; увеличение атак с применением искусственного интеллекта и машинного обучения, а также рост использования в атаках IoT-устройств (их сложно отследить).

"По моему мнению, лидер списка топ-5 самых распространенных ИБ-угроз в России - атаки с целью кражи информации, используя которую злоумышленники планируют получить прямую финансовую выгоду. По заинтересованности хакеров - вне конкуренции персональные данные конечных пользователей", - убежден Александр Батырев.

По его словам, в 2019-2020 гг. особую актуальность приобретает защита контейнеризации. Практически каждая крупная организация так или иначе занимается созданием или доработкой ПО под свои нужды, чтобы обеспечить безопасность бизнеса.

Эксперты Positive Technologies также считают, что в сфере кибербезопасности 2019 г. прошел под знаком APT-атак. "При этом жертвами киберпреступников становились не только коммерческие компании, но и госучреждения, и объекты КИИ. Если в прошлом году в поле наших исследований попали 12 APT-группировок, то в этом году их было уже 27", - поделился подсчетами представитель Positive Technologies.

В III квартале 2019 г. доля целенаправленных атак составила 65% (против 59% во II квартале и 47% в I квартале). Целями APT-группировок по-прежнему были компании, которые владели важными данными и деньгами. При этом хакеры атаковали не только крупные предприятия, но и средний, и малый бизнес. "Прежде всего для того, чтобы использовать их как плацдарм для нападения на крупный бизнес, а также для маскировки своих действий. Также усиливается тренд атак на провайдеров услуг связи, вендоров и поставщиков услуг", - рассказал представитель Positive Technologies.

Еще один тренд специалисты Positive Technologies связывают с ростом атак, нацеленных на данные пользователей. Результаты отчета Positive Technologies говорят, что 64% всех атак на частных лиц в III квартале 2019 г. проводились с целью получить информацию о людях. Почти половина этих атак (47%) была нацелена на кражу учетных данных от интернет-сервисов, 23% атак - на кражу данных платежных карт, 12% - на кражу персональных данных, остальные - на доступ к личной переписке.

При этом злоумышленники могут не использовать похищенную информацию сами, а могут продавать базы третьим лицам - поштучно или оптом, объединяя данные утечек за последние несколько лет.

В Positive Technologies также обратили особое внимание на угрозы, направленные на госструктуры. В России за первые три квартала 2019 г. в компании обнаружили 167 атак на госучреждения. За такой же период в 2018 г. было зафиксировано 133 атаки. Самые распространенные методы атак злоумышленников - использование фишинга (49% случаев) и вредоносного ПО (63% атак). Не теряют актуальности и кибератаки на веб-сайты госкомпаний. В первых трех кварталах 2019 г. со взломом веб-приложений было связано 18% атак. В 2018 г. этот показатель был почти таким же - 19%.

Директор по консалтингу ГК InfoWatch Мария Воронова полагает, что одной из ключевых тенденций ИБ в России является импортозамещение. Больше всего в России, на ее взгляд, пострадала от мошенников в 2019 г. банковская отрасль. "Там серьезно выросло и будет продолжать расти использование методов социальной инженерии. А вот кто больше страдает - банки или жертвы мошенников - вопрос разбора каждого конкретного случая", - уточнила представитель InfoWatch.

Директор центра информационной безопасности компании "Инфосистемы Джет" Андрей Янкин посетовал на дефицит квалифицированных кадров по ИБ. По оценкам международного консорциума (ISC), глобальная нехватка специалистов в области кибербезопасности превысила 4 млн человек. "В России ситуация схожая, и никаких предпосылок к ее улучшению в ближайшее время не наблюдается. Кадровый голод стимулирует еще один тренд - развитие услуг в области ИБ, в том числе и ее аутсорсинга. По нашим оценкам, направление аутсорсинга ИБ растет в среднем примерно в два раза быстрее рынка ИБ, и с большой вероятностью эта динамика будет сохраняться в ближайшие годы", - прогнозирует Андрей Янкин.

Директор управления информационных технологий ESET Russia Руслан Сулейманов тоже упомянул растущий спрос на специалистов по ИБ. "Еще одна тенденция - распространение облачных SOC, открывающих большое количество возможностей для эффективной борьбы с актуальными киберугрозами. Также прогнозируется рост рынка киберстрахования. Многие российские и зарубежные корпорации предлагают услуги по страхованию киберрисков, и эта отрасль продолжает активно расти", - комментирует Руслан Сулейманов.

В 2020 г. ожидается рост потребности в обеспечении безопасности интернета вещей. В домах, организациях появляется все больше умных гаджетов. Большинство умных гаджетов используют слабые протоколы аутентификации, а в некоторых они вовсе отсутствуют. В конечном итоге это может привести к появлению значительного количества критических уязвимостей.

Не утратит актуальности эксплуатация уязвимостей в смартфонах, которые сегодня стали хранилищами всех данных о владельцах. Как следствие, говорит Руслан Сулейманов, возникнет острая необходимость в защите "цифрового следа" пользователя.

В декабре компания Avast представила ежегодный доклад Threat Landscape Report, где рассказала об основных прогнозах в области кибербезопасности на 2020 г. Главные угрозы, по мнению экспертов, - мобильные мошенничества, вредоносный спам, IoT-угрозы и ботнеты. Специалисты также ожидают повышенное внимание к приватности данных в сфере искусственного интеллекта.

Эксперты Check Point Software Technologies, говоря об общих трендах в кибербезопасности, предполагают, что в следующем году с помощью кибератак государства будут пытаться влиять друг на друга: кибернападения будут все чаще использоваться в качестве косвенных конфликтов между небольшими странами. Продолжит расти и количество угроз на коммунальные и иные критически важные инфраструктуры: во многих случаях подобная инфраструктура электроснабжения и водоснабжения использует устаревшие технологии, которые уязвимы для удаленной эксплуатации.

Рассказывая об увеличении целевых атак, исследовали Check Point отмечают, что преступникам проще собрать максимум информации об одной конкретной жертве и затем получить большой выкуп за возврат информации. Фишинговые письма, утверждают эксперты, будут активно распространяться не только через почту, но и через другие платформы - например, социальные сети и онлайн-игры.

По прогнозам Positive Technologies, вместе с внедрением 5G операторы могут столкнуться с новыми рисками, связанными с широким использованием виртуализации, усложнением задач администрирования, применением хорошо изученных хакерами интернет-протоколов. На переходном этапе устройства подключаются к частотам 5G для передачи данных, но для голосовых вызовов и SMS все еще используются сети 4G и 2G/3G. Соответственно, недостатки защиты этих сетей еще долго будут актуальны и для абонентов 5G.

В промышленном секторе в 2020 г., ожидают в Positive Technologies, продолжатся атаки с целью шпионажа: хакеры стремятся на максимально возможное время закрепиться в инфраструктуре компании и получить контроль не только над ИТ-системами, ключевыми компьютерами и серверами, но и над технологической сетью с промышленным оборудованием. Возможен рост числа инцидентов в секторе СМБ, инциденты будут связаны с BEC-мошенничеством (Business Email Compromise) - социальной инженерией с использованием реальных аккаунтов сотрудников компаний, в том числе руководства. Эта угроза особенно актуальна для компаний, которые регулярно совершают крупные денежные переводы в адрес контрагентов, партнеров, поскольку злоумышленники могут (якобы от имени доверенного лица) просить уполномоченных сотрудников компании-жертвы оплатить счет по подставным реквизитам.

Ввиду высокой эффективности продолжатся и атаки с использованием уязвимостей сайтов, в том числе с применением JavaScript-снифферов. Кроме того, не потеряют актуальности атаки на личные устройства пользователей, поскольку для большинства людей удобство при работе с гаджетом остается важнее, чем безопасность личных данных. При этом атакующие могут совмещать атаки на гаджеты с классическими методами социальной инженерии. Например, с мошенническими звонками по телефону с целью получения банковских данных.

Эксперты всех опрошенных ComNews компаний полагают, что количество киберугроз продолжит лавинообразно расти в этом году. "Для бизнеса наиболее опасными продолжают оставаться комплексные APT-атаки, которые преобладают над массовыми. Их доля составляет 59% и продолжает расти более чем на 10% от квартала к кварталу", - подытожил Александр Батырев.