Шифровальщики и инфостилеры останутся главной угрозой

Согласно отчету Group-IB "Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023", именно программы-вымогатели останутся киберугрозой номер один для бизнеса как в мире, так и в России. Также, по прогнозу авторов исследования, основным способом получения доступов в инфраструктуру компаний станут результаты действия программ-инфостилеров.

"На фоне геополитического кризиса количество кибератак, совершенных прогосударственными группами и хактивистами вырастает на порядок. Прогосударственные кибергруппы стран, напрямую не участвующих в конфликте, занимались кибершпионажем против соседних государств с целью выведывания военных секретов", - такой комментарий ComNews дал коллектив авторов исследования Group-IB. Наряду с геополитическим кризисом в мировом масштабе основным драйвером для киберпреступников будут нарастающие негативные процессы в экономике.

"Из-за конфликта между Россией и Украиной надеяться на сотрудничество с правоохранительными органами в ближайшем будущем не приходится. Поэтому не исключено, что киберпреступные группы одной стороны конфликта будут активно атаковать компании другой стороны. Некоторые могут даже считать это своим долгом перед Родиной. Охлаждение экономики, вызванное ростом цен на энергоносители, инфляцией, санкциями и другими причинами, приведет к росту уровня бедности среди населения и, соответственно, уровня преступности, в том числе киберпреступности. А как мы знаем, шифровальщики приносят своим хозяевам баснословные суммы", - считает старший исследователь кибербезопасности, Global Research and Analysis Team (GReAT) "Лаборатории Касперского" Иван Квятковский.

В глобальном масштабе, по мнению Group-IB, торговля доступами в инфраструктуру компаний является второй, после выкупов от вымогательского ПО, статьей доходов для киберпреступных группировок. Основным инструментом для достижения данной цели являются программы-инфостилеры.

Также в Group-IB предупреждают, что продолжит расти количество атак российских компаний, целью которых является похищение данных. Причем мотивация такого рода атак не связана с монетизацией, цель - нанести репутационный или экономический ущерб российскому бизнесу и его клиентам.

Однако, как отметил эксперт направления специальных сервисов Solar JSOC "РТК-Солар" Александр Вураско, такой теневой рынок охватывает и Россию: "В ходе мониторинга даркнета мы часто сталкиваемся с объявлениями о продаже доступов к различным серверам. Основную массу, как правило, составляют предложения доступа к серверам небольших коммерческих организаций, однако мы фиксировали и предложения, связанные с серверами крупных государственных компаний со всего мира. Стоимость доступа составляет от $200 до десятков тысяч долларов. К счастью, доля российских компаний довольно незначительна, но эту угрозу все равно не стоит недооценивать. Скомпрометированные серверы могут быть использованы в самых разных сценариях. Например, они могут стать для хакера точкой входа в инфраструктуру компании, могут применяться для рассылки спама, размещения вредоносного контента или хостинга управляющего центра ботнета. Наконец данные с сервера можно зашифровать и потребовать выкуп за расшифровку".

"С учетом напряженной геополитической обстановки сами цели злоумышленников однозначно сместятся. Одни злоумышленники хотят получить материальную выгоду, другие, политически мотивированные недоброжелатели готовы проспонсировать атаки, способные нарушить стабильную работу жизненно важных объектов РФ. В связи с чем целью будут являться не только "платежеспособные" организации, но и любые иные организации, имеющие значимость на уровне всего государства, критически важные отрасли. Также предполагаем, что, наряду с шифровальщиками, сохранится высокое количество массированных DDOS-атак, а также фишинговые атаки, - такие прогнозы дает Руслан Амиров, директор центра мониторинга и реагирования на инциденты ИБ USSC-SOC. - Что касается "стилеров" - атак, направленных на кражу учетных данных, - то их распространенность тоже будет высокой, так как одной из промежуточных целей злоумышленников является получение предварительной информации, необходимой для дальнейшего взлома".

Эксперты Group-IB прогнозируют продолжение тенденции 2022 г. к росту количества массовых утечек. По их мнению, есть все шансы, что антирекорд ушедшего года будет побит в наступившем. Также продолжится тенденция целевых атак на российские компании и госучреждения. При этом одним из основных инструментов злоумышленников будет целевой фишинг.

"Наибольший интерес будут представлять собой организации, функционирующие в критических отраслях экономики, - государственный сектор, сфера связи и СМИ, финансовый сектор, ИТ-компании, энергетика, транспорт, оборонно-промышленный комплекс, здравоохранение и иные важные сферы. Особо хотелось бы отметить ИТ-компании, разрабатывающие импортозамещающее ПО, прежде всего для объектов критической информационной инфраструктуры, - такими видят потенциальные цели злоумышленников в УЦСБ. - При этом успешными окажутся атаки на компании, которые не выстроили систему обеспечения ИБ, адекватную текущим реалиям и способную противостоять целевым компьютерным атакам".

"Наши исследователи предсказывают рост числа разрушительных атак на государственные учреждения и ключевые отрасли промышленности. Целью таких атак становится уничтожение данных и нанесение максимального ущерба, и они зачастую маскируются под атаки шифровальщиков. Вполне вероятно, что сектор здравоохранения в соответствии с этой же логикой также может стать значимой целью для злоумышленников, - такой прогноз дает эксперт по кибербезопасности "Лаборатории Касперского" Федор Синицын. - Напротив, финансово мотивированные группировки шифровальщиков обычно предпочитают наиболее крупные коммерческие цели без привязки к конкретным секторам экономики - в данном случае для вымогателей главное получить максимальный выкуп. Атаки таких группировок продолжатся и, возможно, будут расти, но вряд ли финансово мотивированные группировки шифровальщиков сделают основной целью госсектор и медицину". При этом в "Лаборатории Касперского" дополнительно прогнозируют постепенный отказ операторов вымогателей от биткоина в качестве средства платежа выкупа. Основная причина - падение курса.

В 2023 г. в Group-IB ожидают укрупнения групп злоумышленников, стоящих за программами-вымогателями. Будет развиваться и ряд новых тенденций, например, использование шифровальщиков для уничтожения инфраструктуры жертвы, а не для получения выкупа. Впрочем, в 2022 г. группировка OldGremlin затребовала от атакованной ею российской компании рекордный выкуп в 1 млрд руб.

Директор экспертного центра безопасности Positive Technologies Алексей Новиков обращает внимание, что больше половины атак на российские компании по итогам 2022 г. совершено квалифицированными злоумышленниками, а 20% случаев составили атаки типа supply chain и trusted relationship, которые сложно расследовать. Среди группировок особо отличаются APT31, Cloud Atlas и Space Pirates. В Positive Technologies также отмечают, что самыми эффективными инструментами атак были инфостилеры, шифровальщики и вайперы. Именно они позволяют злоумышленникам быстро получить доступ в инфраструктуру жертвы, не тратя время на поиск уязвимостей, и похитить данные.

Вместе с тем в России именно незакрытые уязвимости, прежде всего в зарубежных решениях, которые будут продолжать эксплуатироваться, могут стать одной из главных проблем. "Почти 70 уязвимостей в день - это много. В России этот показатель усугубляется еще и тем, что иностранные ИT-компании ушли из страны и прекратили поставлять новые версии и обновления своего ПО, оставив отечественные предприятия беззащитными, что, в свою очередь, поднимает вопрос о выстраивании результативной стратегии управления уязвимостями как в проприетарном ПО, так и в используемых компонентах с открытым исходным кодом, причем не только в веб-приложениях, но и в программах собственной разработки", - предупреждает руководитель группы анализа угроз ИБ Positive Technologies Вадим Соловьев.

Будет влиять и усиление разрыва связей между разработчиками ПО и исследователями. Продолжат оставаться угрозой и хорошо известные уязвимости вроде Log4Shell, Spring4Shell или в Microsoft Exchange. Для массовых атак, по мнению Positive Technologies, наибольшую ценность будут представлять уязвимости браузеров и популярных фреймворков, прежде всего используемых в инфраструктуре крупных компаний.

Алексей Новиков также считает, что в 2023 г. стоит ожидать развития политически мотивированных атак в отношении российских организаций, как от известных группировок, так и от новых, процесс появления которых заметно активизировался. Также будет расти количество так называемых спящих инцидентов, когда, получив доступ к ресурсам компании, злоумышленники не развивают атаку, дожидаясь удобного момента.

Схожие выводы делают и в Group-IB. По мнению аналитиков этой компании, продолжительность своего рода инкубационного периода будет зависеть от вида группы и ее мотивов: "Если мы говорим про криминал и их цель - кража денег, то для них важны скорость и безопасность: заражение, закрепление, продвижение в сети, хищение и вывод денег занимают от пары недель до месяца. У шифровальщиков среднее время - три недели. Под формулировку "спящие инциденты" попадают атаки прогосударственных хакерских групп с целью шпионажа. Их задача - как можно дольше быть незаметными. В нашей практике был случай, когда кибершпионы находились в сети компании несколько лет".