Тренды кибербезопасности от BI.ZONE

По самым скромным оценкам в 2017 году общемировой ущерб от кибератак составил триллион долларов, говорится в годовом исследовании BI.ZONE за 2017-2018 год. Оценить реальный ущерб почти невозможно, поскольку 80% компаний скрывают случаи взломов и утечек. Эксперты прогнозируют, что, если ничего не предпринять, через несколько лет размер ущерба вырастет до $8 трлн.

Мы в Binary District составили краткий пересказ исследования BI.ZONE, посвященного новым вызовам цифрового мира. Выбрали основные тренды в сфере киберпреступности и интересные факты из исследования, которые привлекли наше внимание: как быстро киберпреступный мир узнает об уязвимостях в MS Office, в чем проблема интернета вещей и почему выстраивание защиты своей инфраструктуры еще не гарантирует полную безопасность компании.

Кибератаки — в топ-3 глобальных рисков: они приносят $1 трлн ущерба — больше, чем терроризм и антропогенные катастрофы (данные Всемирного экономического форума)

Утечки данных

С каждым годом количество утечек данных продолжает расти. Буквально на днях в сеть выложили крупнейший дамп в истории ^[1]: в архиве оказался сборник данных с многих утечек: 2,7 млрд аккаунтов, более 1,1 млрд из которых — уникальные комбинации адресов почт и паролей.

Как правило, злоумышленники перепродают украденные данные в теневых сегментах интернета или используют их для организации новых атак. Чаще всего преступники крадут персональные данные (около 67% случаев), а также финансовую информацию и учетные данные. В 2017 году только 18% причин утечек приходились на случайные, остальное — внешний или внутренний злоумышленник.

Жертвами утечек чаще всего становятся крупные корпорации с многотысячным штатом — и убыток от кибератак они терпят тоже огромный. Так, в США утечка данных в среднем обходится компании в $7,4 млн. Однако ущерб от утечек может быть не только прямым, но и косвенным. Например, в июле 2017 года хакеры проникли во внутреннюю сеть телекомпании HBO и выкачали 1,5 ТБ данных, в том числе невышедшие серии некоторых сериалов и сценарий к еще не вышедшей на тот момент серии «Игры престолов». Злоумышленники требовали от HBO выкуп в $6 млн. Компания не стала платить, однако все равно понесла репутационный ущерб.

В некоторых случаях злоумышленники похищают данные не для немедленной монетизации, а для развития будущих атак. Так, в июне 2017 года произошла утечка исходных кодов Windows 10 — архив, являющийся частью Shared Source Kit и включающий в себя файлы с исходными текстами драйверов устройств, был загружен неизвестными лицами на сайт BetaArchive. Такие крупные утечки приводят к появлению новых волн эксплойтов, использующих не известные ранее уязвимости в коде ОС.

Ущерб от утечек растет вместе с количеством этих утечек, они затрагивают все больше людей и компаний. Несоблюдение требований по защите персональных данных может грозить не только штрафами, но и ударом по репутации, финансовыми потерями, оттоком клиентов, тратами на анализ состояния инфраструктуры и укрепление ее защиты. Гораздо лучше ограничиться последними двумя шагами — это гораздо дешевле.

Атаки на банковский сектор

Атаки на финансовый сектор самые сложные и самые частые: по данным BI.ZONE, на него совершается каждая вторая атака. Так, недавно BI.ZONE подробно разбирала в своем блоге ^[2] атаку группировки Buhtrap на российские банки, о которой стало известно 19 декабря 2018 года. Фишинговая рассылка содержала исполняемый файл «md5: faf833a1456e1bb85117d95c23892368», который принимал различные названия: «Сверка за декабрь.exe», «Док-ты среда.exe», «Документы 19.12.exe», «Закрывающие документы среда.exe».

Если вспоминать предыдущие атаки, то, например, в России атаке группы Carbanak в 2017 году подверглись 200 банков. 11 из них не смогли противостоять взлому, что принесло злоумышленникам более $16 миллионов.

Интересная особенность Carbanak — тактика использования инфраструктуры других организаций для рассылки вредоносного ПО. В некоторых случаях фишинговые письма открывали сотрудники, непосредственно отвечающие за кибербезопасность.

Основным способом первоначального проникновения является Spear Phishing — специально подготовленные письма, учитывающие особенности компании или сектора индустрии. Тот же Carbanak обычно рассылает фишинговые сообщения с адресов, которые содержат слова, относящиеся к банковской деятельности: названия компаний, производящих оборудование (Wincor-Nixdorf), платежных систем (Visa, MasterCard, Western Union) и т. д.

Хакеры следят за новостями кибербезопасности и быстро переделывают свежие эксплойты для использования в атаках. По данным BI.ZONE, с момента выхода нового эксплойта для MS Office до его использования в рассылке Carbanak проходит не более суток(!).

Атаки на цепочку поставок

В 2017-2018 году на 200% выросло количество Supply Chain атак. Эта стратегия строится на том, что злоумышленники пытаются получить доступ к инфраструктуре целевой организации не напрямую, а в обход — внедряя вредоносный код в программы наименее защищенных участников цепочки поставок.

Чаще всего конечная цель таких атак — банковский сектор, самый крупный кусок в этом хакерском торте.

Атаки Supply Chain опасны тем, что их крайне сложно, а иногда просто невозможно отследить и предотвратить. Вместо того, чтобы атаковать инфраструктуру одной хорошо защищенной организации, преступники получают доступ к инфраструктуре сразу многих компаний, использующих скомпрометированное ПО слабо защищенного поставщика.

Атака на цепочку поставки начинается с заражения популярной программы. Например, в случае с шифровальщиком NotPetya распространение началось после заражения M.E.Doc — программы для налоговой отчетности. В результате компрометации серверов обновлений M.E.Doc злоумышленникам удалось внедрить бэкдор в код программы, через который и был потом загружен исполняемый файл NotPetya. Последствия были печальными: ущерб одной компании мог достигать более $300 млн, а общемировой ущерб оценивается в $1,2 млрд. Свою роль в этом сыграл и эксплойт EternalBlue, из-за которого шифровальщик распространился намного быстрее.

IoT-ботнеты

Одним из более заметных трендов 2017-2018 годов стал резкий рост количества атак на устройства, подключенные к интернету вещей.

Рынок IoT-устройств больше не является нишевым: на данный момент в мире работает более 8,4 млрд устройств, и, согласно прогнозам, к 2020 году их общее количество достигнет 30 млрд.

Низкая защищенность IoT-устройств приводит к тому, что их легко скомпрометировать и использовать для создания ботнетов для организации DDoS-атак. Также умные устройства часто являются слабым звеном в сети организации, благодаря которому злоумышленники могут проникнуть во внутреннюю сеть компании.

Основные причины уязвимостей IoT-устройств:

• большинство пользователей не изменяют дефолтные пароли,
• не выходят обновления, либо их сложно установить,
• нет единых стандартов и требований к безопасности.

Из популярных IoT-ботнетов можно вспомнить JenX, получивший известность в феврале 2018 года. Ботнет состоит в основном из зараженных устройств Huawei и устройств, использующих контроллеры RealTek. JenX предлагает свои услуги по организации DDoS-атак за весьма скромную цену — за 20 долларов можно заказать атаку мощностью порядка 300 Гбит/с.

Сфера киберпреступности развивается стремительно. Возможность быстро заработать большие деньги и азарт подталкивают злоумышленников повышать свою квалификацию, чтобы постоянно проверять на прочность ПО и инфраструктуру компаний, находя новые лазейки. Методы защиты, которые вчера работали, завтра уже устареют.

Мы вместе с BI.ZONE запускаем два офлайн-курса по информационной безопасности: «Безопасность веб-приложений» ^[3] и «Расследование кибератак для бизнеса» ^[4]. Спикеры курсов — ведущие специалисты в области кибербезопасности, специализирующиеся на тестировании на проникновение и компьютерной криминалистике, преподаватели соответствующих курсов в НИЯУ МИФИ. Программа курсов составлена с учетом реальных свежих инцидентов. Занятия будут проходить на площадке Digital October 16-17 февраля.

Автор: dzakhour

Источник ^[5]