«Мы наблюдаем рост числа эффективных и разрушительных кибератак, затрагивающих тысячи организаций в одном инциденте. Это создает важный переломный момент в войне с киберпреступностью. Сегодня, как никогда ранее, каждый играет важную роль в укреплении цепи поражения. Для разрушения цепочек поставок киберпреступников приоритетным направлением должно стать объединение сил посредством сотрудничества. Совместное использование данных и партнерство могут обеспечить более эффективное реагирование и более точное прогнозирование будущих методов для сдерживания усилий противника. Постоянное обучение по вопросам кибербезопасности, а также технологии предотвращения, обнаружения и реагирования на основе искусственного интеллекта, интегрированные в конечные точки, сети и облака, остаются жизненно важными для противодействия киберпротивникам» – Дерек Мэнки, руководитель отдела аналитики безопасности и Global Threat Alliances, FortiGuard Labs.
Компания Fortinet, мировой лидер в области глобальных интегрированных и автоматизированных решений для обеспечения кибербезопасности, объявляет о результатах нового полугодового исследования FortiGuard Labs Global Threat Landscape Report. Данные об угрозах, полученные в первой половине 2021 года, свидетельствуют о значительном увеличении объема и сложности атак, направленных на отдельных лиц, организации и все более критическую инфраструктуру. Расширяющаяся поверхность атаки – гибридная рабочая сила и учащиеся, находящихся в периметре традиционной сети и вне ее – остается мишенью злоумышленников. Своевременное сотрудничество и развитие партнерских отношений между правоохранительными органами, а также государством и частными компаниями даст возможность нарушить экосистему киберпреступников во второй половине 2021 года. Подробный обзор отчета, а также некоторые важные выводы читайте в нашем блоге. Ниже приводятся выводы исследования за первое полугодие 2021 года:
1) Программы-вымогатели – речь идет о чем-то большем, чем просто о получении денег: данные FortiGuard Labs показывают, что средняя еженедельная активность программ-вымогателей в июне 2021 года была более чем в десять раз выше, чем уровень, зафиксированный, год назад. Это демонстрирует постоянный и в целом устойчивый рост в течение года. Атаки нанесли ущерб цепочкам поставок множества организаций, в частности, критически важным секторам, и повлияли на повседневную жизнь, производительность и торговлю больше, чем когда-либо прежде. Больше всего преследовались организации телекоммуникационного сектора, за ними следовали правительство, поставщики управляемых услуг безопасности, автомобильный и производственный секторы. Кроме того, некоторые операторы программ-вымогателей сместили свою стратегию с загрузки через электронную почту к сосредоточению на получении и продаже начального доступа к корпоративным сетям, что еще раз демонстрирует продолжающуюся эволюцию программ-вымогателей как услуги (RaaS), подпитывающую киберпреступность. Ключевой вывод заключается в том, что программы-вымогатели остаются явной и реальной опасностью для всех организаций, независимо от отрасли и размера. Организациям необходимо применять упреждающий подход с решениями для защиты конечных точек в реальном времени, обнаружения и автоматического реагирования для обеспечения безопасности сред наряду с подходом с нулевым доверием, сегментацией сети и шифрованием.
2) Каждая четвертая организация обнаружила вредоносную рекламу: рейтинг распространенности наиболее часто обнаруживаемых вредоносных программ по их семействам показывает рост числа вредоносной рекламы (malvertising) с использованием социальной инженерии и scareware. Более одной из четырех организаций выявляли попытки распространения вредоносной рекламы или scareware, среди которых Cryxos – самое известное семейство. Хотя, скорее всего, большое количество обнаружений сочетается с другими подобными кампаниями JavaScript, которые можно считать вредоносной рекламой. Гибридная рабочая реальность, несомненно, подтолкнула киберпреступников к этой тактике – они используют ее чтобы запугивать и вымогать. Чтобы человек не стал жертвой scareware и вредоносной рекламы, как никогда важно обучать его и повышать осведомлённость о таких подходах.
3) Тенденции ботнетов показывают, что злоумышленники наращивают силы до предела: отслеживание распространенности обнаружения ботнетов показало всплеск активности. В начале года 35% организаций обнаруживали активность ботнетов в том или ином виде, а через шесть месяцев этот показатель составил 51%. За общий всплеск активности в июне ответственен TrickBot.Изначально он появился на киберпреступной сцене как банковский троян, но с тех пор превратился в сложный и многоступенчатый инструментарий, поддерживающий целый ряд незаконных действий. Mirai был самым распространенным в целом; он обогнал Gh0st в начале 2020 года и с тех пор царствовал до 2021 года. Mirai продолжает пополнять свой арсенал новым кибероружием, но вполне вероятно, что доминирование Mirai, по крайней мере частично, все еще обусловлено стремлением преступников эксплуатировать устройства Интернета вещей (IoT), используемые людьми, работающими или обучающимися на дому. Также заметна активность Gh0st – ботнета удаленного доступа, который позволяет злоумышленникам полностью контролировать зараженную систему, захватывать прямые трансляции с веб-камеры и микрофона или загружать файлы. Более чем через год после начала удаленной работы и сменного обучения киберпротивники продолжают использовать в своих целях наши развивающиеся повседневные привычки. Для защиты сетей и приложений организациям необходимы подходы с нулевым доверием к доступу, обеспечивающие наименьшие привилегии доступа для защиты от проникновения в сеть конечных точек и устройств IoT.
4) Борьба с киберпреступностью дает свои плоды: В сфере кибербезопасности не каждое действие имеет немедленный или длительный эффект, но несколько событий 2021 года свидетельствуют о позитивных изменениях именно для защитников. В июне первоначальному разработчику TrickBot были предъявлены многочисленные обвинения. Кроме того, скоординированное уничтожение Emotet, одного из самых распространенных вредоносных программ в новейшей истории, а также действия по пресечению операций программ-вымогателей Egregor, NetWalker и Cl0p представляют собой значительный импульс со стороны киберзащитников, включая мировые правительства и правоохранительные органы, направленный на борьбу с киберпреступностью. Кроме того, внимание, которое привлекли некоторые атаки, заставило нескольких операторов программ-вымогателей объявить о прекращении своей деятельности. Данные FortiGuard Labs свидетельствуют о замедлении активности угроз после уничтожения Emotet. Активность, связанная с вариантами TrickBot и Ryuk, сохранилась и после отключения ботнета Emotet, но ее объем снизился. Это напоминание о том, как трудно сразу ликвидировать киберугрозы или цепочки поставок противника, но эти события являются важными достижениями, несмотря ни на что.
5) Защитные методы уклонения и эскалация привилегий киберпреступников: Изучение данных об угрозах с более высоким разрешением позволяет сделать ценные выводы о том, как развиваются методы атак в настоящее время. Лаборатория FortiGuard Labs проанализировала специфическую функциональность, присущую обнаруженным вредоносным программам, испытал образцы, чтобы проследить, какой результат предполагался киберпротивниками. В результате был составлен список негативных действий, которые вредоносное ПО могло бы совершить, если бы полезная нагрузка атаки была выполнена в целевых средах. Это показывает, что киберпротивники стремились к повышению привилегий, обходу защитных систем, боковому перемещению по внутренним системам и утечке скомпрометированных данных, среди прочих методов. Например, 55% наблюдаемых функций повышения привилегий использовали хукинг, а 40% – внедрение процессов. Отсюда можно сделать вывод, что защитники уделяют особое внимание тактике уклонения от защиты и эскалации привилегий. Хотя эти методы не являются новыми, организации будут лучше защищены от будущих атак, вооружившись этими своевременными знаниями. Интегрированные и основанные на искусственном интеллекте (ИИ) платформенные подходы, основанные на оперативной информации об угрозах, необходимы для защиты по всем направлениям, а также для выявления и устранения меняющихся угроз, с которыми организации сталкиваются сегодня в режиме реального времени.
Партнерство, обучение и предотвращение, а также обнаружение и реагирование на основе искусственного интеллекта имеют жизненно важное значение
В то время как правительство и правоохранительные органы принимали меры в отношении киберпреступности в прошлом, первая половина 2021 года может изменить правила игры с точки зрения динамики развития событий в будущем. Для принятия действенных мер против киберпреступников необходимо всестороннее сотрудничество с отраслевыми поставщиками, организациями по анализу угроз и другими глобальными партнерскими организациями, чтобы объединить ресурсы и информацию об угрозах в реальном времени. Тем не менее, автоматическое обнаружение угроз и искусственный интеллект по-прежнему необходимы для того, чтобы организации могли реагировать на атаки в режиме реального времени и смягчать их с высокой скоростью и масштабируемостью на всех уровнях. Кроме того, обучение пользователей по вопросам кибербезопасности так же важно, как и прежде. Все нуждаются в регулярном обучении передовым методам обеспечения безопасности отдельных сотрудников и организации.
Обзор исследования
Этот последний отчет о глобальном ландшафте угроз представляет собой результат работы экспертов FortiGuard Labs, основанный на огромном массиве данных с датчиков Fortinet, собирающих миллиарды событий угроз, которые наблюдались по всему миру во второй половине 2020 года. Модель MITRE ATT&CK классифицирует тактику и методы противника: первые три группы включают в себя разведку, разработку ресурсов и начальный доступ. В отчете FortiGuard Labs Global Threat Landscape Report эта модель используется для описания того, как злоумышленники находят уязвимости, создают вредоносную инфраструктуру и эксплуатируют свои цели. Доклад также охватывает глобальные и региональные перспективы.