Symantec, подразделение Broadcom Software, рассматривает тенденции в области кибербезопасности, определившие 2021 год — от развивающейся экосистемы ransomware до атак на критическую инфраструктуру.
Ransomware (программы-вымогатели) были, пожалуй, самой значительной угрозой для организаций в 2021 году: некоторые операторы ransomware ушли со сцены, появились новые, а бизнес-модели и тактики были усовершенствованы, чтобы сделать целевые ransomware более прибыльными, чем когда-либо.
Однако ransomware были не единственной угрозой. Атаки на цепочки поставок, увеличение числа злоумышленников, использующих уязвимости в общедоступных приложениях, и атаки на критически важную инфраструктуру также сформировали ландшафт угроз в 2021 году.
Ransomware
Ransomware, а точнее, целевые ransomware, были самой распространенной угрозой, о которой писали заголовки газет в течение 2021 года. Банды, занимающиеся распространением вымогательского ПО, перешли к нападениям на организации с широкой сетью пользователей. В число таких организаций входили крупные разработчики программного обеспечения и организации, занимающиеся критически важной инфраструктурой, как это видно на примере атак на Kaseya и Colonial Pipeline. Атаки на поставщиков управляемых услуг (MSP) дали злоумышленникам потенциальную возможность заразить тысячи жертв, скомпрометировав только одного из них.
Хотя, как и в предыдущие годы, общее количество атак ransomware, обнаруженных и блокированных Symantec в 2021 году, продолжает снижаться, это не означает, что активность ransomware становится менее опасной.
Эта тенденция к снижению объясняется значительным уменьшением числа относительно простых, неизбирательных атак с использованием вымогательского ПО, а также смещением внимания угроз на крупные организации, где они могут вызвать больше беспорядков и потребовать более высокие суммы выкупа. Число таких целенаправленных атак с целью выкупа возросло с примерно 80 в январе 2020 года до более чем 200 в сентябре 2021 года.
Рисунок 1. Количество целевых атак ransomware с января 2020 года по сентябрь 2021 года
Рост числа целенаправленных атак с использованием вымогательского ПО отчасти обусловлен двумя относительно недавними событиями: появлением так называемых брокеров первоначального доступа (IAB) — субъектов угроз, которые продают доступ к взломанным сетям тому, кто больше заплатит, что в последнее время стало целью банд вымогателей; а также ростом популярности вымогательского ПО как услуги (RaaS) — модели, основанной на подписке, которая позволяет отдельным личностям или группам, известным как партнеры, использовать в своих атаках уже разработанные угрозы вымогательского ПО.
Модель RaaS значительно увеличивает число противников, с которыми сталкивается организация, поскольку теперь несколько злоумышленников пытаются доставить одно и то же вымогательское ПО, используя при этом различные тактики, методы и процедуры (TTP).
В связи с ростом рынка RaaS партнеры теперь имеют возможность перейти на другую программу выкупа, если их текущая программа прекратит работу. Кроме того, Symantec наблюдала, как злоумышленники использовали два разных штамма ransomware за очень короткий промежуток времени, а в некоторых случаях — во время одной и той же атаки. Это говорит о том, что некоторые партнеры имеют достаточно высокую репутацию, чтобы не заключать эксклюзивное соглашение с одним оператором ransomware.
Ботнеты теперь также играют ключевую роль в атаках ransomware, причем многие старые ботнеты для борьбы с финансовыми мошенниками были перепрофилированы для распространения ransomware. В некоторых случаях и за вымогательским ПО, и за ботнетом стоит один и тот же угрожающий субъект. Например, Trickbot, как полагают, контролируется группой Miner (она же Wizard Spider), которая также связана с программами Ryuk и Conti ransomware.
Еще один итог года, касающийся вымогательского ПО, — это атаки операторов на отрасли, наиболее пострадавшие от пандемии COVID-19. Ярким примером этого стала атака на национальную службу здравоохранения Ирландии, Health Service Executive, совершенная операторами программы-выкупа Conti (она же Miner, Wizard Spider).
В прошлом году инфраструктура программы-вымогателя REvil (она же Leafroller, Sodinokibi) была взломана правоохранительными органами, которые получили контроль, по крайней мере, над некоторыми серверами REvil. Однако, как и в случае с предыдущими попытками остановить деятельность преступной организации, REvil, скорее всего, снова появится в той или иной форме после последней попытки уничтожения.
В 2021 году целевые группы, занимающиеся вымогательством, также начали угрожать жертвам, чтобы те не делились подробностями атак со СМИ или фирмами, ведущими переговоры о выкупе. Группировки Conti и Grief ransomware заявили, что опубликуют украденные данные жертв или удалят ключи дешифровки, если стенограммы или скриншоты переговоров о выкупе будут выложены в открытый доступ. Поводом для таких заявлений, вероятно, послужило растущее число сообщений в СМИ, содержащих подробности переговоров о выкупе. Подобную тактику использовали и другие группы, включая Ragnar Locker и новую угрозу программы-вымогателя под названием Yanluowang, которую обнаружила команда Threat Hunter Team компании Symantec.
Атаки на цепочки поставок
Атаки на цепочки поставок программного обеспечения, из-за их потенциальной способности нарушить работу крупных секторов общественной жизни и бизнеса, по-прежнему вызывают обеспокоенность правительств и предприятий по всему миру. В прошлом году в заголовки газет попали две значительные атаки на цепочки поставок: взлом SolarWinds и атака Kaseya.
Хотя атака на SolarWinds произошла в конце 2020 года, она продолжала вызывать обеспокоенность и в 2021 году. Ответственная за атаку группа Nobelium (она же Hagensia), поддерживаемая Россией, продолжает активно действовать. В сентябре была обнаружена новая угроза бэкдора (Tomiris), вероятно, разработанная Nobelium. Эта вредоносная программа имеет сходство с вредоносной программой второго этапа SUNSHUTTLE, использованной Nobelium в атаке SolarWinds. Другой обнаруженный бэкдор (FoggyWeb) также был связан с Nobelium. Вредоносная программа предназначена для кражи конфиденциальных данных со взломанных серверов Active Directory Federation Services (AD FS).
Атака на производителя программного обеспечения для управления ИТ Kaseya, осуществленная операторами программы-вымогателя REvil, затронула множество поставщиков управляемых услуг (MSP), использующих программное обеспечение компании. Хотя компания Kaseya сообщила, что в результате атаки пострадали около 60 ее клиентов, эти клиенты были MSP с многочисленными клиентами. Предполагаемое число организаций, скомпрометированных в результате атаки на цепочки поставок, составило 1 500. Атака была проведена во время праздничных выходных 4 июля в США, вероятно, в попытке сделать атаку незамеченной как можно дольше из-за того, что многие сотрудники были в отпуске. Такая тактика все чаще используется субъектами угроз.
Хотя атаки Kaseya и SolarWinds являются наиболее значительными, это далеко не единственные атаки на цепочки поставок за последнее время. Согласно отчету Ресурсного центра кражи личных данных (ITRC), число атак на цепочки поставок растет: в первые три квартала 2021 года от таких атак пострадало на 793 000 человек больше, чем за все 12 месяцев 2020 года.
Новые направления атак
В прошлом году увеличилось число злоумышленников, использующих уязвимости в приложениях, предназначенных для общего пользования, с целью получения доступа к сетям организаций. Хотя в некоторых случаях злоумышленники фокусируются на ошибках нулевого дня, чаще они обращают внимание на недавно исправленные уязвимости и ищут неисправленные системы.
Ярким примером этого стали критические уязвимости в Microsoft Exchange Server, известные под общим названием ProxyLogon. Эти уязвимости были исправлены в начале марта 2021 года, и в то время компания Microsoft заявила, что эти ошибки использовались группой передовых постоянных угроз (APT), которую она назвала Hafnium (Symantec отслеживает эту группу как Ant), в целевых атаках. Однако, вскоре после раскрытия уязвимостей ProxyLogon, их начали использовать другие злоумышленники.
Рисунок 2. Попытки эксплойтов против ошибок Microsoft Exchange Server, с марта по август 2021 года
Такое быстрое внедрение было также отмечено, когда в августе 2021 года была публично раскрыта еще одна серия уязвимостей в Microsoft Exchange Server, получившая название ProxyShell. Попытки эксплойтов, нацеленных на эти ошибки, начались незамедлительно, причем данные Symantec свидетельствуют о более чем 200 000 попыток эксплойтов, нацеленных на этот набор уязвимостей только в августе 2021 года.
Другие уязвимости в публичных приложениях, которые часто использовались злоумышленниками в 2021 году, включают недостатки в VPN-продуктах Pulse Secure (CVE 2019-11510), Fortinet (CVE-2018-13379) и SonicWall (CVE-2021-20016), а также уязвимости в ПО File Transfer Appliance (FTA) компании Accellion (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 и CVE-2021-27104).
Критическая инфраструктура
Кибератаки на критически важную национальную инфраструктуру (CNI) могут быть одними из самых серьезных, поскольку они потенциально могут затронуть каждого члена общества. Это было продемонстрировано в мае 2021 года, когда Colonial Pipeline, крупнейший нефтепровод в США, подвергся атаке вымогательского ПО, которое повлияло на оборудование, управляющее трубопроводом.
Атака была осуществлена базирующейся в России бандой DarkSide ransomware. Хотя выкуп был выплачен всего через несколько часов после атаки, расшифровка происходила медленно, и работа нефтепровода была остановлена, что вызвало дефицит топлива, рост цен и панические покупки в ряде штатов США.
Атака на Colonial Pipeline не была единичным случаем: в июле 2021 года появилась информация о том, что в период с 2011 по 2013 год китайские злоумышленники, спонсируемые государством, атаковали 23 американских оператора нефте- и газопроводов. Официальные лица США заявили, что целью субъектов, стоявших за атаками, было «помочь Китаю разработать возможности кибератак на трубопроводы США, чтобы физически повредить трубопроводы или нарушить их работу».
Атаки на CNI не прекращаются, а количество сетевых обнаружений, связанных с атаками на CNI, увеличивается (Рисунок 3). Эти атаки блокируются технологиями системы предотвращения вторжений (IPS) компании Symantec. Вредоносная активность, блокируемая в сети, снизилась после пика в июле 2021 года, однако в целом показатели имеют тенденцию к росту.
Рисунок 3. Сетевые обнаружения, связанные с атаками, направленными на CNI
Что касается регионов, в которых наблюдается наибольшая активность, направленная на сети организаций CNI, то США опережают другие страны в этом списке — 69% всей активности наблюдается именно там.
Рисунок 4. Регионы с наибольшей активностью, направленной на сети организаций CNI
Это лишь часть материалов, содержащихся в нашем последнем документе. Ознакомьтесь с полным текстом документа, чтобы получить больше информации об угрозах 2021 года.
Источник: https://bit.ly/3MHCHHW
