В быстро развивающемся современном цифровом мире злоумышленники (субъекты угроз) – от хакеров-одиночек и организованных киберпреступных группировок до идеологических хактивистов и агентов, действующих по указанию государства, – представляют все большую угрозу для глобальной кибербезопасности. По мере усовершенствования инструментов и тактик, стоящих в распоряжении этих субъектов, традиционные различия между ними начинают исчезать. Преступные группировки теперь сотрудничают с государственными структурами, кампании хактивистов приобретают все более политический характер, а финансовые мотивы часто пересекаются со шпионажем или диверсиями. Такая конвергенция создает гораздо более сложную и непредсказуемую среду угроз.
В этом блоге рассматривается, как злоумышленники адаптируются к новым технологиям, как стираются границы между разными категориями угроз и что это значит для организаций, стремящихся защитить себя в эпоху конвергенции и быстрой эволюции киберугроз.
Кто такие злоумышленники?
Злоумышленники – это лица, группы или организации, представляющие угрозу кибербезопасности, осуществляя кибератаки. Обычно их классифицируют по набору навыков и ресурсам.
Основные типы традиционных злоумышленников и их мотивация
Вот некоторые из наиболее распространенных типов злоумышленников и их типовые мотивации:
Киберпреступники
Это широкий термин, используемый для описания лиц или групп, осуществляющих незаконную деятельность в Интернете. Киберпреступники, как правило, руководствуются финансовой выгодой. Киберпреступность включает в себя различные угрозы, от хорошо организованных синдикатов, предоставляющих услуги по разработке программ-требителей (RaaS), до редких злоумышленников. Их злонамеренные действия включают в себя похищение данных, введение в заблуждение жертв с целью перевода денег, похищение учетных данных и многое другое.
Субъекты национальных государств
Также известны как субъекты передовой постоянной угрозы (APT), эти группы действуют от имени правительства или разведывательных служб страны. Они обладают высоким уровнем квалификации и значительными ресурсами, что позволяет им разрабатывать современные инструменты и методы. APT обычно руководствуются национальными интересами, а их цели варьируются от шпионажа, саботажа и дезорганизации до политической дестабилизации, хотя иногда они также осуществляют деятельность с целью получения экономической выгоды. Они преимущественно нацелены на правительственные учреждения, критическую инфраструктуру и крупные корпорации.
Хактивисты
Хактивисты – это лица или группы (также известные как коллективы) с политическими или социальными мотивами. Цель большинства хактивистских групп – привлечь внимание к своим целям, и они обычно не наносят существенного вреда критически важной инфраструктуре. Хотя у них, как правило, нет финансовых мотивов, некоторые из них стремятся получить финансовую выгоду для финансирования своей деятельности. Их тактика часто включает в себя DDoS-атаки, дефейс веб-сайтов и утечку данных, обычно направленные против правительственных организаций и корпораций.
Инсайдеры
Инсайдер может быть сотрудником, сторонним подрядчиком или партнером. Внутренние угрозы возникают, когда лица, имеющие авторизованный доступ к конфиденциальной информации, системам или физическим активам, злоупотребляют этим доступом, чтобы преднамеренно или ненамеренно нанести вред организации. Хотя непреднамеренные угрозы обычно возникают из-за халатности, злонамеренные инсайдеры могут быть мотивированы финансовой выгодой, местью или идеологией.
Наиболее опасные злоумышленники
Как показано на диаграмме ниже, взятой из отчет Cognyte об угрозах на 2025 год, наиболее активными злоумышленниками за последний год были киберпреступники (49%), за ними следуют субъекты национальных государств (36%) и хактивисты (4%):
Самые активные злоумышленники остались неизменными по сравнению с тенденциями 2023 года, при этом доля субъектов национальных государств возросла с 33% до 36%. Это, вероятно, связано с продолжающимися региональными и глобальными конфликтами и использованием кибератак как тактики для поддержки разных сторон конфликтов.
Распространенные платформы, которые используют злоумышленники
Злоумышленники действуют на разных платформах в зависимости от своих целей. Их деятельность связана с дарквебом, обеспечивающий анонимность и шифрование, что делает его убежищем для киберпреступников. Кроме того, платформы для обмена сообщениями, которые являются частью дарквебу, стали распространенными центрами мошеннической деятельности
Особый интерес вызывает платформа Telegram.Telegram приобрел популярность среди киберпреступников благодаря сочетанию уникальных функций, включая сквозное шифрование, анонимность, простоту использования, открытый API и функции ботов. Злоумышленники используют специальные форумы, сообщества и каналы Telegram, посвященные подкатегориям киберпреступности, таким как вредоносное программное обеспечение, исходный доступ и т.д.
Хотя некоторые злоумышленники заявили, что после сообщений о том, что Telegram может передавать информацию правоохранительным органам, они диверсифицируют свою деятельность за пределы Telegram, пока существенный уход от Telegram не наблюдается. Несмотря на недавнюю и продолжающуюся чистку хактивистских аккаунтов Telegram, команда LUMINAR заметила, что некоторые группы, судя по всему, переходят на новые каналы, что свидетельствует о продолжении использования Telegram для их незаконной деятельности.
Возрастающая угроза атак на основе GenAI
Появление технологий Generative AI (GenAI), особенно крупных языковых моделей (LLM), которые теперь доступны для общего использования, изменяет ландшафт кибербезопасности. Злоумышленники используют эти инструменты для масштабирования своих операций, совершенствования обмана и автоматизации атак с беспрецедентной скоростью и точностью. От написания вредоносного программного обеспечения до создания контента с использованием технологии deepfake и запуска сложных фишинговых кампаний, GenAI ускоряет эволюцию киберугроз.
Недавнее предупреждение от Microsoft подчеркивает насущность этого изменения, подчеркивая, что государственные субъекты из России, Северной Кореи, Ирана и Китая все чаще экспериментируют с LLM для поддержки своих киберопераций. Это знаменует поворотный момент в ландшафте угроз, поскольку противники получают доступ к возможностям на базе искусственного интеллекта, которые могут значительно ускорить и улучшить их незаконную деятельность.
Размывание традиционных границ
По мере того, как киберпространство становится все более взаимосвязанным, границы между традиционными категориями злоумышленников становятся все более размытыми. В прошлом году было несколько тенденций, которые, вероятно, будут продолжать усиливаться:
- Были зафиксированы несколько случаев сложных, вдвойне мотивированных злоумышленников, мотивация которых отклонялась от традиционных классификаций. К примеру, несколько групп с хактивистскими чертами также имели финансовую мотивацию и использовали инструменты киберпреступности, такие как программы-вымогатели.
- Субъекты национальных государств укрепляют связи с киберпреступниками и хактивистами, передавая операции по кибершпионажу на аутсорсинг и используя эти связи для маскировки своей деятельности. Например, было обнаружено, что аффилированные с Россией государственные субъекты используют инфостиллеров, применяемые киберпреступниками для сбора разведданных об украинских вооруженных силах. Аналогично, связанные с Ираном государственные группировки сотрудничали с известными группировками, занимающимися разработкой программ-вымогателей, и выступали в роли посредников для получения исходного доступа для их аффилированных лиц.
- Отношения между нападающими из национальных государств и группами хактивистов углубились. К примеру, недавно исследователи обнаружили бывшего китайского хактивиста, работавший подрядчиком Министерства государственной безопасности Китая (MSS).
- Внутренние угрозы могут усугубиться, поскольку опытные злоумышленники все чаще пытаются проникнуть в корпорации или манипулировать сотрудниками. Например, ФБР недавно обнаружило северокорейских ИТ-специалистов, использовавших незаконный доступ к сетям американских компаний для похищения конфиденциальных данных, содействия киберпреступной деятельности и получения доходов.
Эти события подчеркивают важность тщательного и постоянного мониторинга злоумышленников, часто действующих на нескольких платформах. Сложность смешанных и двойных мотивов атак подвергает сомнению традиционные классификации злоумышленников и требует глубокого анализа и экспертных знаний для предвидения и минимизации угроз.
Мониторинг злоумышленников
Все организации, крупные и малые, во всех отраслях промышленности являются потенциальными целями кибератак. Полное и глубокое понимание злоумышленников имеет решающее значение для уменьшения киберугроз, в частности использование уязвимостей, нарушение безопасности данных, кражи учетных данных и других злонамеренных действий. Постоянный мониторинг тактик, техник и процедур (TTP) субъектов угроз является необходимым условием проактивной обороны.
LUMINAR– это решение Cognyte на основе искусственного интеллекта для анализа внешних угроз, объединяющее все необходимые функции анализа угроз в одном унифицированном решении. Модуль анализа угроз LUMINAR позволяет быстро и комплексно отслеживать деятельность злоумышленников на разных платформах. Постоянный мониторинг позволяет организациям в режиме реального времени получать информацию об угрозах, что повышает шансы на их раннее выявление и позволяет быстро и эффективно реагировать на них.
Вывод
Ландшафт киберугроза развивается с беспрецедентной скоростью, а традиционные границы между группами злоумышленников становятся все более размытыми. Чтобы не отставать, организации должны применять стратегии кибербезопасности, основанные на постоянном мониторинге и аналитических данных. Понимание мотивации и тактики злоумышленников, а также платформ, которые они используют, чрезвычайно важно для усиления киберзащиты и минимизации рисков к их эскалации. Чтобы оставаться впереди, необходимы бдительность, адаптация и проактивная внешняя разведка угроз, чтобы противостоять все большей утонченности киберпреступников.
Источник: Monitoring Threat Actors in an Era of Blurring Boundaries
