Усиление киберагрессии со стороны государств и изменение характера деятельности программ-вымогателей — это лишь некоторые из ожидаемых изменений в ландшафте угроз в новом году
За последние 12 месяцев команда Symantec Threat Hunter Team поделилась своими разоблачительными расследованиями последних кибератак и стоящих за ними злоумышленников – от государств до группировок, занимающихся вымогательством. Опираясь на эту работу, вот пять главных прогнозов по кибербезопасности на 2025 год:
Будьте готовы к новой агрессии России в киберпространстве
С учетом того, что война в Украине достигла критической фазы, в США сменилось правительство, а в ряде европейских стран проходят выборы, существует реальный риск возобновления подрывной деятельности, спонсируемой Россией. Российские шпионские агенты имеют большой опыт атак на критически важные объекты инфраструктуры в Украине (Sandworm) и США (Dragonfly). Недавние акты саботажа против подводных коммуникационных кабелей в Европе могут быть прелюдией к тому, что нас ожидает.
В преступном мире происходит изменение баланса сил
Исторически сложилось так, что операторы крупных семейств программ-вымогателей стояли на вершине пищевой цепочки киберпреступности. Они вели свой бизнес по франшизе, используя бизнес-модель «вымогательство как услуга» (RaaS), в рамках которой «партнеры» злоумышленников арендовали их инструменты и инфраструктуру в обмен на долю в выкупных платежах. Однако непреднамеренным следствием такой бизнес-модели стало повышение прочности экосистемы вымогательского ПО за счет увеличения власти в руках аффилированных лиц, которые могут быстро переключиться на конкурирующие операции, если одна из них будет закрыта. Операции по распространению вымогательского ПО теперь конкурируют друг с другом за аффилиатов, предлагая все более выгодные условия для их бизнеса.
Медовый месяц для облачной безопасности закончился
Долгое время казалось, что облачным сервисам удается избежать серьезных вторжений, что позволяло предположить, что надежная система безопасности сдерживает атаки. Однако эта тенденция может начать меняться. Взлом Microsoft, осуществленный российскими спецслужбами, продемонстрировал масштаб взлома, который может быть достигнут опытным злоумышленником, обладающим глубокими знаниями о системах, на которые он нацелился. Другие злоумышленники приняли это к сведению и почти наверняка попытаются совершить аналогичные атаки.
Использование инструментов «living off the land» будет расширяться
Расцвет использования инструментов «living off the land» продлится еще как минимум несколько лет. Злоумышленники всех мастей, от шпионажа до групп, занимающихся рассылкой вымогательского ПО, продолжают активно использовать «родные» инструменты, в первую очередь PowerShell, PsExec, WMI и Vssadmin. Примечательно, что спектр использования инструментов «living off the land» расширяется, поскольку злоумышленники увеличивают свои знания об инструментах, имеющихся в их распоряжении в сетях жертв, и находят альтернативы широко известным инструментам и методам. Например, в последние месяцы Symantec отмечает рост вредоносного использования Esentutl, инструмента командной строки Windows, который предоставляет утилиты баз данных для Extensible Storage Engine (ESE). Он также может использоваться злоумышленниками для сброса учетных данных. Кроме того, наблюдается рост числа злоумышленников, использующих утилиту Deployment Image Servicing and Management (DISM) – инструмент Microsoft, используемый для управления и восстановления образов Windows. Особенностью этого инструмента является то, что он может использоваться для включения или отключения функций Windows, таких как Windows Defender.
Группировки разработчиков вымогательского ПО распространяются на Южную Америку, Азию и другие страны
Был период, когда Северная Америка, особенно США, считалась легкой добычей для злоумышленников, занимающихся вымогательством. Сегодня вымогательство – это глобальное явление, и все больше атак происходит в Южной Америке, Азии и других регионах мира. Почему? Количество группировок, занимающихся распространением вымогательского ПО, растет, а сами банды становятся гораздо более крупными структурами, на которые работает множество небольших групп злоумышленников.
Заглядывая в 2025 год, можно с уверенностью сказать одно. Ландшафт угроз будет продолжать развиваться. По мере того, как группировки вымогателей расширяют сферу своего влияния, диверсифицируются методы living off the land, а геополитическая напряженность становится причиной кибер-агрессии, предприятия должны уделять первостепенное внимание надежным мерам безопасности, инвестировать в анализ угроз и повышать устойчивость к возникающим рискам.
