Как сообщает «Kaspersky Lab», в уходящем 2015-м российская корпоративная IT-инфраструктура подвергалась усиленным веб-атакам. Не менее 50% всех устройств, работающих в корпоративной сети, подверглись кибератаке. Количество инцидентов в мировой бизнес-среде значительно ниже – всего 29% unique visitors.
Изучение статистики выявленных за 12 месяцев угроз, исследование динамики их развития, позволило специалистам «Лаборатории Касперского» определить основную проблему, с которым придется уже в ближайшее время столкнуться бизнесу – вопрос доверия, поскольку киберпреступность будет максимально использовать возможности библиотек с открытым кодом, а также считающиеся абсолютно «чистыми» и активно посещаемые ресурсы.
Чем год ушедший озадачил?
В завершающемся году, практически все 12 месяцев, ответственным за кибербезопасность в корпоративном секторе специалистам приходилось выстраивать линию защиты против целенаправленных атак, массированных кампаний кибершпионажа, отражать попытки внедриться в инфраструктуру вымогателей с помощью программ-шифровальщиков. Про атаки на серверную инфраструктуру и на используемые в работе программно-аппаратные комплексы для проведения оплат через банковские карточки (POS-терминалы) – говорить не приходится. Подобные попытки стали уже привычными.
События уходящего года продемонстрировали изменения в стратегии злоумышленников. Теперь хакерские атаки, называемые «advanced persistent threat» (АРТ), отличающиеся продуманной целенаправленностью, ставящие перед собой задачи именно кибершпионажа, стали «головной болью» государственных, военно-промышленных, научно-исследовательских, значимых для жизнедеятельности общества организаций.
Ранее «свободные» и плохо организованные хакеры, освоили инструменты и способы работы скоординированных группировок, которые ранее и способны были на столь массированное воздействие. Первыми же жертвами подобного освоения более сложных методов воздействия на средства защиты бизнеса от кибератак, стали финансовые компании, активно использующие в работе интенет-банкинг.
Достаточно вспомнить ставшие известными, благодаря беспрецедентному размаху действий на виртуальных просторах, хищения средств в банковских структурах, осуществленные группой Carbanak. Каждая операция мало чем отличалась от кампании кибершпионажа, проводимой каким-либо государством:
- операция тщательно готовиться;
- изучается сфера интересов потенциальной жертвы;
- определяются наиболее вероятные для посещения ресурсы с целью внедрения на сайт вируса;
- составляется и анализируется список партнеров будущей жертвы, ее поставщиков;
- разрабатывается система «отхода» и «заметания следов»;
- минимальный срок, который занимала каждая атака, завершавшаяся, чаще всего, хищением не менее 10 миллионов $, достигал 2 – 4 месяцев.
Злоумышленникам удавалась «ювелирно» подобрать необходимый программно-аппаратный инструментарий, чтобы обеспечить успех атаки. В ход шли вполне легальные программы, что и гарантировало им спокойную работу, без опасения быть замеченными.
Профессионалов теперь уже не удивляет, что вредоносный файл, успешно внедрившийся в корпоративные сети, имеет действующие цифровые сертификаты, которые принадлежат известным разработчикам приложений.
Учитывая распространенность Microsoft Office в корпоративном бизнесе, эксплойты маскируются под его приложения. Простому юзеру, несомненно, «везет» больше, поскольку его устройства подвергаются атакам в 3 раза реже, чем ПК сотрудников компаний.
Злоумышленники, точно зная, что обновление систем безопасности даже в крупных корпорациях осуществляется с большим опозданием, уверенно используют известные им уязвимости, не тратя время и средства на поиск новых средств преодоления защиты.
Даже в сравнении с прошлогодними данными в 2 раза возросло успешное внедрение в IT-инфраструктуру коммерческих предприятий программ-шифровальщиков. Пользовательскую аудиторию изменение интересов злоумышленников может только радовать.
Причиной смены вектора воздействия является более крупная сумма, которую готова заплатить организация, чтобы откупиться, чем получает злоумышленник от обыкновенного пользователя. Возрастает и вероятность того, что требуемые деньги будут заплачены, поскольку многие компании оказываются просто «убитыми», если необходимые для работы данные будут зашифрованы чужим кодом.
Чего ожидать в следующем году?
В «Kaspersky Lab» не сомневаются, что в 2016-м заинтересованность киберпреступности к банковско-финансовому сектору сохранится. Кроме атак на банки очень вероятны попытки осуществить кражу финансов, вращающихся в альтернативных платежных системах. Могут быть испытаны и новые технологии, позволяющие манипулировать данными, используемыми на торгах фондовых бирж.
Атакам в 2016-м подвергнуться и дата-центры, чтобы получить доступ к серверам крупных компаний, с хранящей особо важной информацией. Даже IoT будет подвергаться киберпреступниками воздействию, чтобы через Интернет вещей проникнуть в инфраструктуру компаний, используя такой ход, как потенциальную уязвимость.
Программы-вымогатели могут стать даже более популярными среди киберпреступников, чем банковские троянцы. Эффективность такой деятельности базируется на прямой монетизации объявленного выкупа и очень низкими стартовыми затратами. «Kaspersky Lab» указывает, что в 2016-м этих зловредов на полную мощность будут применять против устройств, работающих на OS X. Выкуп по «цене Mac» станет вполне реальным предложением.
Возрастет в 2016-м и угроза деловой и личной репутации. Достаточно вспомнить скандальную пропажу данных в Sony и Ashley Madison. Эксперты предполагают, что к таким методам «работы» будут прибегать не только желающие быстро получить деньги, но и политические партии, государственные структуры. Может появиться даже новый товар – «Access-as-a-Service» (доступ-как-сервис). Полученный путем взлома системы безопасности доступ будет продаваться. Сами же организаторы рисковать будут значительно меньше, поскольку взломом будет заниматься наемник.
Следует ожидать и возрастание атак на разработчиков средств защиты, чтобы взломать и выяснить особенности новых антивирусных инструментов.
Наметившиеся тенденции изменения тактики злоумышленников позволяют специалистам предположить, что своевременно обновляемая система безопасности позволит все же справиться с новыми киберугрозами. Многие группировки отдают предпочтение зловредам, которые не оставляют следов. Применение готового вредоносного софта, использование вполне легальных программ удаленного управления, свидетельствует о стремлении злоумышленников все-таки сократить время на подготовку и проведение операций, отдавая предпочтение именно скрытности.