Ондрей Кубович, ESET: «Число атак ransomware буде зростати і цей тренд поки не зупинити»

Останні роки були дуже успішними для кіберзлочинців, і це дозволило їм накопичити значні ресурси для майбутніх атак. Проте протидія кіберзлочинності стає дедалі потужнішим, тиск із боку правоохоронних органів посилюється. Про тенденції на ринку інформаційної безпеки розповідає Ондрей Кубович, фахівець із кібербезпеки компанії ESET.

PCWeek/UE: Які тенденції у сфері інформаційної безпеки за останні роки ви можете виділити?

Ондрей Кубович: За нашими даними, серед найбільш помітних кіберзагроз — атаки з підбираннями пароля, націлені на неправильно налаштовані або погано захищені загальнодоступні служби RDP і SQL, при цьому перші стикаються з десятками мільярдів, а другі – з десятками мільйонів спроб атак на місяць (у середньому). Ці служби є лише першим етапом на шляху зловмисників. Далі вони пускають у справу інші шкідливі програми, наприклад, ботнети, засоби розкрадання інформації та програми-вимагачі, причому останні набули найбільшого поширення. Оскільки багато офісних працівників працювали з дому, кількість фішингових та шкідливих електронних листів також зростала завдяки застосуванню таких приманок, як вакцинація від COVID, підроблені повідомлення про доставку (DHL) та запити на оплату (рахунки, покупки, замовлення, банківські повідомлення), підроблені сторінки входу в систему, що імітують популярне програмне забезпечення (наприклад, Office 365, DocuSign).

Щодо позитивних тенденцій, то ми спостерігаємо помітне зниження кількості шкідливих макросів для MS Office, що доставляють електронною поштою. Це призвело до зниження кількості завантажувачів та дропперів. Крім того, в результаті недавньої серії успішних захоплень і арештів було знешкоджено одне з найвідоміших і найнебезпечніших ботнетів (Emotet).

Варто докладніше проаналізувати найпомітнішу сферу діяльності кіберзлочинців – ransomware (програми-вимагачі). За останній рік дослідники ESET виявили деякі зміни, які зробили зловмисні дії цих банд набагато прибутковішими.

По-перше, це нововведення в техніці здирництва, що використовується для тиску на своїх жертв – група Maze додала доксинг або подвійне здирство. Тобто, окрім шифрування даних жертви, зловмисники також крадуть конфіденційну інформацію та погрожують її опублікувати. Наприкінці 2019 року, побачивши ефективність методу, багато інших злочинних груп наслідували його на початку 2020 року. Далі ці техніки атаки були значно розширені за рахунок дедалі більшої кількості рівнів здирництва та психологічного тиску на жертв. Втім, жоден з них не був таким впливовим, як доксинг.

Друга причина, яка зробила програми-здирники помітними — зростання цін на криптовалюти, що у поєднанні з вищими і навіть дивними вимогами викупу призвело до різкого збільшення доходів груп кіберзлочинців.

Третьою причиною, що вплинула на розповсюдження програм-вимагачів, а також інші типи діяльності кіберзлочинців, стала робота з дому в умовах пандемії. Внаслідок цього мільйони (якщо не мільярди) нових цілей стали доступні через інтернет, адже багато з віддалених робочих місць були створені поспіхом, неправильно налаштовані, без жодних обмежень або з мінімальним захистом. Важливо відзначити, що захист мереж від загроз, таких як програми-вимагачі, — непросте завдання, оскільки для цього потрібне не лише відповідне програмне забезпечення, а й кваліфіковані фахівці з ІТ-безпеки. Кожна помилка конфігурації надає зловмисникам шанс для атаки, адже кіберзлочинці мають хороші технічні навички і здатні знайти ці помилки і далі зламати пристрої або навіть цілі мережі.

Звичайно, все вищеописане – лише частина подій, що призвели до створення умов для «ідеального шторму», що спостерігається сьогодні. Отримання великих грошей (наприклад, група Sodinokibi стверджує, що заробила 100 млн дол у 2020 році, Ryuk – 150 млн дол у 2020 році) дозволило бандам здирників та їх поділникам розширити бізнес-модель ransomware до постачання у вигляді послуги (RaaS), інфраструктуру, придбати крадені паролі і, можливо, навіть отримати доступ до невідомих уразливостей нульового дня, що ще більше ускладнить боротьбу з ними.

Важливо відзначити, що така активна та нахабна діяльність призвела до серйозних наслідків.

І ми бачимо деякі результати. Посилення тиску правоохоронних органів на групу DarkSide після інциденту з Colonial Pipeline змусило злочинців провести ребрендинг, крім того вони втратили частину грошей, які вже надходили на їх рахунок (ФБР змогло відкликати більшу частину сплаченої суми). Також було заарештовано кілька операторів програм-здирників (Cl0p, Egregor, Netwalker і, можливо, навіть деякі учасники Sodinokibi/REvil).

Правоохоронні органи також змогли отримати ключі дешифрування для атаки Kaseya із серверів Sodinkoibi (REvil) та допомогти її жертвам. Цей тиск міг стати причиною того, що кілька банд (наприклад, таких як Avaddon, Ragnarok) відкликали свої вимоги та випустили ключі дешифрування у травні-серпні 2021 року.

PCWeek/UE: Що впливає на формування трендів у галузі ІБ? Наприклад, ми знаємо, що сьогодні зростає кількість програм-здирників, вчора збільшувалася кількість банківських троянів, і т.д. З чим це пов’язано? Яким чином кіберзлочинці вибирають сегмент, в якому вони будуть діяти?

О. К: Основна причина раптового зростання того чи всього напряму — майже виключно гроші. Якщо один сегмент шкідливої ​​діяльності демонструє низький ризик та великі доходи, він майже напевно залучить нових гравців. Як приклад можна навести майнінг криптовалюти у 2018 році, який, здавалося, зробив атаки програм-вимагачів малорентабельними та невигідними. Потім ціна біткойнів впала, і разом з ним впав інтерес кіберзлочинців до майнерів. Все це, як ми тепер знаємо, розчистило ґрунт для масового повернення здирників наприкінці 2019 року.

PCWeek/UE: Обсяги програмного забезпечення зростають. Тепер навіть машина чи автобус насичені комп’ютерною електронікою під зав’язку. Чи можна прогнозувати, що за рахунок розширення кількості різного програмного забезпечення збільшиться кількість експлойтів?

О. К: Для мене це два різні питання. По-перше, Інтернет речей, тобто підключення до інтернету практично всього, включаючи автобуси та автомобілі, це постійна тенденція, яка створює великий ризик для кібербезпеки в майбутньому. Проблема в тому, що значна кількість навіть новітніх пристроїв IoT погано захищена, там ігноровано більшість сучасних знань про комп’ютерну/мобільну безпеку. Ось чому ми досі бачимо ботнети IoT, такі як Mozi, які за кілька місяців накопичують сотні тисяч нових ботів, розповсюджуючись через давні вразливості безпеки. Нині ця проблема здебільшого проявляється у маршрутизаторах та іншій невеликій електроніці, меншою мірою — в автомобілях та автобусах. Але з прогнозованим сплеском Інтернету речей найближчими роками, появою мереж 5G та інших технологій, цифровий світ зміниться, що напевно відчинить двері для нових типів загроз.

Друге питання стосується вразливостей у цілому. Існує безліч «традиційних» пристроїв, таких як кінцеві точки, сервери та бази даних, які доступні в інтернеті і набагато цікавіші зловмисникам, оскільки вони вже містять конфіденційні, особисті або інші дані, які можуть бути вкрадені, продані, використані для здирства та ін. Іншими словами, там уже є інформація, яку можна монетизувати.

Сьогодні такі цілі можуть бути атаковані різними способами, хоча 2020 та 2021 роки показали нам, що деяких з найсерйозніших випадків можна було б уникнути, якби жертви вчасно виправили налаштування своїх VPN, віддаленого доступу чи інших систем.

Наприклад, банди здирників використовували нещодавно випущені вразливості у VPN або ProxyLogon (ланцюжок уразливостей на серверах MS Exchange) для компрометації своїх жертв. Судячи з даних ESET, у 2021 році вгадування пароля було вектором зовнішньої мережевої атаки номер один (53%), за ним слідували ProxyLogon (22%) та бекдор DoublePulsar (10%). І це тільки перша трійка, сам список набагато довший.

Мільйони доларів, отримані кіберзлочинцями за допомогою ransomware у 2020 та 2021 роках, зробили їх досить багатими, щоб тепер купувати вразливості нульового дня у інших гравців і тим самим ускладнювати у майбутньому роботу служб кіберзахисту.

Щоб відповісти на запитання, чи збільшиться кількість експлойтів, я процитую статтю з MIT Technology Review, яка вказує, що у 2020 році експлуатувалося найбільше вразливостей нульового дня в реальному середовищі (in the wild). Оскільки ресурси та мотивація з часом тільки зростають, ми не очікуємо, що ця тенденція зміниться в найближчому майбутньому.

PCWeek/UE: Що, на вашу думку, зміниться у сфері інформаційної безпеки в найближчому майбутньому? Можливо, деякі види кіберзагроз з якоїсь причини дійсно зникнуть? Адже спам як загроза, хоч і не зник повністю, та його кількість значно зменшилася.

О. К: Як я вже згадував в одному з попередніх питань, існує так багато факторів, які здатні вплинути на ландшафт загроз, що майже неможливо передбачити, як буде далі. Судячи з даних, зібраних телеметрією ESET у період із січня 2020 року до серпня 2021 року, здається, що атаки з підбираннями пароля продовжаться і, цілком можливо, найближчими місяцями навіть посиляться.

Щодо програм-вимагачів, то з початку 2020 року банди кіберзлочинців заробили багато грошей, що дозволило їм покращити свою інфраструктуру та протестувати нові підходи, а також купувати та зловживати вразливістю нульового дня. Навряд чи в цій сфері варто очікувати на позитивні зміни, швидше за все, в найближчому майбутньому ситуація навіть трохи погіршиться.

Оскільки серйозність ситуації помістила інформаційну безпеку до основних пріоритетів, правоохоронні органи також почали застосовувати більш проактивний підхід до запобігання та розкриття кіберзлочинів. Ми бачили глобальні операції, такі як знешкодження Emotet. У США ФБР навіть проникло в уразливі бізнес-мережі по всій країні та видалило шкідливі веб-оболонки із скомпрометованих вразливостей MS Exchange Server. Можливо, у майбутньому побачимо більше прикладів такого активного підходу.

Ще одна зростаюча категорія загроз — це шкідливі програми, пов’язані з крадіжкою інформації. Цей термін об’єднує багато сімей, такі як завантажувачі, банківські шкідливі програми, бекдори, шпигунське ПЗ та інші, оскільки багато з них придбали та посилили свої можливості, щоб стати ще потужнішими та заробляти більше грошей. Відмінним прикладом того, наскільки стійкими та винахідливими можуть бути ці загрози, є TrickBot. Цей ботнет був знешкоджений наприкінці 2020 року, зараз його намагаються відновити, покращуючи старі модулі та впроваджуючи нові, з розширенням інфраструктури управління та контролю. Крім того, у травні-серпні 2021 року його творці, схоже, навіть розробили свою власну програму-вимагач (Diavol). Це злиття різних категорій шкідливих програм та формування єдиного універсального «надшкідливого ПЗ» — ще одна тенденція, яка збережеться.

Важливий зовнішній фактор, який, зважаючи на все, істотно впливає на ландшафт загроз — ціни на криптовалюти. Щоразу їх піднесення розпалює нову кіберзлочинну діяльність. Це не означає, що криптовалюта допускає лише незаконні транзакції, але між ними існує кореляція (наочно проілюстровано тенденцією майнінгу за допомогою шкідливих програм влітку 2021 року).