Кіберзлочинці постійно змінюють свою тактику і, як тільки здається, що індустрія безпеки має справу з останньою на той момент загрозою, виникає щось нове, — пише Денні Палмер у своїй статті на ZDnet.
Атаки за допомогою програм-вимагачів були дуже поширеними у 2017 році, в той час як віруси-майнери стали популярними серед шахраїв, які намагаються швидко заробити гроші протягом 2018 року. Обидві ці проблеми досі є загрозою, як і випробувані зловмисні програми, фішинг та хакери-аматори , які продовжували заражати організації в усьому світі.
Але однією з тенденцій цього року є те, що кіберзлочинність стає все більш “особистим” явищем. Хоча цілеспрямовані атаки на окремі типи компаній або групи людей колись були пов’язані з “державними” хакерами високого класу, тепер більш примітивні кіберзлочинні групи використовують таку ж тактику.
“E-злочинність поступово переходить від парадигми максимальної шкоди до максимальної точності. Деякі групи стають дуже прискіпливими до своїх цілей, вони дійсно намагаються визначити правильні демографічні показники”, – говорить Асаф Дахан, керівник дослідження з питань загроз в Cybereason.
Існує ключовий фактор, який керує цим: гроші. Якщо зловмисники можуть вкрасти потрібні дані або заразити певні комп’ютери заради викупу, вони можуть отримати більший прибуток, ніж атакуючи цілі без вибору.
Самозбереження – це ще один фактор: для шахраїв, які хочуть, щоб вони та їхні атаки мали кращі шанси залишитися прихованими, вони не спамлять шкідливими програмами у всьому світі.
“Якби я розробив шкідливе програмне забезпечення, яке дуже зосереджено на крадіжці фінансових даних від британських банків, чому б я мав намагатися заразити людей в Болівії чи Китаї? Чим більше такий софт поширюється, тим більший ризик того, що його спіймають та ідентифікують”, – говорить Дахан.
Хоча багато кіберзлочинних груп все ще орієнтовані на короткостроковий прибуток, деякі зараз проводять спостереження за ситуацією, щоб переконатися, що вони потрапляють у правильні цілі.
“Розмиті лінії між методами, що використовуються акторами національних держав, та тими, які використовуються кримінальними суб’єктами, дійсно стали набагато бруднішими”, – каже Джен Айерс, віце-президент з виявлення вторгнень у сфері кіберзлочинності та безпеки у CrowdStrike.
“Багато злочинних організацій все ще залишають за собою багато слідів, але факт полягає в тому, що замість того, щоб йти традиційним маршрутом електронної пошти зі спамом, який вони мали раніше, вони активно втручаються в корпоративні мережі, вони орієнтуються на незахищені веб-сервери, крадуть повноваження і займаються розвідкою”, – додає вона.
Це ще одна тактика, яку діючі зловмисники починають розгортати, щоб уникнути виявлення та зробити атаки більш ефективними – проводити кампанії, які не орієнтовані на комп’ютери з ОС Windows та інші поширені пристрої, що використовуються на підприємстві.
Завдяки тому, що ці пристрої знаходяться перед користувачами кожен день, і є головним пріоритетом для антивірусного програмного забезпечення, є більша ймовірність того, що атака на ці пристрої буде зупинена засобами безпеки або принаймні помічена користувачами.
Однак, якщо зловмисники можуть потрапити безпосередньо в серверну частину організації і безпосередньо компрометувати сервери, вони можуть залишатися прихованими протягом кількох місяців або навіть років, не будучи поміченими, якщо вони обережні. Тому нападники з акцентом на невидимість атак все частіше звертаються до цього варіанту.
“Ми бачимо відхід від атак на кінцеві точки до атак на сервери”, говорить Чет Вишневський, головний науковий співробітник Sophos, який стверджує, що сервери часто більш вразливі до хакерів, ніж кінцеві точки.
“Сервери практично майже не мають таких самих засобів захисту, що і настільні системи. Ті ж компанії, що повідомляють мені, що вони роблять “Patch Tuesday” протягом 10 днів для настільних комп’ютерів, скажуть мені, що їм потрібно 90 днів для написання такого ж патча для серверів, – пояснює він, додаючи: Сервери на сьогодні є яскравими слабкими місцями в нашій стратегії, а злочинці йдуть прямо за цим.
Шифрування деяких ПК у результаті атаки віруса-вимагача може бути болісним, але якщо така програма потрапить на сервери, на які покладається ціла компанія, це може зашкодити набагато більше.
“Ми мали клієнтів, які зазнали впливу цих атак у минулому місяці і які постраждали більше, ніж на мільйон доларів. Навіщо намагатися заробити якісь дрібні гроші, заразивши ноутбук бабусі, якщо ви можете нанести удар по одній компанії, заблокувати вісім серверів і піти з мільйонами доларів?”, – каже Вишневський.
Кампанії працюють, тому що в багатьох випадках жертва вирішує заплатити викуп. Тим часом, ті, хто не платить, можуть виявити, що вони в кінцевому підсумку витрачають набагато більше, ніж витрати на викуп, прибираючи наслідки зламу.
Наприклад, місто Балтимор постраждало від вимагання близько 76 тисяч доларів у біткоїнах і відмовилося платити злочинцям. Загалом на подолання наслідків міська влада витратила більше 18 мільйонів доларів.
Переважна більшість організацій – якщо не всі – використовують певне програмне забезпечення для захисту від атак. Часто це програмне забезпечення буде використовувати штучний інтелект і машинне навчання, щоб допомогти захистити користувачів від відомих і невідомих загроз.
Наразі ця технологія залишається в руках індустрії кібербезпеки, але пройде певний час і кіберзлочинці отримають доступ і почнуть експлуатувати її для проведення атак.
“Атаки, що використовують машинне навчання, цілком можливі – легко уявити собі програми, які змінюватимуть свій код, щоб уникнути виявлення, і дізнатися, як вони виявляються”, – говорить Мікко Гіппенен, головний науковий співробітник F-Secure.
На щастя, в цей час бракує персоналу, який має необхідні навички, необхідні для роботи з штучним інтелектом та машинного навчання – так що кожен, хто має ці здібності, може легко жити для себе, працюючи для хороших хлопців.
“У світі не вистачає людей, які є фахівцями в машинному навчанні. Якщо ви є експертом у цій галузі, вам не доведеться вдаватися до злочинного життя, тому що ви знайдете велику компанію, яка буде платити вам велику зарплату і будете літати по всьому світу, – пояснює Гіппенен.
Тим не менш, був час, коли кіберзлочинність обмежувалася тими, хто володіє навичками створення та розповсюдження шкідливих програм. Тепер майже кожен, хто знає, як отримати доступ до форумів у Даркнеті, потенційно може це зробити, завдяки тому, що спосіб ведення атак став комерціалізованим.
Зловмисники-аматори практично без досвіду розгортання шкідливих програм можуть купити комплект всього за кілька доларів і запустити його. Гіппенен вважає, що використання шкідливого штучного інтелекту буде слідувати подібним шляхом.
“Речі стають простішими взагалі і простішими у використанні. Зрештою, системи стануть настільки простими у використанні, що будь-який ідіот зможе їх використовувати – і тоді ми побачимо атаки за допомогою машинного навчання. І це може статися всього за рік”, – говорить він.
Це може створити нові виклики для кібербезпеки, але ймовірно, що, як і більшість кібератак, які орієнтовані на організації, їх можна попередити, використовуючи хороші практики безпеки.
До них відносяться переконання, що програмне забезпечення та програми мають бути пропатчені, і це робиться в найкоротші терміни: адже якщо компанії з програмного забезпечення, а в деяких випадках і уряди, попереджають вас про застосування патчів із безпеки, то для цього є підстава.
На жаль, багато організацій працюють занадто довго, не застосовуючи патчів до уразливостей безпеки, залишаючись відкритими для атак – як нових, так і старих – яким можна легко запобігти.
“Ці хлопці шукають плоди, що висять низько. Якщо ви не з таких, вас набагато важче дістати”, – каже Вишневський.
До речі, Microsoft планує інтегрувати підсистему Windows для Linux 2 у весняне оновлення функцій 2020 року – Windows 20H1. Нова версія постачається з повноцінним ядром Linux і змінює спосіб взаємодії бінарних файлів з Windows і обладнанням комп’ютера.
Нагадаємо, кілька днів тому з офіційного екаунту технічної підтримки Samsung у Twitter надійшло повідомлення щодо обов’язкової ручної антивірусної перевірки телевізорів, підключених до Wi-Fi мережі.
Також засновник компанії Nitro-Team і фахівець з кібербезпеки з Казахстану Батиржан Тютеєв запустив Telegram-бота, за допомогою якого користувач може перевірити, чи витікали паролі від його електронної пошти до будь-яких баз. За даними творця бота, за годину ним встигли скористатися 10 тисяч осіб.
Окрім цього, працівники кіберполіції викрили двох 33-річних чоловіків, причетних до викрадення майже 420 тисяч гривень з рахунку одного з мешканці Київщини. Знаючи про вразливості онлайн-ресурсу потерпілого, зловмисник використав їх для викрадення коштів.
