Прогнозов в области кибербезопасности на 2021 год

Под конец года многие компании из сферы ИБ подводят итоги и делятся своим видением дальнейшего развития цифровых угроз. Приводим подборку наиболее вероятных сценариев развития ситуации на рынке, составленный с оглядкой на знания экспертов в данной области, а потому заслуживающая внимания всех, кто по-настоящему заботиться о защите своих цифровых активов.

Атаки шифровальщиков станут более агрессивными

Остаются угрозой номер один в IT-среде трояны-вымогатели, блокирующие доступ к данным и требующие выплаты определённой суммы злоумышленникам для возвращения доступа к ценной информации. Но теперь киберпреступники сменили тактику, они не только блокируют информацию, но и угрожают её разглашением, если откажутся от выплаты выкупа. По мнению экспертов «Лаборатории Касперского», такие жёсткие рычаги давления на жертв, грозящие плачевными финансовыми и репутационными последствиями для бизнеса, только усугубят и без того сложную ситуацию с шифровальщиками и спровоцируют новый виток в развитии данного типа вредоносного программного обеспечения.

Исследование компании Group-IB, подтверждает актуальность проблемы, по данным которой суммарный ущерб от программ-шифровальщиков в корпоративной среде недавно превысил значимую планку в один миллиард долларов США — и это нижняя граница финансовых потерь. Реальный ущерб многократно выше: зачастую пострадавшие организации предпочитают замалчивать инцидент, заплатив вымогателям, либо атака не сопровождается публикацией данных из сети жертвы. Согласно представленным Group-IB сведениям, наиболее популярными целями троянов-вымогателей в 2020 году были организации из Соединённых Штатов: на них пришлось около 60 % всех известных атак. Доля атак в странах Европы составила примерно 20 процентов. Порядка 10 % пришлось на страны Северной и Южной Америки (за исключением США) и Азии (7 %). Наиболее опасными шифровальщиками в настоящий момент являются Maze (официально эта группировка свернула свою деятельность в ноябре 2020-го) и REvil — на них приходится более 50 % успешных атак. Во втором эшелоне идут Ryuk, NetWalker, DoppelPaymer.

Тройка наиболее активных шифровальщиков по версии Group-IB

Атаки на удалённых сотрудников приобретут массовый характер

Спешная перестройка бизнес-процессов в связи с пандемией коронавируса сказалась на обеспечении защиты удалённых рабочих мест и существенно ослабила контроль над информационными активами во многих организациях.

Согласно прогнозам Acronis, в 2021 году количество атак, направленных на удалённых сотрудников, возрастёт, поскольку защита систем вне корпоративной сети легче поддаётся взлому, что позволяет злоумышленникам получить доступ к данным этой организации. По мнению аналитиков InfoWatch, такое положение дел обусловлено особенностями формата дистанционной работы, предоставляющего как киберпреступникам, так и инсайдерам намного больше возможностей для кражи информации.

«Огромные риски могут быть связаны с использованием в компаниях так называемых теневых ИТ (Shadow IT), то есть информационных сервисов, развёрнутых в обход ИТ-служб, на внешних ресурсах, владельцы которых не несут никакой ответственности за обрабатываемые на них данные. Уровень как внешних, так и внутренних угроз на «удалёнке» также повышается в связи с использованием незащищённых Wi-Fi-сетей, проблемами контроля личных устройств при работе с корпоративной информацией, отсутствием во многих организациях адекватной инфраструктуры по управлению доступом, игнорированием решений для анализа поведенческих характеристик пользователей информационных систем», — говорится в тексте исследования InfoWatch.

Пандемия COVID-19 и массовый переход в онлайн столкнули бизнес со множеством проблем (источник: исследование компаний «СёрчИнформ» и HeadHunter)

Рост атак на инфраструктуру интернета вещей (Internet of Things, IoT)

Исследования показывают, что чаще всего взломанные и заражённые устройства интернета вещей используются злоумышленниками для развёртывания ботнетов и организации масштабных атак, направленных на отказ в обслуживании (Distributed Denial of Service, DDoS). Также скомпрометированные IoT-устройства задействуются киберпреступниками в качестве прокси-серверов для совершения других типов вредоносных действий.

По словам экспертов, основные проблемы интернета вещей — легко подбираемые пароли, которые невозможно сменить, и устаревшие прошивки устройств. При этом в лучшем случае обновления выходят со значительными опозданиями, в худшем — не выпускаются вовсе. Как результат, многие IoT-устройства взламывают с использованием тривиальных способов, таких как уязвимости в веб-интерфейсе. Почти все такие уязвимости критичны, но у производителя есть лишь крайне ограниченные возможности по быстрому созданию патча и доставке его в виде обновления.

Интернет вещей предоставляет киберпреступникам доступ к тысячам полностью работоспособных устройств одновременно, и очень часто подобные проникновения остаются незамеченными (источник изображения: Microsoft)

Телефонные мошенники продолжат опустошать кошельки россиян

Согласно статистике «Лаборатории Касперского», собранной при помощи мобильного приложения Kaspersky Who Calls, доля телефонного спама в российских сетях сотовой связи в 2020 году составила внушительные 63 %, а доля звонков с подозрением на мошенничество — 5,9 %. При этом преступники активно пользовались технологией подмены номера. Чаще всего они указывали телефоны финансовых организаций, государственных учреждений или юридических лиц.

Исследования показали, что преступники серьёзно готовятся к таким звонкам и активно используют методы социальной инженерии. Так, в 42 % случаев они полностью называли правильные имя, фамилию и отчество того, кому звонили. Наиболее распространёнными легендами были необходимость подтвердить данные (72 %), сообщение о блокировке карты (58 %) и предложение кредита (57 %). Почти в половине случаев (46 %) злоумышленники пытались получить код из SMS или данные карты, а в каждом пятом случае (21 %) — убеждали перевести деньги якобы на безопасный счёт.

Жители России всё чаще жалуются на мошенничество, связанное с банковскими картами (источник изображения: «Лаборатория Касперского»)

Данные Сбербанка, красноречиво свидетельствуют о масштабах проблемы, с начала года было зафиксировано более 3,4 млн жалоб клиентов на телефонное мошенничество. По сравнению с 2017 годом этот показатель вырос более чем в 30 раз и более чем в два раза по сравнению с 2019 годом. При этом количество мошеннических звонков гражданам достигло 100 тысяч в сутки. «Мы видим в происходящем признаки национального бедствия», — говорится в заявлении самого крупного банка страны. По мнению заместителя председателя правления Сбербанка Станислава Кузнецова, сложившаяся ситуация требует беспрецедентных мер защиты — от прямого вмешательства государства и ужесточения наказания по ряду статей УК РФ за преступления в сфере информации до создания в стране центров киберзащиты нового поколения.

Хакеры станут чаще использовать искусственный интеллект

Для достижения своих целей киберпреступники всегда стараются применять новейшие цифровые разработки, и искусственный интеллект (Artificial Intelligence, AI) не является исключением. Уже сейчас технологии искусственного интеллекта используются в криминальной среде для создания так называемых дипфейков (Deep Fakes) — реалистичных и убедительных фальшивых изображений, видео и голосовых записей, распространяемых с целью дезинформации и манипулирования общественным мнением, шантажа и подрыва имиджа известных личностей.

Также  злоумышленники активно применяют AI-системы для повышения эффективности вредоносного программного обеспечения, обхода механизмов защиты CAPTCHA, подбора паролей, анализа больших массивов данных с целью извлечения номеров телефонов и кредитных карт. Специалисты Trend Micro Incorporated считают, что в перспективе искусственный интеллект будет активно использоваться в мошенничестве, связанном с социальной инженерией, а также в схемах с автообзвоном. «Применение AI начинает оказывать вполне реальное влияние на наш мир, и становится ясно, что эта технология станет одной из фундаментальных в будущем человечества. Однако угроза злонамеренного использования ИИ не менее реальна для общества, чем польза от его применения», — убеждены в компании.

Рост количества атак на медицинские учреждения

Согласно прогнозам «Лаборатории Касперского», в 2021 году продолжатся попытки злоумышленников помешать разработке вакцины и лекарств от коронавируса или украсть связанные с ней конфиденциальные данные. «Пока в мире идёт не только борьба с болезнью, но и гонка между производителями медикаментов, любая компания, объявляющая о значительных успехах в разработке того или иного средства, будет потенциальной жертвой целевых атак», — уверены эксперты.

Новые векторы атак на промышленные предприятия.

Под прицел хакеров попадет инфраструктура индустриальных компаний. Атак будет больше, и одной из причин этого является прекращение поддержки широко востребованных в промышленной среде платформ Windows 7 и Server 2008, а также утечка исходных кодов Windows XP, которая до сих пор очень часто встречается в индустриальном оборудовании и автоматизированных системах управления технологическими процессами. «Есть высокая вероятность повторения сценария наподобие шифровальщика WannaCry в самом ближайшем будущем. И промышленные предприятия могут оказаться в числе наиболее пострадавших», — прогнозируют эксперты «Лаборатории Касперского».

В 2020 году 43 % атак на промышленные компании были совершены операторами шифровальщиков (данные Positive Technologies)

Смещение фокуса внимания злоумышленников на фишинговые атаки.

По данным Group-IB, уже сейчас киберпреступники активно практикуют гибридные фишинговые атаки с использованием продвинутой социальной инженерии и многоходовых сценариев обмана интернет-пользователей. Также трендом этого года стало использование одноразовых ссылок, которые становятся неактивными после перехода на поддельный сетевой ресурс. Таким способом злоумышленники защищаются от обнаружения веб-фишинга и значительно усложняют процесс блокировки вредоносных сайтов. Такая смена тактики, по мнению аналитиков Group-IB, уже доказала свою эффективность в криминальной среде.

Пример фишинг-атаки (источник изображения: Microsoft)

Распространение бесфайловых угроз.

Бесфайловые зловреды используют встроенные инструменты и процессы операционной системы и не записывают вредоносное ПО на диск. Как следствие, находящийся в оперативной памяти устройства пользователя вирус сложно детектировать и блокировать. «В последнее время бесфайловые атаки фиксировались в кампаниях кибершпионажа для поражения важных целей, таких как госучреждения. В 2021 году подобные методы будут использоваться во всё более сложных и крупномасштабных атаках. Это вызов для служб информационной безопасности: они должны уметь не только предотвращать проникновение вредоносного кода в корпоративные системы, но и обладать технологиями обнаружения и реагирования», — поясняют специалисты компании ESET. Бесфайловые угрозы — не новая технология, такие зловреды встречались и ранее, но начиная с 2016 года атаки с использованием таких угроз продолжают набирать обороты.

10. Развитие 5G может подвергнуть операторов кибератакам.

В этом сходятся эксперты как «Лаборатории Касперского», так и Fortinet. Ожидается, что переход на мобильную связь пятого поколения откроет для злоумышленников новые возможности для проведения атак и серьёзно изменит ландшафт угроз для телекоммуникационной отрасли. Чем популярнее будет технология и чем больше устройств будут подключаться к 5G, тем активнее злоумышленники станут искать уязвимости, которые смогут использовать для своих целей, говорят исследователи.

Вот таков прогноз в области кибербезопасности на 2021 год.

При подготовке материала использованы аналитические исследования компаний Group-IB, Fortinet, ESET, Positive Technologies, Microsoft, Trend Micro Incorporated, «СёрчИнформ», HeadHunter, а также Сбербанка и «Лаборатории Касперского»

Александр Григорьев ЦСО "Крокус"