УправлениеБезопасность

Вымогатели, фишинг и другие угрозы информационной безопасности

Яков Шпунт | 25.10.2017

Вымогатели, фишинг и другие угрозы информационной безопасности

В течение последних полутора лет тенденции в области угроз довольно сильно эволюционировали. Процесс этот проходил не слишком стремительно, но результаты обнаруживались довольно быстро. При этом, однако, следует понимать, что значительная часть инцидентов оставалась незамеченной.

Кроме того, разные сферы деятельности киберпреступников очень тесно переплетены между собой. Например, вредоносное ПО и фишинг являются инструментами для осуществления кибератак и краж данных из компаний, а спам стал одним из каналов распространения программных зловредов. При этом методы киберпреступников активно перенимает не только традиционный криминал, но и террористические группировки и спецслужбы.

Вредоносное ПО

Основным классом вредоносного ПО по-прежнему остаются бот-сети, объединяющие зараженные компьютеры в единое целое с общим центром управления. Такая инфраструктура затем используется для DDoS-атак, рассылки спама, внедрения различного вредоносного ПО, включая то, что предназначено для проведения целевых атак, программ-вымогателей, а также для перехвата интересующих киберпреступников данных, как правило, реквизитов банковских счетов или платежных карт. В последнее время все чаще ботнеты применяют для майнинга криптовалют.

Но с самого начала 2016 года ситуация начала меняться. Прежде всего, киберпреступники научились использовать в своих целях не только ПК, но и другие устройства, подключенные к Интернету, — видеокамеры, беспроводные маршрутизаторы, телевизоры последнего поколения и тому подобное. Первые случаи эксплуатации их киберпреступниками были отмечены еще в 2014 году, но в 2016-м явление стало по-настоящему массовым. В распоряжении киберкриминальных группировок появились ботнеты, объединяющие сотни тысяч устройств. Так, уже в октябре 2016-го ботнет Mirai объединял до 500 тысяч устройств, а к концу года его мощность удвоилась. Это стало реакцией на успешные акции правоохранительных органов, которые привели к ликвидации сразу нескольких крупных ботнетов. Возможности подобных бот-сетей удалось ограничить только проведением DDoS-атак, но их мощность была огромной, на которую не приходилось рассчитывать, используя сети из ПК.

Впрочем, возможности для краж платежных реквизитов предоставляло вредоносное ПО для мобильных устройств, точнее для платформы Android. Этот сегмент рос опережающими темпами, что относится как к масштабам заражения, так и к количеству новых зловредов. Ну а по функциональности ПО для мобильных платформ уже давно догнало программное обеспечение, предназначенное для настольных системах. Один только зловред CopyCat, появившийся летом текущего года, заразил, по оценке компании CheckPoint, свыше 15 млн устройств.

Как правило, мобильные зловреды применялись для махинаций с рекламой или кражи платежных данных. Активизации злоумышленников, естественно, способствовало появление платежных сервисов, позволяющих использовать телефон или планшет в качестве платежного инструмента, связанного с банковским счетом. При этом зараженное ПО неоднократно попадало в официальный магазин приложений Google Play, и в итоге его успевало загрузить большое количество пользователей. Только за первую половину текущего года ESET обнаружила минимум четыре подобных случая.

Другим важным событием стала утечка данных из АНБ, в ходе которой были похищены сведения об используемых этой спецслужбой уязвимостях. Первоначально они были выставлены на продажу, а затем и вовсе обнародованы в полном объеме. Осязаемые результаты появились уже в текущем году: шифровальщик WannaCry, заразивший полмиллиона компьютеров, использовал для своего распространения именно одну из уязвимостей в ОС Windows, которую эксплуатировала АНБ. Причем масштаб заражения оказался существенно меньше, чем мог бы быть, поскольку авторы зловреда использовали уже несколько недель закрытую брешь в защите. В целом Александр Лямин, основатель компании Qrator Labs, сравнил данную ситуацию с тем, как если бы в распоряжении преступников оказалось ядерное оружие, но они для демонстрации своего могущества взорвали его не в городе, а над океаном. Впрочем, нельзя исключать и того, что эксплоиты из арсенала АНБ применяются для разного рода целевых атак, без привлечения широкого внимания.

Надо сказать, что возвращение масштабных эпидемий, а после WannaCry их было еще как минимум две, вызвало серьезное недовольство в киберкриминальном сообществе. Это вполне объяснимо: появление явно деструктивных зловредов серьезно мешает бизнесу, связанному с кражами данных и/или финансовых средств. Хотя бы тем, что шифровальщик уничтожает то, что хотелось бы украсть. К тому же подобный инцидент неизбежно станут расследовать, а это повышает шансы того, что целевая атака будет обнаружена и, соответственно, приняты меры по ее предотвращению. Обычно же троянец, используемый при целевых атаках, остается необнаруженным в течение минимум полугода. Есть примеры, когда зловред оставался незамеченным в течение пяти лет. Учитывая, что за целевыми атаками стоят весьма могущественные группировки, результат кажется очевидным. Но все же нельзя исключать и вероятности, что авторы шифровальщиков последнего поколения также найдут сильных покровителей, и тогда сценарий противостояния изменится.

Сегодня применение вымогателей активно осваивают и группировки, которые раннее специализировались на кибератаках. «Риск целевых атак на коммерческие компании растет, а сами нападения приносят все более ощутимые убытки. Тенденция тревожная, поскольку хакеры сейчас ищут новых, более прибыльных жертв. И надо сказать, есть много потенциальных мишеней, атаки на которые могут привести к катастрофическим последствиям», — прокомментировал Антон Иванов, старший антивирусный аналитик «Лаборатории Касперского». При этом объектом заражения, как отмечается в отчетах компании TrendMicro, часто являются не только документы в офисных форматах, но и базы данных.

Спам и фишинг

Уже не первый год объемы традиционного спама в электронной почте уменьшаются. Этому способствуют как успехи в борьбе с ботнетами, так и перенаправление усилий злоумышленников на другие каналы, в первую очередь на социальные сети и мобильные мессенджеры.

Причем спам давно трансформировался из формы своего рода партизанского маркетинга предприятий малого и среднего бизнеса, которым другие формы рекламы были просто не по карману, в сугубо криминальный бизнес. Процессу способствует и кризис в экономике, который усугубляется крайне низкой таргетированностью такой рекламы и, следовательно, практически нулевой эффективностью. Очень часто спамеры ошибаются даже страной назначения. Ситуация, когда, например, по России рассылается реклама, предназначенная для Бразилии или Китая и наоборот, из разряда типичных.

С другой стороны, в рекламе нуждается и сам криминал, причем возможности для привлечения более цивилизованных форм по продвижению своих товаров, в частности разного рода контрафакта и специфических услуг, по понятным причинам нет. Довольно давно спамеры используют технологии искусственного интеллекта. Как отметил основатель компании GroupIB Илья Сачков, этим отметилась, например, известная группа Glavmed, которая специализировалась на продвижении контрафактных медикаментов в середине нулевых. И наконец, с помощью спамерских инструментов очень часто производится заражение различными зловредами. В последнее время в качестве контейнеров чаще всего используются документы в форматах приложений MS Office, а также PDF.

Однако активность мошенников, применяющих различные схемы, задействующие электронную почту, не снижается. Это касается и такой традиционной аферы, как «нигерийские письма», где злоумышленники под видом содействия в легализации доходов выманивают у потенциальных жертв денежные средства. И хотя подобные аферы известны давно и даже попали в массовую культуру, до сих пор находятся те, кто попадается на удочку преступников. Появляются и новые виды афер, в том числе направленные на корпоративный сектор. Так, компания TrendMicro несколько лет обращает внимание на атаки класса BEC, с использованием которых за первую половину текущего года только в США было украдено, по данным ФБР, $5,3 млрд. Сценарий такого мошенничества прост: на почтовый адрес финансового менеджера компании направляется финансовый документ, с помощью которого на адрес злоумышленников переводится определенная денежная сумма. Подобные инциденты были отмечены и в России.

Активизировались и мошенники, использующие фишинговые сценарии. Часто такие средства применялись и для недобросовестной конкуренции. «С начала года наша компания дважды сталкивалась с фишинговыми сайтами, которые выдавали свой калькулятор по ОСАГО за калькулятор нашей компании, — говорит Александр Прокопчук, директор департамента электронной коммерции „АльфаСтрахование“. — Данный вопрос удалось решить через службу безопасности „АльфаСтрахование“. Мы приветствуем сотрудничество РСА и ФинЦЕРТ и верим, что это поможет свести к минимуму появление мошеннических сайтов и обезопасить как автовладельцев, так и страховщиков». По сходной схеме пытались воспользоваться репутацией компании «Еврохим» для того, чтобы под видом ее продукции продавать удобрения совсем других компаний.

В фишинговых атаках применялись ссылки на платежную систему MasterCard, а также на крупнейшие мировые авиакомпании, сервис Uber и ряд производителей премиальной продукции. Но тут злоумышленники действовали по традиционной схеме, заманивая обещанием больших скидок жертву на специальный сайт, очень похожий на легитимный, где и перехватывались данные его платежной карты. Всего же, по оценке GroupIB, мошенники скомпрометировали не менее 19 компаний.

Кибератаки

Громкие атаки, сопровождавшиеся кражами данных, вызвали широкий резонанс и даже стали серьезным фактором, влияющим на политику, как национальную, так и международную. Именно с последствиями кибератак на оппонентов некоторые наблюдатели связывают результаты президентских выборов в США и Франции.

Залогом успеха злоумышленников являются, с одной стороны, чрезвычайно слабая защита и наличие большого количества уязвимых компонентов, а с другой — плохо подготовленный персонал. Например, в России и СНГ, как показал опрос, проведенный ESET, почти в 70% компаний не проводилось тренингов по безопасности. В США эта доля составила 40%. «Большая часть нарушений информационной безопасности в компаниях связана с ошибками персонала, — комментирует Виталий Земских, руководитель ESET Consulting. — На человеческом факторе — социальной инженерии и старых уязвимостях ПО — построены целевые атаки на организации. Снизить риски и найти слабое звено в компании раньше, чем это сделают злоумышленники, позволяет обучение сотрудников, а также разного рода тесты, определяющие внутренние угрозы безопасности».

Согласно результатам исследования, проведенного Experian Data Breach Resolution и Институтом Понемона, более половины (51%) опрошенных компаний непосредственно сталкивались с уязвимостью данных, а почти 56% за последние пять лет неоднократно страдали от утечек информации. При этом, несмотря на значительные проблемы безопасности, 32% респондентов сообщили, что их предприятия до сих пор не разработали эффективный план реагирования на такие ситуации. А почти половина (49%) участников опроса признали, что их существующие системы безопасности устарели и не соответствуют глобальным требованиям. В итоге не редкость, когда за довольно громкими инцидентами стояли злоумышленники весьма низкой квалификации.

Злоумышленники постоянно обращаются все к более технологичным способам проникновения. Например, бэкдор Gazer, который использует специализирующаяся на кибершпионаже группа Trula, применяет виртуальную файловую систему, чтобы избежать обнаружения бэкдора антивирусными продуктами и продолжать атаки. Этот зловред способен шифровать данные и с помощью специально разработанной системы.

Кроме того, для проникновения в сети хакеры часто пускают в ход украденные учетные записи пользователей. На них, по сообщению компании Gemalto, приходилось 54% от общего объема данных, которые были потеряны в ходе утечек информации. Для сравнения, на персональные данные пришлось 59% от общего объема сведений. Это, как полагают в Gemalto, свидетельствует о новой тенденции, когда злоумышленники переориентируются с атак с целью получения финансовой информации на атаки на крупные базы данных с большими объемами идентификационной и персональной информации.

Наряду с традиционными киберкриминальными группировками, атаками занимались спецслужбы и хактивисты. Что, однако, в ряде случаев не мешало им прибегать и к банальным кражам. «Бытует мнение, что проправительственные хакеры занимаются только шпионажем и политически мотивированными атаками. На примере Lazarus мы видим, что продвинутые технологии позволяют им выбирать самые защищенные цели, например, успешно атаковать банки и финансовые институты — и они активно интересуются такими возможностями. При этом обнаруживать и расследовать подобные атаки сложнее, чем нападения со стороны традиционных преступных группировок», — считает Дмитрий Волков, руководитель отдела расследований и сервиса киберразведки Threat Intelligence, сооснователь Group-IB.

Вместе с тем именно хактивисты, как правило, стоят за атаками на объекты инфраструктуры. Криминалу данные объекты мало интересны вследствие сложности с монетизацией с одной стороны и сложности таких атак, требующих специальных знаний — с другой. Тем не менее инструменты для подобного рода атак продолжают появляться. Среди них, например, Industroyer, эксплуатирующий уязвимости некоторых промышленных протоколов.

Как уже было сказано, появление ботнетов из устройств «Интернета вещей» позволило существенно усилить мощность DDoS-атак. Тем более что эти атаки не требуют от исполнителя высокой квалификации. Как показали результаты целого ряда спецопераций, проведенных в разных странах против группировок, занимающихся данной деятельностью, очень часто они состояли из подростков.

«Пробой пера» для злоумышленников стала атака на сайт журналиста Брайана Кребса. Но только этим злоумышленники не ограничились, и DDoS на Dyn DNS оставила без доступа в Интернет все Восточное побережье США. «Пока хактивисты не представляют реальной опасности для компаний, которые серьезно относятся к информационной безопасности. Но было бы ошибкой игнорировать потенциальную угрозу, — говорит Дмитрий Волков, глава Threat Intelligence, сооснователь Group-IB. — В худшем случае хактивисты могут перенаправить свои усилия с DDoS или взлома плохо защищенных веб-сайтов на критическую инфраструктуру».

КиберугрозыБезопасность

Темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 10/2017], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Даже если электронная запись не работает, всегда найдется возможность пройти вакцинацию.
Как бизнес и учебные заведения адаптируют образование к новым реалиям экономики?
Попробуйте представить ощущения, когда ты занимаешься, вроде бы, прорывными вещами, а тебе объясняют "это, парень, тенденция вчерашнего дня".
Возникает понятное желание поразбираться, иногда на это нужны несколько лет.

Компании сообщают

Мероприятия