Cisco Talos Incident: в 2022 г. угроз в сфере кибербезопасности меньше не станет
Группа Cisco Talos Incident Response (CTIR - подразделение по борьбе с киберугрозами Cisco) в своем отчете обрисовала актуальные тренды в сфере информационной безопасности. В прошедшем 2021 г. рынок потрясли несколько крупных ИБ-инцидентов, затронувшие компании по всему миру. Резко выросло число и разнообразие вирусов-вымогателей. И все это – на фоне продолжающейся пандемии COVID-19 и связанных с ней специфичных проблем. В наступившем 2022 г. работы у специалистов в сфере ИБ не станет меньше.
Основные инциденты в сфере ИБ, с которыми пришлось столкнуться экспертам подразделения в прошлом году, перечислены в официальном блоге Talos Intelligence.
Первый из них произошел в декабре 2020 г. Он представлял собой сложную атаку по цепочке поставок, в ходе которой хакеры получили доступ к сетям большого числа крупных предприятий и правительственных учреждений США с помощью троянских обновлений ПО SolarWinds Orion.
Второй случился в декабре 2021 г., когда криптохакеры начали сканировать и использовать критическую уязвимость удаленного выполнения кода в популярной библиотеке Apache Foundation Log4j.
Третий крупный инцидент - атака хакерской группировки REvil на ПО поставщика ИТ-решений компанию Kaseya. Затронувшая, как минимум, 1500 компаний из 17-ти стран мира, эта атака считается одой из крупнейших в истории.
И четвертый инцидент, упоминаемый в блоге Talos Intelligence, случился в марте 2021 г. Группе Talos Incident Response пришлось реагировать на растущее число случаев, связанных с несколькими уязвимостями нулевого дня (zero day) сервера Microsoft Exchange. Как утверждают специалисты CTIR, именно эти уязвимости эксплуатируются до сих пор - инциденты, связанные с их поиском и использованием, наблюдались и текущей зимой. На клиентов CTIR они оказали наибольшее влияние, составив 35% процентов всех инцидентов, произошедших в начале весны.
Однако перечисленными событиями полный список крупных инцидентов 2021 г. не исчерпывается. Так, в мае группа вымогателей Darkside нацелилась на Colonial Pipeline. Эта угроза привела к закрытию трубопровода и паническим покупкам по всей территории США.
«В целом, достаточно сложно говорить о влиянии именно на российский рынок, так как мы живем не в изолированном пространстве, и для эффективной защиты от киберугроз необходимо про них знать и обновлять на основе этого знания свои системы защиты. Однако, атаки на цепочку поставок, которые произошли в самом конце 2020 – начале 2021 гг. в компании SolarWinds и в середине 2021 г. - в компании Kaseya, повлияли на наших регуляторов, которые включили данные риски в свои нормативные документы», - прокомментировал изданию IT News Алексей Лукацкий, бизнес-консультанта по безопасности Cisco.
Вымогательство, госорганы и здравоохранение – главные тренды
Главной целью киберпреступников в течение целого ряда лет была отрасль здравоохранения. Оставалась она таковой и в прошедшем году, после того как в самом конце 2020 г. на нее обрушилась целая волна атак. В CTIR связывают это с тем, что бюджеты на кибербезопасность у поставщиков медицинских услуг зачастую явно занижены. Исключением стал лишь осенний сезон 2021 г. – тогда главная цель вымогателей переместилась на местные органы власти.
В целом, пишут эксперты CTIR, прошедший год можно назвать годом доминирования программ-вымогателей. В течение всего 2020 г. и в начале 2021 г. основным семейством вирусов-шифровальщиков, используемым злоумышленниками, был Ryuk. Но в течение 2021 г. он начал постепенно уходить «с поля боя», как и другие гиганты среди хакерского ПО: Darkside, BlackMatter, REvil и Maze. В последнем полугодии атак с их использованием практически не наблюдалось. Последовавшего после этого широкое разнообразие вымогательского ПО компенсировалась его коротким сроком жизни – ни одна семья вирусов не наблюдалась более чем в одной атаке.
Еще одна важная тенденция в сфере угроз, наблюдаемая в прошедшем году - зависимость от коммерчески доступных инструментов, инструментов с открытым исходным кодом и двоичных файлов, работающих вне земли (living-off-the-land binaries, или LoLBins – тактика, подразумевающая использование легитимных программ и компонентов ОС для атак на пользователей Microsoft Windows).
«Российской специфики в области киберугроз, которые отличали бы нас от международного рынка, я почти не вижу, - продолжил Алексей Лукацкий. - Я не могу вспомнить об угрозах, которые бы были характерны для нас и не характерны для остальных стран мира. В этом и отличие угроз ИБ от остальных драйверов развития кибербезопасности – «нормативки» и бизнеса. Нормативные требования присущи либо конкретной стране, либо отрасли, а бизнес-требования так и вовсе применимы к отдельным компаниям и сложно реплицируемы. А вот угрозы универсальны. Поэтому именно они и являются основным драйверов продаж на рынке ИБ. Что касается пострадавших отраслей, то, по нашей статистике, в ТOP-5 входят госорганы, промышленность, финансовый сектор, ТЭК и наука/образование».
Одним из самых больших препятствий для обеспечения безопасности предприятий эксперты CTIR отсутствие многофакторной аутентификации (MFA). Если бы MFA был включен в критически важных службах, подавляющее большинство инцидентов с вирусами-вымогателями можно было бы предотвратить. Ввиду этого призывают организации внедрять MFA везде, где только это возможно.
Специалисты сферы ИБ без работы не останутся
Прогнозируя развитие событий на 2022 г., эксперты Talos Incident Response отметили, что нагрузка на специалистов в сфере ИБ, останется на уровне 2021 г. или даже вырастет, поскольку основные факторы, влияющие на нее, сохранятся.
Так, уязвимости Log4J вызвали широкое беспокойство как среди клиентов, так и в профессиональном сообществе. И спрогнозировать на 2022 г. увеличение числа связанных с этим инцидентов не составляет труда. Как отмечали многие эксперты рынка, этот инцидент имел далеко идущие последствия, основанные на широком использовании Log4J на предприятиях. Не исключено, что злоумышленники могут получить доступ к сетям жертв через Log4J, а затем месяцами бездействовать, проводя разведку и планируя последующие атаки. Вполне вероятно, что в наступившем году мы будем наблюдать инциденты, в которых Log4J был первоначальным «переносчиком».
Риски, связанные с цепочками поставок и третьими сторонами, по-прежнему будут представлять серьезную угрозу для безопасности предприятия.
Специалисты CTIR намереваются пристально следить за недавним возрождением опасного трояна Emotet и выявлять возможные новые его связи с операциями вымогателей.
И, наконец, противодействие угрозам программ-вымогателей составит и общегосударственный подход президента США Джо Байдена. Многие из инициатив, принятых Министерством финансов США, Министерством юстиции и другими ведомствами, будут иметь волновой долгосрочный эффект.
Эксперты также продолжат отслеживать изменения, которые произошли в ответ на недавнее преследование правоохранительными органами группировок REvil и других операторов программ-вымогателей, на подпольных форумах по киберпреступности. К ним могут относится появление и распространение новых противников, переговоры о выкупе и мониторинг групп вирусов-вымогателей с открытым исходным кодом.
А вот прогнозы относительно развития отечественного рынка кибербезопасности сегодня делать сложно, считает Алексей Лукацкий. Это касается и киберугроз. Можно предположить, говорит эксперт, что расти будут те сегменты рынка киберпреступности, которые дают больше выгод злоумышленникам при минимуме инвестиций с их стороны. Если продолжится тенденция на гибридную работу, то будет наблюдаться сильный тренд в сторону роста социального инжиниринга. «Мы также видим рост инцидентов в промышленности и здравоохранении», - резюмировал эксперт.