ESET: количество потенциальных векторов атак увеличилось
Пандемия вызвала новую волну цифровой трансформации во всем мире. И государственные учреждения не остались в стороне от этого процесса. Благодаря расширению цифровой инфруструктуры, в частности, созданию новых приложений и сервисов, удаленных рабочих мест и перехода в облачную среду, количество потенциальных векторов атак увеличилось.
Киберпреступники не могли не воспользоваться ситуацией с пандемией и увеличением количества сотрудников, которые получают доступ к корпоративным данным, а также к ИТ-инфраструктуре из дома. В частности, количество попыток RDP-атак, нацеленных на удаленных сотрудников, за 2020 год увеличилось на 768%. Кроме этого, киберпреступники активно использовали интерес к теме COVID-19, распространяя вредоносные приложения для отслеживания контактов больных на коронавирус или рассылая письма якобы от имени государственных учреждений с фальшивыми новостями о пандемии.
Например, группа киберпреступников XDSpy для заражения своих целей распространяла фишинговые письма с темой COVID-19. За прошедшие годы группа скомпрометировала много государственных структур, в том числе военных организаций, министерств иностранных дел и частных компаний в Восточной Европе и на Балканах.
Кроме этого, все более распространенными становятся кибератаки, целью которых является препятствие предоставлению услуг, похищение данных или компрометация стратегической национальной инфраструктуры. Среди наиболее известных инцидентов за последнее время — взлом SolarWinds Orion, несанкционированное использование Microsoft Exchange, атаки на инструмент мониторинга ИТ-инфраструктуры Centreon и на системы здравоохранения во Франции и Германии, а также увеличение количества атак на школы, университеты и образовательные ИТ-платформы.
Ожидается, что киберпреступники продолжат совершенствовать свои тактики, используя тему COVID-19 и нацеливаясь на распространенные программы.
Основными целями шпионских операций являются большие организации и государственные учреждения, такие как министерства иностранных дел, посольства и другие дипломатические представительства. Для похищения конфиденциальной информации у таких целей злоумышленники используют различные изощренные способы атак. Их общей особенностью является скрытая активность, которая позволяет оставаться незамеченными в сети жертвы как можно дольше.
Примером такой вредоносной программы является новый бэкдор Crutch для кражи документов, который принадлежит известной группе киберпреступников Turla. Исследователи ESET обнаружили Crutch в сети министерства иностранных дел одной из стран Европейского Союза. Кроме этого, APT-группа Turla использует и другие изощренные инструменты. Среди них — бесфайловые угрозы, например, загрузчик PowerShell с открытым исходным кодом для предотвращения обнаружения, а также вредоносная программа LightNeuron, нацелена на серверы Microsoft Exchange.
Еще одной опасной группой киберпреступников является Gamaredon, которая известна своими атаками на государственные учреждения в Украине. Эта группа добавляет вред оносные макросы в документы Microsoft Word и Excel, таким образом распространяя угрозы. Используя легитимные инструменты, которые применяются в государственных и бизнес-структурах, Gamaredon быстро находит доступные конфиденциальные данные и далее распространяется в сети.
Одной из самых опасных угроз для государственных учреждений является попадание в их сеть программ-вымогателей, которые шифруют важные данные и требуют большие суммы за их разблокировку.
В частности, в октябре 2020 года специалисты ESET в сотрудничестве с Microsoft и несколькими правоохранительными учреждениями, разоблачили ботнет Trickbot, с помощью которого злоумышленники не только похищали деньги с банковских счетов, но и заражали организации, разворачивая программу-вымогатель Ryuk и требуя выкуп.
Интересно, что, по данным телеметрии ESET, со снижением активности Trickbot количество выявленных образцов ботнета Emotet увеличивалось. Связь между этими двумя угрозами позволила обезвредить в январе 2021 года и Emotet в ходе масштабной операции Европола и ряда правоохранительных органов в Европе и Северной Америке.
Стоит отметить, что такие группы киберпреступников часто могут неделями или месяцами собирать информацию в зараженных системах и только после этого разворачивать программы-вымогатели. Некоторые киберпреступники таким образом пытаются получить прибыль, другие ставят себе цель подорвать доверие к государственным учреждениям в определенной стране.
Вмешательство в цепь поставок не является новой техникой. Однако цифровизация и выгоды от сотрудничества с сторонними поставщиками в свою очередь увеличили риск таких атак. В частности, недавно в центре внимания оказалась компрометация программного обеспечения SolarWinds Orion. Под угрозой оказались тысячи пользователей этой платформы, а злоумышленники и АРТ-группы получили возможности для широкомасштабной активности.
Кроме этого, исследователи ESET за последние несколько месяцев обнаружили несколько других атак на цепь поставок — от использования взломанных дополнительных инструментов безопасности для распространения вредоносного кода до атак на корпоративное программное обеспечение для чатов, от компрометации центра сертификации до заражения эмулятора Android.
Учитывая сложность выявления таких атак и их прибыльность для киберпреступников, их количество, вероятно, продолжит увеличиваться в ближайшее время во всем мире.
Переход на удаленный режим работы привел к росту рисков для всех работодателей, а следовательно, и государственных учреждений. При этом, в ближайшее время ситуация существенно не изменится, поскольку новый формат работы станет частью модели функционирования организаций даже после пандемии. Однако с точки зрения безопасности домашняя сеть чаще становится целью кибератак.
По предварительным подсчетам, 23% инцидентов кибербезопасности произошли из-за ошибок персонала. Злоумышленники часто пользуются интуитивным желанием пользователей быстро перейти по ссылке, которая выглядит как безопасная. Однако некоторые из крупнейших нарушений были вызваны действиями опытных ИТ-специалистов, в частности, из-за подключения персональных устройств сотрудников к корпоративным системам, неправильной настройки облачных систем и других ошибок.
Кроме этого, по данным отчета об Интернет-угрозах 2020 года, на 47% возросло количество сообщений об инцидентах, вызванных инсайдерами. Причиной многих таких инцидентов становятся не только человеческие ошибки, но и действия недовольных сотрудников. В частности, персонал может совершить кражу данных, нанести физический вред и удалить учетные записи с целью мести, личной прибыли или в интересах нового работодателя.
Из-за сложности атак трудно предсказать, какие уязвимости злоумышленники используют в следующий раз, с помощью каких инструментов и какими будут их цели. Однако учреждения уже сейчас могут подготовиться к современным векторам атак с помощью многоуровневой системы безопасности.
В частности, защитить от «0-дневных» угроз поможет облачная песочница, а полный обзор активности рабочих станций и своевременное реагирование на инциденты обеспечит EDR-решение. От утечек данных защитит решение для предотвращения потери данных, которое поможет выявлять подозрительные действия с конфиденциальной информацией. Кроме этого, важно также обеспечить регулярное обновление программного обеспечения, резервное копирование и защиту рабочих станций.
По итогам прошлого года одной из положительных тенденций в кибербезопасности, как и в борьбе с коронавирусом, является появление крепкого партнерства между государственными органами и частным сектором для решения актуальных проблем. Компания ESET понимает важность такого взаимодействия и готова сотрудничать с государственными органами для улучшения безопасности цифрового мира.