В 2017 году вирусы – «шифровальщики» атаковали миллионы компьютеров во всем мире. Group-IB – компания, которая специализируется на предотвращении и расследовании киберпреступлений, включила эти случаи в ежегодный аналитический отчет, как самые яркие примеры кибератак последнего времени. Мы решили изучить представленный документ, чтобы понять, какие кибернетические угрозы сегодня являются основными и на что следует обращать внимание тем, чья работа связана компьютерами и их безопасностью.
Вымогатели – угроза №1
В этом году по миру продолжили свое триумфальное шествие вирусы-«шифровальщики». Авторы отчета Group-IB отмечают, что хакеры использовали инструментарий самораспространения вируса в локальных сетях, разработанный американскими спецслужбами. Это привело к глобальным эпидемиям, самые известные из которых WannaCry и NotPetya.
Специалисты связали атаку WannaCry с Lazarus, группой государственных хакеров из Северной Кореи, а атаки NotPetya – с Black Energy, группой киберпреступников операции которой, по информации Лаборатории Касперского «демонстрируют выдающиеся навыки, а также способности в кибершпионаже и саботаже производства».
В Group-IB считают, что целью атаки WannaCry были конкретные объекты, чью работоспособность было необходимо нарушить, а все остальные жертвы стали случайными. Пострадали только те компании, у которых необновлённые версии операционных систем были подключены напрямую к интернету. В случае с NotPetya атака была направлена на компании, использующие программное обеспечение украинского разработчика системы документооборота «M.E.Doc».
Истории с этими вирусами продемонстрировали успешный алгоритм действий, который позволит создавать новые вирусы – «шифровальщики» для атаки на корпоративные сети, уверены авторы отчета.
Новые технологии атак
Хакеры постоянно совершенствуют инструментарий для проведения атак. Актуальным трендом последнего времени стали «бестелесные» вредоносные программы. Они работают только в оперативной памяти компьютера и уничтожаются после перезагрузки. А значит, не оставляют следов.
Вирусы активно уходят в мобильные телефоны, которые сегодня активно используются для проведения банковских платежей. Вирусы научились перехватывать SMS, которые банк направляет клиентам для авторизации в личном кабинете. С помощью этой технологии уводятся личные средства пользователей. Ущерб от хищений с помощью «троянских» вирусов для операционной системы Android в России уже превысил ущерб от вирусов для персональных компьютеров.
В отчете также отмечается, что развитие получает сервисность хакерских услуг. Злоумышленники предлагают услуги разработанных ими специальных «фишинговых» сайтов, различного программного обеспечения для проведения коллективных и индивидуальных атак.
Этому способствует появление на открытом рынке специального программного обеспечения, разработанного в прошлом при участии специальных служб.
Энергетика – цель будущего
Одним из самых известных вирусов, разработанных для атак на энергетическую инфраструктуру, стал Stuxnet. В 2010 году этот «червь» попал в компьютеры, управляющие центрифугами для обогащения урана в Иране, увеличил скорость их вращения до критической и привел к поломкам.
Повторить этот «успех» сумел вирус BlackEnergy 3, который в 2015 году вызвал перегрузки электросетей Украины. В последнее время методы авторов этого вируса позволяют управлять компьютерами, которые отвечают за физическое размыкание и замыкание энергосети. Похожие атаки на энергокомпании Великобритании и Ирландии были зафиксированы летом 2017 года.
Учитывая, что энергетика движется к внедрению парадигмы «интернета энергии» – глобальной взаимосвязанной сети потребителей и производителей энергии, хакерские атаки могут быть критическим фактором при функционировании таких сетей.
Банки – источник не только денег
Также целью хакеров становятся объекты финансовой инфраструктуры. Главной опасностью для банков является даже не воровство денег, а разрушение их IT -инфраструктуры, отмечают в Group-IB.
IT-службы банков, как правило, хорошо осведомлены о хакерских техниках, но способы обхода защиты существуют всегда. Одной из самых распространенных «лазеек» сегодня является использование сотрудниками личной почты на своих рабочих местах. Для атак хакеры собирают адреса личных «мейлов» сотрудников, чтобы в рабочие часы отправлять им письма с вредоносными вложениями. Другими распространенными объектами для атак стали банкоматы и центры обработки данных операций по банковским картам. «Куш» для хакеров здесь ниже, но уровень безопасности при выводе украденных таким образом средств выше.
Опасность хакеров для финансовых учреждений связывают не только с разрушением инфраструктуры, кражей средств, но и с похищением финансовой информации, которая в дальнейшем может быть использована как компромат. Как отмечается в отчете, последнее особенно актуально для стран, выдвигающих взаимные обвинения о нападении в киберпространстве – диверсии могут использоваться как ответная мера.
Считается, что особенную активность в атаках на банковские системы проявляет группа хакеров Lazarus, предположительно связанную с Северной Кореей. Одной из наиболее крупных операций стала попытка похищения более 1 млрд долл из Центрального банка Бангладеш. А вот интерес к российским банкам, по данным исследования, падает. Основные преступные группы, ранее атаковавшие их, постепенно переключили свое внимание на другие страны и регионы: США, Европа, Латинская Америка, Азия и Ближний Восток.
Криптохакинг
Ажиотаж вокруг криптовалют, блокчейна и ICO, сравнимый с временами «золотой лихорадки», вызвал повышенное внимание со стороны киберпреступников. В 2017 году произошла целая серия успешных атак на криптовалютные сервисы и их пользователей. Взломы криптовалютных бирж проводятся по той же схеме, что и целенаправленные атаки на банки. Злоумышленники получают SIM-карты по поддельным документам для восстановления паролей и берут под контроль счета в криптовалютных сервисах.
Способов взлома криптокошельков разработано уже очень много. По прогнозам Group-IB из-за более простой схемы отмывания украденных денег некоторые группы, специализирующиеся на целенаправленных атаках на банки и платежные системы, переключат свое внимание на биржи криптовалют.
Прогнозы развития киберугроз и рекомендации по методам защиты
Анализируя тренды и активность хакеров в текущем году, эксперты Group-IB прогнозируют рост числа преступлений, связанный с финансовым сектором. В первую очередь, он будет связан с атаками на телефоны пользователей банковских услуг и корпоративные компьютерные сети. Часто в арсенале пользователей даже нет инструментария для защиты от подобных атак, так как они проводятся с помощью удаленных хранилищ данных, без необходимости активных действий со стороны пользователя при использовании почтовых сервисов.
В этой ситуации особенно важным остается соблюдение принципов цифровой гигиены – минимальное использование личных данных при контактах в интернете. Тщательный контроль данных при переходе и авторизации на интернет-ресурсах, особенно связанных с финансами.
В случае соблюдения общеизвестных рекомендаций, таких, как регулярное обновление операционных систем, использование антивирусных программ и двухфакторной аутентификации на максимальном количестве сервисов, риск стать жертвой атаки также снижается.
Что касается хакерских групп, состоящих на службе у государств, то защита от их действий становится непременным условием для дальнейшего функционирования критически важных инфраструктурных систем. Основные рекомендации экспертов Group-IB связаны с техническими нюансами противодействия внедрению «шифровальщиков», «вымогателей» и «фишинговых ссылок». Но, вместе с тем, стоит понимать, что в случае, если вы работаете в одной из организаций, которая может стать потенциальной жертвой хакеров, соблюдение принципов цифровой гигиены важно и здесь. Это позволит сохранить не только корпоративные данные, но и безопасность большого количества людей.
