Тренды угроз в 2023 г.: мир VS Россия
Последствия атак. Общая статистика
Целевые атаки за первые три квартала 2023 г. составили 73% от всех атак (как на организации, так и на частных лиц), что на 5 п. п. выше показателей прошлого года. Последствия носили разнообразный характер: успешные кибератаки затрагивали предприятия и малого, и крупного бизнеса, оказывали влияние на города и округа. Наиболее частые последствия атак — получение злоумышленниками конфиденциальной информации (58%) и нарушение основной деятельности организаций (41%). Основным типом украденных данных для организаций за три квартала 2023 г. стали персональные данные (43%). При этом стоит отметить, что при краже данных у частных лиц персональные данные заняли только второе место (27%), уступив учетным данным (38%). В целом статистика выглядит следующим образом: персональные данные (43%), учетные данные (16%), коммерческая тайна (13%).
Влияние геополитической ситуации на киберпространство
Киберпреступность и атаки на КИИ становятся одними из главных факторов в современных военных конфликтах. 2023 г. ознаменовался ухудшением мировой геополитической ситуации, что привело к продолжению влияния политических событий на ландшафт киберугроз. Эти факторы оказали воздействие как на тренды 2023 г., так и на прогнозы.
В условиях напряженной геополитической обстановки угроза атак со стороны хактивистов выросла как никогда раньше. Излюбленными способами их атак являются массированные DDoS-атаки и дефейс сайтов, однако наблюдается рост и других методов: так, хакеры успешно проэксплуатировали уязвимость в приложении Red Alert. Необходимо быть готовым к их атакам — использовать межсетевые экраны (WAF), выполнять мониторинг трафика для выявления аномалий, применять сервисы для защиты от DDoS-атак и оперативно исправлять выявленные уязвимости. Кроме того, некоторые организации уже активно внедряют такие технологии, как ИИ, для улучшения системы защиты.
Российские организации, особенно КИИ, подвергались массированным кибератакам, которые в ряде случаев приводили к реализации недопустимых событий, о чем в том числе заявило МИД РФ. Российские СМИ с начала СВО также попадали в зону внимания злоумышленников — например, сервисы медиахолдинга ВГТРК подверглись DDoS-атаке во время трансляции 21 февраля послания президента России Владимира Путина Федеральному собранию. На основании этого опыта многие страны уже предпринимают меры к усилению киберзащиты критической инфраструктуры от массированных кибератак. В России также делают шаги в этом направлении — например, была выдвинута инициатива по созданию кибервойск, которую поддержал глава Минцифры Максут Шадаев.
Отдельно хочется отметить, что для достижения своих целей в военных конфликтах страны берут на вооружение шпионское ПО, рост которого мы также отметили в 2023 г. Так, Bloomberg утверждает, что службы безопасности Израиля привлекают компании, в том числе производителя шпионского программного обеспечения Pegasus, для помощи в отслеживании заложников в секторе Газа.
Использование ВПО — рост использования программ-шпионов
По сравнению с 2022 г. в 2023-м не было существенного всплеска или спада использования различных методов атак — все показатели остались на одном уровне. Более чем в половине (56%) инцидентов методом атаки было использование ВПО. При этом в каждой второй подобной атаке применялись шифровальщики, что на 4 п. п. выше подобного показателя прошлого года. ВПО для удаленного управления, напротив, стало менее популярным у злоумышленников — доля его использования составила 22%, что на 5 п. п. меньше показателя прошлого года. Основным каналом распространения ВПО стала электронная почта (46%).
Шпионское ПО стало одним из трендов 2023 г. Его использование в качестве метода атаки выросло с 18% в 2022 г. до 27% за первые три квартала 2023-го. Во втором квартале специалистам PT Expert Security Center удалось обнаружить новый легковесный стилер, написанный на Go и предназначенный для поиска (по расширениям) и отправки на командный сервер файлов из домашнего каталога и локальных дисков, а также содержимого буфера обмена и снимков экрана. Еще один пример: шпионское ПО, имитирующее клиент ChatGPT для Windows, распространяется в виде zip-архива, содержащего файл ChatGPT For Windows Setup 1.0.0.exe. В процессе установки вредоносное ПО работает в фоновом режиме и начинает извлекать сохраненные учетные данные из папки данных для входа в Google Chrome. ChatGPT не выпускала официальный клиент для компьютеров, но эта фейковая версия выглядит очень убедительно. Такое распространение шпионского ПО можно объяснить тенденцией роста денежных выкупов, например, за неразглашение похищенной информации. Вместе с этим наблюдается рост числа атак вымогателей.
Доля программ-шпионов среди всего вредоносного ПО, используемого в атаках на российские организации, составила 45%, при этом шифровальщики составили лишь 27%, что отличается от цифр по всему миру. Это обусловлено несколькими факторами. Во-первых, уровень кибербезопасности российских организаций растет, что помогает эффективно пресекать атаки шифровальщиков. Во-вторых, этот рост спровоцировала сложная геополитическая ситуация. Так, например, ФСБ совместно с ФСО России вскрыла разведывательную акцию американских спецслужб, проведенную с использованием мобильных устройств Apple при помощи неизвестного вредоносного ПО, использующего предусмотренные производителем программные уязвимости. Данной атаке подверглась в том числе одна из ведущих российских компаний по кибербезопасности.
Рост активности вымогателей
Рост атак вымогателей наблюдался во всех рассматриваемых отраслях. В 2023 г. вымогательство в киберпространстве прошло путь от требования выкупа за расшифровку данных до шифрования и шантажа публикацией украденных данных (двойное вымогательство). Данный тренд прослеживается в связи с тем, что организации начали внедрять более комплексные меры защиты, что, с точки зрения злоумышленников, делает атаки шифровальщиков не такими эффективными, как раньше. Кроме того, отказ от этапа шифрования и переход к вымогательству через угрозы публикации украденных данных также могут быть обусловлены выпуском специалистами безопасности различных дешифраторов. Все вышеперечисленное привело к тенденции отказа от этапа шифрования и переходу к использованию похищенной конфиденциальной информации в качестве основного инструмента давления на жертв. По данным ресурса https://ransomwhe.re/, сумма выплат на момент написания этого материала составила более 1 млн долл. США.
В третьем квартале 2023 г. наблюдался рост количества заплаченных злоумышленникам выкупов. Так, например, в середине сентября одна из крупнейших компаний в сфере гостиничного и развлекательного бизнеса Caesars Entertainment понесла финансовые потери, оцениваемые в 15 млн долл., в результате кибератаки. Компания согласилась выплатить выкуп вымогателям, которые угрожали опубликовать украденную базу данных клиентов, используемую для программы лояльности.
Атаки на системы защищенной передачи данных
Одним из наиболее знаковых трендов 2023 г. стали атаки на системы защищенной передачи данных. В первом квартале группа вымогателей Cl0p отметилась масштабной серией взломов организаций через уязвимость нулевого дня в GoAnywhere MFT (CVE-2023-0669). Во втором квартале им удалось успешно проэксплуатировать найденную уязвимость (CVE-2023-34362), которая заключается во внедрении вредоносного SQL-кода в программное обеспечение MOVEit Transfer, продукта компании Progress Software, предназначенного для управления передачей файлов. На данный момент группировка может заработать до 100 млн долл., средний размер выкупа увеличился. В третьем квартале появилась новая уязвимость в решении того же разработчика, что, скорее всего, приведет к новой волне атак.
Стоит отметить, что под угрозой находятся и другие ИТ-решения. Так, в третьем квартале обнаруживались новые уязвимости решений для передачи информации. Например, в сентябре исследователи Rapid7 обнаружили несколько уязвимостей в системах управляемой передачи файлов Titan MFT и Titan SFTP компании South River Technologies. Активной эксплуатации найденных недостатков удалось избежать благодаря координированному раскрытию обнаруженных уязвимостей.
Эволюция социальной инженерии
Социальная инженерия занимает второе место по популярности среди методов атак и встречается практически в каждой второй атаке (49%). Основным каналом социальной инженерии среди организаций была электронная почта (81%); частные лица подвергались таким атакам в основном через сайты (53%). 2023 г. охарактеризовался эволюцией методов социальной инженерии: усложнением техник и использованием нейросетей. Злоумышленники преследовали две основные цели: повышение убедительности и обход систем автоматического распознавания. В арсенале мошенников встречались как модульные инструменты для создания убедительных фишинговых сайтов и переписок, так и многоэтапные атаки: в них злоумышленники добивались преступной цели за несколько шагов, применяя совместно различные методы обмана. Кроме того, ИИ помогал злоумышленникам поддерживать иллюзию осмысленного диалога с жертвой, генерировать убедительные фишинговые письма, создавать дипфейки голосов, изображений и видео. Житель города Кожикоде в индийском штате Керала потерял 40 000 фунтов стерлингов, после того как киберпреступники использовали технологию дипфейка: представились бывшим коллегой во время видеозвонка в WhatsApp и попросили денег на операцию его сестры.
Стоит отметить и использование скрытого фишинга: в первом квартале были отмечены атаки, в которых применялись фишинговые QR-коды для обхода спам-фильтров. В третьем квартале эксперты отметили, что для обхода систем защиты электронной почты киберпреступники все чаще используют вложения, имеющие расширение .pdf. Злоумышленники встраивают в документы вредоносные ссылки либо QR-коды. Кроме того, в августе JPCERT/CC сообщили о новой технике MalDoc, используемой для обхода обнаружения системами защиты с помощью встраивания вредоносных Word-файлов в PDF-файлы. Такие файлы имеют расширение .pdf, однако открываются в текстовом редакторе Word, вызывая срабатывание вредоносных макросов.
Тема ИИ стала популярной не только в разрезе усложнения техник социальной инженерии, но и как тема для фишинга. Так, например, в первом квартале 2023 г. была выявлена новая фишинговая кампания, в которой используется копия платформы ChatGPT для обмана инвесторов. Мошенничество начинается с электронного письма, содержащего ссылку, которая направляет пользователей на фейковую версию ChatGPT. Цель — убедить пользователя в том, что он может зарабатывать до 10 000 долл. в месяц на фейковой платформе ChatGPT, и вынудить его ввести свои персональные данные, чтобы похитить деньги, которые якобы должны стать стартовой инвестицией.
Проблема дипфейков стала подниматься на государственном уровне
Согласно внутренним данным Sumsub, в первой половине 2023 г. во всем мире наблюдалась значительная вспышка случаев дипфейков по сравнению со второй половиной 2022 г. Количество дипфейков выросло на 84% в Великобритании, на 250% в США, более чем на 300% в Германии и Италии и на 500% во Франции. Кроме того, согласно результатам опроса, представленным генеральным директором и соучредителем ID R&D Алексеем Хитровым на вебинаре Biometric Update, 42% компаний или их клиентов уже сталкивались с дипфейковыми атаками. Так, в мае 2023 г. неизвестный злоумышленник атаковал компанию, используя синтетические визуальные и аудиотехнологии, чтобы выдать себя за ее генерального директора. С менеджером продуктовой линейки компании связались через WhatsApp и пригласили на интерактивный звонок с отправителем, назвавшимся генеральным директором компании. Голос звучал как голос генерального директора, а использованное изображение и фон, вероятно, соответствовали существующему изображению, сделанному несколько лет назад, и фону дома, принадлежащего генеральному директору.
Дипфейки в 2023 г. все чаще становились инструментом пропаганды на фоне сложной геополитической обстановки. Например, летом 2023 г. были взломаны несколько российских телеканалов и радиостанций и в эфире показано якобы видео президента России Владимира Путина. Дипфейк объявил военное положение и сообщил, что украинская армия вторглась в Россию. Позже власти заявили, что некоторые телеканалы и радиостанции были взломаны, из-за чего дипфейк смог попасть в национальный эфир. В ноябре 2023 г. среди пользователей социальных сетей распространилось видео, в котором Белла Хадид извиняется за прошлые высказывания и говорит, что поддерживает Израиль после нападения боевиков ХАМАС 7 октября. Однако это дипфейк, злоумышленники использовали текст речи, которую модель произнесла в 2016 году о своей борьбе с болезнью Лайма.
Растущее использование дипфейков вызвало обеспокоенность по поводу необходимости более прочных правовых рамок для решения таких проблем, как конфиденциальность, защита данных и киберпреступность. В ответ на вирусное дипфейковое видео с участием популярной индийской актрисы Рашмики Манданны правительство Индии указало на правовые положения, регулирующие такие дипфейки, и связанные с ними наказания.
В США Агентство национальной безопасности (АНБ) при участии Федерального бюро расследований (ФБР) и Агентство кибербезопасности и безопасности инфраструктуры (CISA) выпустили совместный информационный бюллетень по кибербезопасности (CSI) «Контекстуализация дипфейковых угроз для организаций», чтобы помочь организациям выявлять дипфейковые угрозы, защищаться от них и реагировать на их появление. CSI советует организациям рассмотреть возможность внедрения ряда технологий для обнаружения дипфейков и определения происхождения мультимедиа. К ним относятся возможности проверки в реальном времени, а также методы пассивного обнаружения и защиты высокоприоритетных должностных лиц и их коммуникаций. Кроме того, руководство содержит ряд рекомендаций по минимизации воздействия дипфейков, включая обмен информацией, планирование и отработку мер реагирования на попытки атак, а также обучение персонала.
Атаки на пользователей: социальная инженерия — снова метод № 1
15% всех успешных атак за первые три квартала 2023 г. были направлены на частных лиц, что на 2 п. п. ниже показателя прошлого года (17%1). В 2023 г. социальная инженерия стала методом № 1 при атаках на частных лиц (91%), что сопоставимо с показателями прошлого года. Как и прогнозировалось, техники социальной инженерии постоянно эволюционируют, в том числе при помощи искусственного интеллекта, что привело к более результативным фишинговым атакам.
В 2023 г. частные лица подвергались атакам с использованием ВПО чаще, чем в 2022-м (59% и 53% соответственно). При этом по сравнению с 2022 г. наблюдалась тенденция снижения использования шпионского ПО (на 13 п. п., 44%). Использование же ВПО для удаленного управления (30%) в 2023 г., наоборот, обрело бо́льшую популярность у злоумышленников при атаке на частных лиц по сравнению с 2022 г. Стоит отметить рост доли социальных сетей в качестве канала распространения вредоносного программного обеспечения: в 2023 г. она составила 14%, в то время как в 2022-м показатель был на уровне 9%.
Хотя на данный момент лидером по распространению ВПО и социальной инженерии являются сайты (44% и 57% соответственно), растущая у пользователей популярность мессенджеров и социальных сетей сделает эти каналы более привлекательными для злоумышленников.
62% атак на частных лиц привели к краже конфиденциальных данных. В 2023 г. у пользователей больше всего утекали учетные данные (38%), что приводило к компрометации аккаунтов на различных сервисах. Персональные данные (27%) и данные платежных карт (14%), как и в прошлом году, вошли в топ-3 наиболее скомпрометированных данных.
В следующем году ожидается продолжение эволюции методов социальной инженерии, а также развитие тренда, связанного с двойным вымогательством, — когда злоумышленники требуют выкуп не только у скомпрометированной компании, но и у частных лиц, данные которых утекли.
- Общемировые данные, основанные на собственной экспертизе компании, результатах расследований, а также на данных авторитетных источников.