Оглядываясь на уходящий 2016 год, эксперты заключили, что предсказания прошлого года в той или иной мере сбылись, а некоторые тенденции развились даже раньше, чем предполагалось. Кроме того, специалисты «Лаборатории Касперского» сделали шесть неочевидных выводов из событий информационной безопасности в уходящем году, а также рассмотрели самые опасные угрозы 2016 года.

Звание самой опасной угрозы 2016 года по праву заслужили вредоносные программы-вымогатели. Появилось больше новых семейств, модификаций, атак и жертв. За год обнаружено 62 новых семейства вымогателей, а за три квартала текущего года количество модификаций увеличилось в 11 раз. Наиболее атакуемыми странами стали Япония, Италия и Хорватия. Пальму первенства среди вымогательского ПО держали CTB-Locker, Locky и TeslaCrypt.

Другими «звездами» ландшафта киберугроз стали целевые кибершпионские атаки, кражи средств у банков, «хактивизм» и угрозы, исходящие от IoT-устройств.

Среди выводов из 2016 года специалисты «Лаборатории» выделили следующие основные:

Масштабы киберпреступного мира растут

В мае была обнаружена крупная торговая площадка для киберпреступников — xDedic, через которую злоумышленники продавали и покупали учетные данные скомпрометированных серверов. Всего для продажи были доступны данные 70 тыс. (по некоторым данным, 176 тыс.) серверов организаций, даже не подозревавших о проблеме. Хотя xDedic — не первый подпольный маркетплейс, это свидетельство зрелости и сложности экосистемы Дарквеба.

Атаки на SWIFT — новый виток развития финансовых угроз

Атака, вызвавшая озабоченность участников мировой финансовой отрасли в 2016 году, — это атака на систему межбанковских переводов SWIFT. В течение года миллионы долларов были выведены из банков на теневые счета. Взломанные учетные записи SWIFT сотрудников Центробанка Бангладеш позволили подделать платежные поручения и инициировать нелегитимные переводы на огромные суммы из банка в банк. Из Центробанка Бангладеш были таким образом похищены более $80 млн, и только замеченная сотрудником банка-корреспондента опечатка позволила пресечь дальнейший вывод средств. Представители SWIFT заявили, что инфраструктура системы взломана не была и вина целиком и полностью лежит на сотрудниках Центробанка Бангладеш, которые не смогли должным образом обеспечить безопасность учетных данных. В последующие месяцы атаки посредством SWIFT продолжились.

Критическая инфраструктура становится общей головной болью

Последствия произошедшей в конце 2015 года атаки BlackEnergy на энергетическую инфраструктуру Украины стали ощущаться лишь в начале 2016 года. Атака нанесла масштабный ущерб, который выразился в отключении систем распределения электроэнергии на Западной Украине, удалении ПО с зараженных компьютеров и DDoS-атаке на службы техподдержки атакованных компаний.

Этот инцидент наряду с атакой Stuxnet напомнил, насколько незащищенными являются системы критической инфраструктуры, в основном спроектированные во времена, когда кибератаки на подобные объекты были немыслимы. В условиях нарастающей геополитической нестабильности безопасность критической инфраструктуры привлекла внимание представителей отрасли и государства, в том числе и в России, где, согласно обновленной ИБ-доктрине, безопасность критической инфраструктуры является приоритетным направлением деятельности.

APT-группировки начинают мыслить нешаблонно

Обнаруженная в 2016 году APT-группировка ProjectSauron, нацеленная на Россию, Иран и Руанду, продемонстрировала любопытную особенность: она перенимает наиболее инновационные методы, примененные в других крупных APT-кампаниях, и совершенствует их тактику, чтобы избежать обнаружения. Кроме того, весь инструментарий атак «затачивается» под каждую отдельную жертву, что затрудняет определение индикаторов компрометации и атрибуцию атаки.

Данные на службе хактивистов и киберпреступников

В 2016 году несколько киберпреступных групп выложили в Интернет дампы краденых баз данных. Наиболее известная утечка данных была организована группировкой, называющей себя ShadowBrokers, — она выложила в открытый доступ набор эксплойтов и файлов, принадлежащий одной из самых влиятельных APT-группировок Equation Group, под личиной которой, как предполагают, ведет деятельность АНБ. Долгосрочные последствия всей этой активности неизвестны, но подобные случаи утечки данных потенциально могут оказывать огромное и вызывающее тревогу влияние на общественное мнение и идущие в обществе дискуссии, а также нанести больше вреда, чем пользы: файлами ShadowBrokers успешно воспользовались киберпреступники всех мастей.

Для пользователей год также не задался: в 2016 году утечки коснулись популярнейших онлайн-сервисов, включая beautifulpeople.com, Tumblr, MySpace, VK.com, Yahoo, Mail.ru, GitHub, Twitter и многих других. Злоумышленники были движимы самыми разными мотивами — от жажды наживы до желания очернить репутацию конкретных личностей.

Интернет вещей = Интернет угроз

Предрекаемые аналитиками в прошлом году проблемы, связанные с низким уровнем безопасности IoT в 2016 году, воплотились в жизнь. Системы умных домов, умных городов, а также носимые и медицинские устройства, подключаемые к Интернету, проектируются и производятся без особого внимания к безопасности. Пользователи в свою очередь не до конца осознают, что IoT-устройства тоже подвержены угрозам, как компьютеры или смартфоны, и поэтому легкомысленно относятся к потенциальным угрозам.

В октябре киберзлоумышленники использовали IoT-ботнет, состоящий из более чем полумиллиона роутеров и камер наблюдения, зараженных зловредом Mirai, для DDoS-атаки на Dyn — компанию, предоставляющую DNS-сервис корпорациям Twitter, Amazon, PayPal, Netflix и другим. Кроме того, продолжительные и мощные атаки могут создать проблемы с подключением к Интернету для крупнейших операторов, регионов и целых стран, а организация таких атак доступна даже новичкам киберпреступного мира.

Другие выводы 2016 года

Главной мишенью атак в этом году стали россияне (42%), хотя в прошлом году самой атакуемой страной был Казахстан, переместившийся теперь на второе место. Главным источником интернет-атак, как и прошлом году, стали США (29,1%).

Есть и неплохие новости. Так как любое действие порождает противодействие, бурное развитие вымогателей получило отпор в лице не так давно появившейся инициативы No More Ransom, которая привлекает в свои ряды новые страны и организации и помогла уже тысячам жертв. Кроме того, в 2016 году снизилось количество вредоносных ссылок (с 313 млн до 262 млн) и интернет-атак (с 798 млн до 758 млн), а также процент пользователей, хотя бы раз столкнувшихся с кибератакой (с 36,6 до 31,9%).

Среди других выводов о состоянии дел в мире кибербезопасности эксперты обозначили, что APT-группировки по всему миру продолжали активно пользоваться тем, что многие не устанавливают обновления ПО сразу, как только они становятся доступны. При этом сливы инструментариев для APT-атак нередко содержали ценные уязвимости нулевого дня, чем не преминули воспользоваться многие злоумышленники.

Одна из APT-группировок, стоявшая за кампанией Metel, решила использовать свои методы не для шпионажа и кражи данных, а для хищения денежных средств. Проникая в инфраструктуру банков, злоумышленники автоматизировали откат операций, проводимых через банкоматы. После этого члены банды с помощью дебетовых карт неоднократно крали средства из банкоматов, оставляя при этом баланс карт неизменным.

Атаки на финансовые учреждения и кража средств со счетов также стали популярным трендом 2016 года. Продукты «Лаборатории Касперского» блокировали попытки запустить соответственное вредоносное ПО на 2 871 965 устройствах, причем среди данных устройств вчетверо за год увеличилась доля Android-девайсов. Количество семейств зловредов, ориентированных на банки и торговлю, увеличилось на 20% по сравнению с 2015 годом, появилось восемь новых семейств. Среди стран, чьи жители наиболее часто становились жертвами банкеров, лидируют Россия, Бразилия и Турция. Среди банковских угроз уверенно растет доля вредоносных программ для Android — в 2016 году доля подобных атак составила 36% от общего количества (в сравнении с 8% в прошлом году).

Основными мобильными угрозами в 2016 году были рекламные троянцы, способные получить на зараженном Android-устройстве привилегии суперпользователя (root-доступ), то есть уровень доступа, позволяющий им делать практически все что угодно. Многие из подобных троянских программ распространялись через Google Play Store: некоторые из них были установлены более 100 тыс. раз, а одна — зараженное руководство к игре Pokemon GO — более 500 тыс. раз. Некоторые троянцы, включая Svpeng, использовали для своего распространения рекламную сеть Google AdSense. Ряд зловредов обходят механизмы безопасности Android, устанавливая окна поверх уведомлений и блокируя устройство, таким образом вынуждая пользователя дать зловреду права суперпользователя.

В 2016 году стало ясно, что самым слабым звеном с точки зрения кибербезопасности остаются люди. Это могут быть как беспечные сотрудники, клюющие на удочку преступников, так и инсайдеры, помогающие подорвать безопасность изнутри. Например, группировка Dropping Elephant с помощью эффективных методов социальной инженерии в сочетании со старыми эксплойтами и несколькими вредоносными программами на базе PowerShell успешно крала секретные данные у влиятельных организаций, связанных с внешнеполитическими отношениями Китая.

Компании должны не отставать от киберпреступников

В 2016 году исследования показали, что компании все еще тратят слишком много времени на реагирование на инциденты. Большинству компаний для обнаружения инцидента требуется несколько дней — в этом признались 28,7% респондентов. При этом только 8,2% компаний могут обнаруживать нарушение безопасности почти немедленно, а 19,1% вообще тратят на это несколько недель. Но чем дольше инцидент безопасности остается нераскрытым, тем выше затраты на ликвидацию его последствий и тем серьезнее потенциальный ущерб. Результаты исследования шокируют: если атака не обнаружена в течение нескольких дней, это приводит как минимум к удвоению затрат.

В случае крупных предприятий атака, которая не была обнаружена в течение недели или более длительного срока, требует в 2,77 раза более высоких затрат, чем инцидент, обнаруженный почти мгновенно. Малым и средним компаниям приходится тратить в 3,8 раза больше на ликвидацию последствий инцидентов, обнаруженных слишком поздно.

Категории: Аналитика, Вредоносные программы, Главное, Кибероборона, Уязвимости, Хакеры