Статьи

Ландшафт загроз у 2021 році 

27 июня, 2022. 09:06 За матеріалами Oberig IT
Symantec, підрозділ Broadcom Software, розглядає тенденції в галузі кібербезпеки, що визначили 2021 рік. Від екосистеми ransomware, що розвивається, до атак на критичну інфраструктуру. Ransomware (програми-вимагачі) були, мабуть, найбільшою загрозою для організацій у 2021 році: деякі оператори ransomware пішли зі сцени, з’явилися нові, а бізнес-моделі та тактики були вдосконалені, щоб зробити цільові ransomware більш прибутковими, ніж будь-коли.

Однак ransomware були не єдиною загрозою. Атаки на ланцюжки поставок, збільшення кількості зловмисників, які використовують вразливості у загальнодоступних додатках, та атаки на критично важливу інфраструктуру також сформували ландшафт загроз у 2021 році.

Ransomware

Ransomware, а точніше, цільові ransomware були найпоширенішою загрозою, про яку писали заголовки газет протягом 2021 року. Банди, що займаються поширенням здирницького ПЗ, перейшли до нападів на організації з широкою мережею користувачів. До таких організацій входили великі розробники програмного забезпечення та організації, що займаються критично важливою інфраструктурою, як це видно на прикладі атак на Kaseya та Colonial Pipeline. Атаки на постачальників керованих послуг (MSP) дали зловмисникам потенційну можливість заразити тисячі жертв, скомпрометувавши лише одного з них.

Хоча, як і в попередні роки, загальна кількість ransomware атак, виявлених і блокованих Symantec в 2021 році, продовжує знижуватися, це не означає, що активність ransomware стає менш небезпечною.

Ця тенденція до зниження пояснюється значним зменшенням кількості відносно простих, невибіркових атак з використанням здирницького ПЗ, а також зміщенням уваги загроз на великі організації, де вони можуть викликати більше безладу і вимагати вищі суми викупу. Кількість таких цілеспрямованих атак з метою викупу зросла приблизно з 80 у січні 2020 року до більш ніж 200 у вересні 2021 року. 

symantec__1.____ransomware___2020____2021_

Малюнок 1. Кількість цільових атак ransomware з січня 2020 року до вересня 2021 року

Зростання числа цілеспрямованих атак з використанням здирницького ПЗ частково обумовлено двома відносно недавніми подіями: появою так званих брокерів первісного доступу (IAB) – суб’єктів загроз, які продають доступ до зламаних мереж тому, хто більше заплатить, що останнім часом стало метою банд здирників; а також зростанням популярності здирницького ПЗ як послуги (RaaS) – моделі, заснованої на підписці, яка дозволяє окремим особам або групам, відомим як партнери, використовувати у своїх атаках вже розроблені загрози здирницького ПЗ.

Модель RaaS значно збільшує кількість супротивників, з якими стикається організація, оскільки тепер кілька зловмисників намагаються доставити одне й те саме здирницьке ПЗ, використовуючи при цьому різні тактики, методи і процедури (TTP).

У зв’язку зі зростанням ринку RaaS партнери тепер мають можливість перейти на іншу програму викупу, якщо їхня поточна програма припинить роботу. Крім того, Symantec спостерігала, як зловмисники використовували два різні штами ransomware за дуже короткий проміжок часу, а в деяких випадках – під час однієї і тієї ж атаки. Це свідчить про те, що деякі партнери мають досить високу репутацію, щоб не укладати ексклюзивну угоду з одним оператором ransomware. Ботнети тепер також відіграють ключову роль в атаках ransomware, причому багато старих ботнетів для боротьби з фінансовими шахраями були перепрофільовані для поширення ransomware. У деяких випадках і за здирницьким ПЗ, і за ботнетом стоїть той самий загрозливий суб’єкт. Наприклад, Trickbot, як вважають, контролюється групою Miner (вона ж Wizard Spider), яка також пов’язана з програмами Ryuk та Conti ransomware.

Ще один підсумок року, що стосується здирницького ПЗ, – це атаки операторів на галузі, які найбільше постраждали від пандемії COVID-19. Яскравим прикладом цього стала атака на національну службу охорони здоров’я Ірландії, Health Service Executive, здійснена операторами програми-викупу Conti (вона Miner, Wizard Spider).

Минулого року інфраструктура програми-здирника REvil (вона ж Leafroller, Sodinokibi) була зламана правоохоронними органами, які отримали контроль принаймні над деякими серверами REvil. Однак, як і у разі попередніх спроб зупинити діяльність злочинної організації, REvil, швидше за все, знову з’явиться в тій чи іншій формі після останньої спроби знищення.

У 2021 році цільові групи, які займаються здирством, також почали загрожувати жертвам, щоб ті не ділилися подробицями атак зі ЗМІ або фірмами, які ведуть переговори про викуп. Угрупування Conti і Grief ransomware заявили, що опублікують вкрадені дані жертв або видалять ключі дешифрування, якщо стенограми або скріншоти переговорів про викуп будуть викладені у відкритий доступ. Приводом для таких заяв, ймовірно, стало зростання повідомлень у ЗМІ, що містять подробиці переговорів про викуп. Подібну тактику використовували й інші групи, включаючи Ragnar Locker та нову загрозу програми-здирника під назвою Yanluowang, яку виявила команда Threat Hunter Team компанії Symantec.

Атаки на ланцюги поставок

Атаки на ланцюги постачань програмного забезпечення, через їхню потенційну здатність порушити роботу великих секторів суспільного життя та бізнесу, як і раніше, викликають занепокоєння урядів і підприємств по всьому світу. Минулого року до заголовків газет потрапили дві значні атаки на ланцюги поставок: злом SolarWinds та атака Kaseya.

Хоча атака на SolarWinds відбулася наприкінці 2020 року, вона продовжувала викликати стурбованість і у 2021 році. Відповідальна за атаку група Nobelium (вона ж Hagensia), яку підтримує Росія, продовжує активно діяти. У вересні було виявлено нову загрозу бекдору (Tomiris), ймовірно, розроблену Nobelium. Ця шкідлива програма має подібність до шкідливої програми другого етапу SUNSHUTTLE, використаної Nobelium в атаці SolarWinds. Інший виявлений бекдор (FoggyWeb) також був пов’язаний із Nobelium. Шкідлива програма призначена для крадіжки конфіденційних даних із зламаних серверів Active Directory Federation Services (AD FS).

Атака на виробника програмного забезпечення для управління ІТ Kaseya, здійснена операторами програми-здирника REvil, торкнулася безлічі постачальників керованих послуг (MSP), що використовують програмне забезпечення компанії. Хоча Kaseya повідомила, що в результаті атаки постраждали близько 60 її клієнтів, ці клієнти були MSP з численними клієнтами. Очікувана кількість організацій, скомпрометованих в результаті атаки на ланцюги поставок, склала 1 500. Атака була проведена під час святкових вихідних 4 липня в США, ймовірно, у спробі зробити атаку непоміченою якомога довше через те, що багато працівників були у відпустці. Така тактика дедалі частіше використовується суб’єктами загроз.

Хоча атаки Kaseya та SolarWinds є найбільш значними, це далеко не єдині атаки на ланцюги поставок останнім часом. Згідно зі звітом Ресурсного центру крадіжки особистих даних (ITRC), кількість атак на ланцюги постачань зростає: у перші три квартали 2021 року від таких атак постраждало на 793 000 осіб більше, ніж за всі 12 місяців 2020 року.

Нові напрямки атак

Минулого року збільшилася кількість зловмисників, які використовують вразливості у додатках, призначених для загального користування, з метою отримання доступу до мереж організацій. Хоча в деяких випадках зловмисники фокусуються на помилках нульового дня, частіше вони звертають увагу на нещодавно виправлені вразливості та шукають невиправлені системи.

Яскравим прикладом цього стали критичні вразливості Microsoft Exchange Server, відомі під загальною назвою ProxyLogon. Ці вразливості були виправлені на початку березня 2021 року, і в той час компанія Microsoft заявила, що ці помилки використовувалися групою передових постійних загроз (APT), яку вона назвала Hafnium (Symantec відслідковує цю групу як Ant) у цільових атаках. Однак незабаром після розкриття вразливостей ProxyLogon їх почали використовувати інші зловмисники.

symantec__2._____microsoft_exchange_server_____2021_

Малюнок 2. Спроби експлойтів проти помилок Microsoft Exchange Server, з березня до серпня 2021 року 

Таке швидке впровадження було також відзначено, коли в серпні 2021 року була публічно розкрита ще одна серія вразливостей Microsoft Exchange Server, що отримала назву ProxyShell. Спроби експлойтів, націлених на ці помилки, почалися негайно, причому дані Symantec свідчать про більш ніж 200 000 спроб експлойтів, націлених на цей набір вразливостей лише у серпні 2021 року.

Інші вразливості в публічних додатках, які часто використовувалися зловмисниками в 2021 році, включають недоліки в VPN-продуктах Pulse Secure (CVE 2019-11510), Fortinet (CVE-2018-13379) та SonicWall (CVE-2021-201 у ПЗ File Transfer Appliance (FTA) компанії Accellion (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 та CVE-2021-27104).

Критична інфраструктура

Кібератаки на критично важливу національну інфраструктуру (CNI) можуть бути одними з найсерйозніших, оскільки потенційно можуть торкнутися кожного члена суспільства. Це було продемонстровано в травні 2021 року, коли Colonial Pipeline, найбільший нафтопровід у США, зазнав атаки здирницького ПЗ, яке вплинуло на обладнання, що керує трубопроводом.

Атака була здійснена бандою, що базується в Росії DarkSide ransomware. Хоча викуп було виплачено лише через кілька годин після атаки, розшифровка відбувалася повільно, і робота нафтопроводу була зупинена, що викликало дефіцит палива, зростання цін та панічні покупки у ряді штатів США.

Атака на Colonial Pipeline не була поодиноким випадком: у липні 2021 року з’явилася інформація про те, що в період з 2011 по 2013 рік китайські зловмисники, спонсоровані державою, атакували 23 американські оператори нафто- та газопроводів. Офіційні особи США заявили, що метою суб’єктів, які стояли за атаками, було “допомогти Китаю розробити можливості кібератак на трубопроводи США, щоб фізично пошкодити трубопроводи або порушити їхню роботу”.

Атаки на CNI не припиняються, а кількість мережевих виявлень, пов’язаних з атаками на CNI, збільшується (Малюнок 3). Ці атаки блокуються технологіями системи запобігання вторгненням (IPS) компанії Symantec. Шкідлива активність, що блокується в мережі, знизилася після піку в липні 2021 року, проте загалом показники мають тенденцію до зростання.

symantec__3.________cni

Малюнок 3. Мережеві виявлення, пов’язані з атаками, спрямованими на CNI

Що стосується регіонів, у яких спостерігається найбільша активність, спрямована на мережі організацій CNI, то США випереджають інші країни у цьому списку – 69% усієї активності спостерігається саме там.

symantec__4._________cni

Малюнок 4. Регіони з найбільшою активністю, спрямованою на мережі організацій CNI 

Це лише частина матеріалів, які зазначені в нашому останньому документі. Ознайомтеся з повним текстом документа, щоб отримати більше інформації щодо загроз 2021 року.

З питань проведення індивідуальної демонстрації, пілотного тестування рішення Symantec і організації партнерських тренінгів звертайтеся, будь ласка:

[email protected], +38 093 801 04 41.

Джерело: https://bit.ly/3MHCHHW

 

Материалы по теме:
Комментарии: