Информационные технологии – во многом благо для современного общества. Но появляются лица и даже целые структуры, желающие воспользоваться ими в целях собственного обогащения или банального вредительства. Поэтому идет сейчас и будет еще долго идти противостояние между кибермошенниками и специалистами по информационной безопасности (ИБ). Пока одни совершенствуют инструменты защиты, другие изобретают более изощренные методы нападения.
В результате получается целый набор факторов (человеческих, технических, финансовых, временных) и условий, порождающих вероятность нарушения ИБ. Это и есть киберугрозы, которые меняются и совершенствуются год от года, как меняются механизмы их обнаружения и ликвидации.
Тенденции киберугроз в 2019 году
- Более 50% кибератак нацелены на кражу информации
- Основной объект атак в компаниях – персональные данные. Для частных лиц – учетные данные и данные банковских карт
- Совершенствуются механизмы скрытого майнинга из-за роста курса биткойна
- Точечные атаки превалируют над массовыми
- В государственном секторе растет вероятность заражения вредоносным программным обеспечением (ВПО)
- Киберпреступная группировка RTM наращивает атаки на компании промышленного сектора из-за их относительно слабой защищенности
- Злоумышленники используют уязвимости в управлении цепями поставок у IT-компаний, в результате чего взломанные адреса поставщиков становятся объектом фишинговых рассылок
- Развиваются атаки типа Magecart на платежные сервисы. Специалисты также обнаруживают анализаторы трафика на сайтах, не имеющих функцию оплаты
Какие киберугрозы сейчас актуальны
Вредоносное ПО
Пальма первенства здесь у многофункциональных троянов, их основная цель – вымогательство. Эти программы умеют: шифровать данные (например, DanaBot);
- удаленно администрировать компьютер жертвы (контролировать, что происходит в режиме реального времени у пользователя на компьютере, и перехватывать мышь и клавиатуру);
- получать доступ к файловой системе (отправка и получение файлов, их создание и уничтожение);
- перехватывать пароли (трояны-кейлоггеры);
- обходить приложения, которые препятствуют их работе.
Эксперты отмечают, что группировка RTM стала использовать инфостилер AZORult. Троян распространяется через software-сайты как утилита для очистки данных G-Cleaner или VPN Private Check. Примечательно, что в интернете есть ресурсы, предлагающие скачать и установить инфостилер, а пользователи активно обсуждают достоинства и недостатки этого вредоносного программного обеспечения.
Социальная инженерия
Киберугрозам с использованием методик социальной инженерии подвергаются не только специализированные сервисы, но и популярные платформы, например YouTube. Недавно злоумышленники провели кампании, где людям в роликах показывали, как работать с бесплатным генераторов биткойнов. Ссылки на генератор были под видео, а переход по ней означал автоматическую загрузку инфостилера. В другой кампании, проводившейся на видеохостинге, распространялся njRAT, инструмент для удаленного администрирования (Remote Administration Tool).
Известно, что злоумышленники активно используют службу облачных вычислений Microsoft Azure для мошеннических действий. Соответственно, она и аналогичные платформы нуждаются в управлении и защите.
Хакинг
Эту методику используют, чтобы внести изменения в программный код для достижений определенных целей.
В 2019 году злоумышленники избрали своим объектом атаки Docker – платформу для автоматического развертывания и управления приложениями в средах с поддержкой контейнеризации. Они ищут Docker API с публичным доступом, для чего сканируют сеть в поиске узлов с открытым портом 2375 (незашифрованный сокет с удаленным доступом без пароля к хосту).
Если конфигурация контейнера «Докера» неверная, злоумышленники могут установить в него «вымогательский» троян Dofloo. Он забирает на себя вычислительные мощности жертв для скрытого майнинга и DDoS-атак.
Проблема хакинга еще и в том, что из-за несвоевременного обновления или использования старых версий программ злоумышленники могут их взломать, пользуясь для этого даже устаревшими методами и инструментами.
Эксплуатация веб-уязвимостей
Веб-уязвимости используются не только по «прямому назначению» – кража данных – но и для того, чтобы привлечь внимание широкой общественности к какому-либо событию. Достаточно вспомнить разговоры об атаках хакеров на Пентагон или на правительственные учреждения Пакистана после теракта в феврале этого года.
В настоящее время актуальны атаки на сайты с возможностью онлайн-оплаты, где злоумышленники применяют JavaScript-снифферы MageCart (это скрипты для кражи данных платежных карт).
Снифферы опасны тем, что пользователи сайтов, где они установлены, не в состоянии понять угрозу, потому что ВПО работает незаметно: на странице сайта появляется не отличимая от настоящей форма ввода данных карты.
Стоит отметить, что такой интерфейс должен становиться доступным ТОЛЬКО по факту переадресации пользователя на защищенную страницу оператора платежной системы. Сам факт того, что требуют два раза подряд вводить платежные реквизиты на сайте и на странице платежного оператора, должен внушить пользователю опасения! Но это зачастую игнорируют.
Хотя атакам в основном подвергаются сервисы платежных систем и интернет-магазины, злоумышленники взламывают и сайты без возможности платежей, чтобы, например, украсть персональные данные пользователей.
Остается сказать, что авторы атак MageCart не стоят на месте и постоянно совершенствуют скрипты.
Подбор учетных данных
Эта киберугроза использует самое уязвимое место в информационной безопасности – слабые пароли. В эфиопском агентстве Information Network Security Agency (к слову, занимающемся обеспечением безопасности) пароли трех сотен сотрудников оказались слишком простыми, в результате чего попали в руки третьим лицам и оказались в открытом доступе. Более 50 % паролей агентства – вариации «p@$$w0rd», а еще несколько десятков – цифровое сочетание «123».
Не теряет актуальности методика credential stuffing. Она заключается в том, что кибермошенники используют краденые базы учетных данных. Атакам подобного рода подверглись Uniqlo и GU –интернет-магазины одежды из Японии и Китая.
В 2019 году эксперты сообщали об атаках ботнета Brute, предназначенного для подбора паролей удаленного доступа по протоколу RDP. В результате атаковали полтора миллиона ПК под управлением ОС Windows. Анализ пока не показал, зачем это нужно злоумышленникам, возможно, для продаж украденных пользовательских данных в закрытых сообществах теневого интернета.