Атаки завтрашнего дня: как растут возможности киберпреступников

Недавняя атака на Всемирную сеть программы-вымогателя WannaCry уже стала одним из самых масштабных киберпреступлений в истории: больше сотни пострадавших стран, в «послужном списке» преступников такие корпорации, как Telefonica, банк Santander, KPMG, госучреждения в Великобритании, Китае и других государствах, примерный ущерб измеряется суммой более $1 млрд.

В последние годы мы все чаще сталкиваемся с серьезными киберугрозами, а развитие технологий и растущая скорость распространения информации делают нас все более уязвимыми, давая злоумышленникам новые возможности для атак. Можно выделить несколько важных тенденций в мире киберугроз, на которые стоит обратить внимание как обычным пользователям, так и организациям, в том числе государственным.

Тенденции

1. Программы-вымогатели продемонстрировали не только количественный, но и качественный рост. По подсчетам компании McAfee, число новых экземпляров превысило четыре млн и выросло на 80% с начала года! По данным «Лаборатории Касперского», эта цифра еще больше — 7,2 млн. Кроме того, вымогатели начали использовать новые технологии: частичное или полное шифрование дисков, шифрование веб-сайтов, использование доверенных приложений для обмана средств защиты и более сложные эксплойты.

2. Наблюдается серьезный рост вредоносных программ для мобильных устройств. Тенденция была предсказана исследователями еще в 2014 году, однако в прошлом году общее количество уникальных экземпляров вредоносных приложений для Android достигло устрашающей цифры в 19,2 млн (в 2015 году их было 10,7 млн).

Также, по данным компании Trend Micro, в 2016 году значительно выросло количество программ-вымогателей для мобильных устройств. Только в четвертом квартале было обнаружено в три раза больше экземпляров вредоносного ПО по сравнению с тем же периодом 2015 года. Все эти программы имеют общий принцип воздействия на пользователя: оскорбление, травля, запугивание, вымогательство. Основную долю составили блокировщики экрана, которые нарушали работу Android, и программы-шифровальщики файлов. Часто доверчивые пользователи, сами того не понимая, предоставляли программам-вымогателям доступ к системе, где они могли изменить пароль для блокировки экрана устройства.

3. Про угрозы для интернета вещей (IoT) говорится уже давно, но именно в 2016 году появились первые «прототипы» атак на него, например ботнет Mirai, боты которого сканируют интернет в поисках уязвимых устройств. При этом на каждое устройство производится атака на подбор пароля с использованием базы из 60 паролей по умолчанию. Таким образом было заражено множество камер наружного наблюдения и других гаджетов. Более того, это позволило осуществить атаку на инфраструктуру целой страны.

Угрозы сегодняшнего дня

Вот краткий список того, чего сегодня стоит опасаться в первую очередь:

1. Трояны-вымогатели, шифрующие файлы на Windows. Они становятся все изощреннее. Так, для обмана программ безопасности они шифруют тело файла, оставляя заголовок нетронутым. Также они могут внедряться в «доверенные системы» ОС, нанося ущерб от их лица.

2. Трояны-вымогатели, блокирующие Android-устройства. Бум такого рода угроз случился в 2016 году и продолжится в 2017-м.

3. Трояны-вымогатели, блокирующие работу компьютера через заражение главной загрузочной записи жесткого диска (MBR).

4. Компрометация баз пользователей публичных сервисов типа Twitter, LinkedIn, Dropbox и «ВКонтакте».

5. Перехват разговоров и кража денег со счета — через уязвимости протокола SS7/ОКС7. Защититься от этого никак нельзя, а атака не требует ни дорогостоящего оборудования, ни специальных знаний.

Для организаций эти угрозы дополняются таргетированными атаками, а также атаками на промышленную инфраструктуру.

Но главное, что хочется отметить, — изменился характер преступлений: злоумышленники стали атаковать системы бэкапов. Такими были самые разрушительные ransomware этого года — Osiris и WannaCry. Из этого мы делаем совершенно однозначный вывод: системы защиты больше не могут оставаться пассивными, как это было раньше. Иначе они будут неэффективными.

Угрозы будущего

Здесь мы подходим к прогнозам на ближайшие пару лет, которые тоже довольно неприятны.

1. Программы-вымогатели останутся основной угрозой для пользователей и будут расширять область атаки. Количество новых экземпляров и модификаций вымогателей будет расти, они станут более скрытыми и смогут атаковать облачные системы, медицинские устройства (например, стимуляторы сердечной деятельности, аппараты МРТ), а также стратегически важную инфраструктуру и серверы. Тут есть и свои ноу-хау: раньше вредоносное ПО распространялось, так сказать, от собственного лица, теперь оно научилось внедряться в устройство, хитро обманывая систему и антивирус. Например, зашифровывают уже не весь заголовок файла, а лишь часть, и в итоге он не опознается как вредоносный. Следующим же этапом развития вымогателей станет повсеместное использование функционала червей — вредоносных программ, которые не только шифруют файлы, но и активно распространяются внутри организации или междомовых сетей.

2. Продолжится распространение готовых инструментов для кибератак. Будет набирать еще большую популярность бизнес-модель «вымогательское ПО как услуга». Удобство использования и низкая стоимость этой модели привлечет в отрасль киберпреступности очень много новичков. Теперь кто угодно, не обладая никакими техническими навыками (что раньше было просто невозможно), сможет «купить» атаку на кого угодно — это будет так же удобно, как в какой-то момент стало удобно приобретать, например, легальную защиту данных или облачные сервисы.

3. На первый план выйдет безопасность облачных сервисов. Финансовые учреждения не спешат использовать облачные технологии, но рано или поздно большинство из них не сможет игнорировать их преимущества, поэтому проблема безопасности облачных решений встанет еще острее. Организациям следует сфокусироваться на безопасности не только устройств, но и пользователей и информации во всех приложениях, а также на услугах для защиты от программ-вымогателей и других атак. Модель «облачная безопасность как услуга» позволит сократить расходы на приобретение и обслуживание средств защиты, в частности межсетевых экранов.

4. Атаки на роботизированные объекты, IoT-устройства и ботнет станут растущей угрозой. Только в прошлом году насчитывалось 6,4 млрд подключенных к интернету устройств по всему миру. Эта цифра, по прогнозам компании Symantec, возрастет до 20,6 млрд к 2020 году, и количество уязвимостей по мере развития технологии интернета вещей будет только возрастать. Появятся такие новые типы атак, как заражение систем управления современных автомобилей, — большинство из них подключено к интернету, но многие водители даже не подозревают, какое ПО находится в их автомобиле. Использование свободно распространяемого ПО в автомобиле сможет привести к масштабным хакерским атакам, таким как удержание автомобиля для вымогательства, взлом системы самоуправляемых автомобилей с целью определения их местоположение для угона, несанкционированное наблюдение и сбор данных.

5. Люди всегда были и будут оставаться самым слабым звеном любой системы защиты. Сотрудники компаний — это самый уязвимый элемент их безопасности. Поэтому начнет набирать популярность сервис страхования от кибератак. Решение Google отмечать сайты без шифрования (http протокол вместо https) как небезопасные, с одной стороны, позволит предотвращать атаки с подменой адресов, с другой же, такой подход сможет значительно снизить работу по стандартам безопасности в долгосрочной перспективе.

Что делать?

Универсальных рецептов, естественно, нет. О самых простых правилах кибергигиены можно прочесть здесь, но это, конечно, не панацея. Важно принципиально понимать: ни бэкапа, ни антивируса (даже очень хороших) больше недостаточно. Под угрозой все, даже такие гигантские и продвинутые компании, как, например, Apple — хакеры пытаются шантажировать корпорацию, утверждая, что имеют доступ к 300 млн ее почтовых аккаунтов. Нужны комплексные решения, которые будут взаимодействовать друг с другом. Именно в этом мы видим будущее защиты данных.