Изощренность и масштабы кибератак будут бить рекорды. Мы, в Check Point Software, ожидаем серьезного увеличения атак с вымогателями - и атак на мобильные устройства.

В 2021 году киберпреступники максимально использовали требования массовой вакцинации, выборы и переход на гибридный режим работы. Так они смогли эффективно атаковать цепочки поставок и сети организаций и достигать максимальных результатов.

Пока киберпреступники продолжают использовать тему пандемии COVID-19 — но уже ищут новые способы атак с использованием, например, дипфейков, криптовалюты, электронных кошельков.

В недавно опубликованных прогнозах основных направлений кибербезопасности на 2022 г. подробно описаны ключевые проблемы, с которыми организации столкнутся в следующем году.

Итак, каковы же эти ключевые моменты.

В отчете Check Point Software’s 2022 Cyber-security Predictions отмечается, что кампании по дезинформации возвращаются: на протяжении текущего года в сети распространялись фейковые новости о пандемии COVID-19 — и позднее о вакцинации. В 2022 году киберпреступники продолжат использовать такие новости для проведения фишинговых атак и мошенничества.

«Холодная кибервойна» будет усиливаться: улучшенная инфраструктура и технические возможности позволят террористическим группировкам и политическим активистам продвигать свои планы и идеи — и проводить изощренные атаки на более широкую аудиторию. Кибератаки будут все чаще использоваться как прокси-войны для дестабилизации деятельности во всем мире.

Утечки данных будут происходить чаще и в более крупных масштабах, организации и правительства будут тратить гораздо больше средств на восстановление. В мае 2021 года крупная страховая компания США заплатила хакерам выкуп в размере 40 млн долл. Это рекорд, крупнейший в истории выкуп - но дальше, скорее всего, крупные выкупы будут еще больше.

Число кибератак на цепочки поставок вырастет. Правительства начнут разрабатывать правила для защиты сетей и борьбы с такими атаками; и, скорее всего, начнут сотрудничать с частными организациями и другими странами для выявления подобных угроз и борьбы с ними на международном уровне.

Киберпреступники будут активнее использовать криптовалюту. Защитные решения должны будут учесть это, измениться и надежно защищать биткоины и прочие альткоины.

Мобильные устройства остаются самыми желанными целями. Так как электронные кошельки и сервисы мобильных платежей используются все чаще, киберпреступники будут адаптировать свои методы именно под смартфоны.

Злоумышленники будут использовать уязвимости микросервисов, которую чаще всего используют вендоры облачных услуг, поэтому киберпреступники будут искать в них уязвимости для запуска крупномасштабных атак на провайдеров.

Дипфейки станут настоящим оружием. Создание поддельных видео и аудио сейчас достаточно развито - гипотетически, такие фейки уже можно использовать для манипулирования мнениями, ценами на акции или чем-то еще. Также злоумышленники будут использовать дипфейки для атак методом социальной инженерии - например, чтобы обманом получить нужное разрешение от конкретного человека или доступ к конфиденциальным данным.

Использование инструментов проникновения увеличится: в 2021 году программы-вымогатели атаковали каждую 61 организацию в мире каждую неделю. Злоумышленники нацелены на компании, которые могут позволить себе уплату выкупа - и в 2022 году их атаки с вымогателями станут только изощреннее. Хакеры будут все чаще использовать инструменты проникновения для настройки атак в реальном времени, а также для работы в сетях жертв.
 
Вот такая общая картина и компании должны действовать упреждающе, не оставляя ни одну точку, ни одно устройство незащищенным или неконтролируемым. В противном случае они могут стать следующей жертвой целевых атак.

Сентябрь побил все рекорды по количеству кибератак в месяц с начала года.

В 2021 г. число кибератак в мире увеличилось на 40% по сравнению с прошлым годом.

Согласно данным Check Point Research в Украине этот показатель еще выше — количество атак в нынешнем году увеличилось на 93% по сравнению с прошлым годом и составило в среднем 966 кибератак на организацию в неделю.

Чаще всего по всему миру атакуют организации из сферы образования и исследований, здесь рост составил 60%.

В сентябре был зафиксирован наибольший рост числа кибератак в мире с начала года — 870 атак на организацию в среднем в неделю. Это более чем в два раза превышает самый низкий показатель за период — в марте 2020 года.

Каждая 61-я организация в мире еженедельно сталкивается с атаками программ-вымогателей — это на 9% больше, чем в 2020 году.

Глобально наиболее популярным у злоумышленников стал сектор ISP/MSP (Провайдеры Интернет и ИТ-услуг), где каждая 36-я организация сталкивается с атаками программ-вымогателей. Это на 32% больше, чем в 2020 году. На втором месте — здравоохранение — здесь одна из 44 организаций регулярно подвергается атакам программ-вымогателей (рост на 39%), а на третьем месте — поставщики ПО — каждая 52-я организация (рост на 21%).

Что касается типов вредоносного ПО, которые чаще всего используют для атак, то на первом месте оказались ботнеты: в среднем в мире более 8% организаций подвергаются их воздействию (это на 9% меньше, чем в 2020 году). Далее следуют банковские трояны — 4,6% компаний (рост на 26%) и криптомайнеры — 4,2% (снижение на 22% год к году).

Исследователи Check Point Research представили мартовский рейтинг наиболее активных киберугроз, основанный на данных глобальной сети датчиков угроз ThreatCloud. Специалисты обращают внимание, что в этот перечень впервые вошел банковский троян IcedID, сразу занявший второе место. В то время, как в лидеры вырвался троян Dridex, месяцем ранее располагавшийся лишь на седьмом.

Впервые банковский троян IcedID был обнаружен в 2017 г. На тот момент это был довольно продвинутый зловред, использовавший для атаки сразу несколько техник, а также ботнет и инфраструктуру трояна Emotet. В марте текущего года IcedID активно распространялся с помощью нескольких спам-кампаний, затронувших 11% организаций во всем мире. Одна из наиболее крупных кампаний для привлечения внимания жертв эксплуатировала тематику Covid-19. Большинство вредоносных вложений представляют собой документы Microsoft Word с вредоносным макросом, который используется для вставки установщика для IcedID.

После установки троян пытается украсть данные учетной записи, платежные данные и другую конфиденциальную информацию с устройств жертв. Также IcedID может распространяться с помощью других вредоносных программ и использоваться в качестве начальной стадии атак при операциях с программами-вымогателями.

Что касается самого активного вредоносного ПО в Украине, то тут в марте лидировал банковский троян Trickbot (затронул 9% организаций), который постоянно развивается и дополняется новыми возможностями, функциями и векторами распространения. Это гибкое и настраиваемое вредоносное ПО, которое может распространяться в рамках многоцелевых кампаний.

На втором месте банковский троян Qbot (коснулся 7% организаций). Впервые он появился в 2008 г., был предназначен для кражи банковских учетных данных и слежения за нажатиями клавиш у пользователей. Qbot часто распространяется через спам и использует несколько методов защиты от виртуальных машин и песочниц, чтобы затруднить анализ и уклониться от обнаружения.

Замыкает тройку XMRig – программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 г. Это вредоносное ПО используется для майнинга криптовалюты Monero и в марте затронуло 4% организаций.

В минувшем году скорость внедрений цифровых инициатив была просто поразительна: по некоторым оценкам, цифровая трансформация продвинулась вперед на семь лет. Но киберпреступники тоже изменили свои методы, чтобы воспользоваться этими изменениями и последствиями пандемии.

На днях представлен отчет Cyber Security Report 2021, который основан на данных аналитики Check Point ThreatCloud и показывает, какие инструменты и методы использовали киберпреступники в прошлом году для атак на организации по всему миру.

Внедрение облаков опережает обеспечение их безопасности. Когда мы говорим о цифровой трансформации организаций, то в 2020 году компании из-за пандемии за год сделали то, что планировалось сделать в течение 5 лет. Но безопасность общедоступных облаков по-прежнему является серьезной проблемой для 75% компаний. Кроме того, более 80% предприятий обнаружили, что их существующие инструменты безопасности или вообще не работают, или имеют ограниченные возможности в облаке. Это значит, что проблемы с облачной безопасностью сохранятся и в 2021 году.

Цель — дистанционная работа: хакеры активизировали атаки типа «перехват цепочки писем». Они нацелены на удаленных сотрудников для кражи данных или проникновения в сеть с помощью троянов Emotet и Qbot. Всего эти вредоносные программы затронули 24% организаций по всему миру. Также резко возросло количество атак на системы удаленного доступа, такие как RDP и VPN.

Рост числа атак с двойным вымогательством: в третьем квартале 2020 года почти половина всех инцидентов с использованием программ-вымогателей связана с угрозой раскрытия украденных данных. В среднем каждые 10 секунд по всему миру какая-то организация становится жертвой вымогателей.

Атаки на сектор здравоохранения превратились в эпидемию: в четвертом квартале 2020 года CPR сообщил, что кибератаки (особенно атаки программ-вымогателей) на больницы во всем мире увеличились на 45%. Преступники считают, что госпитали с большей вероятностью будут удовлетворять требования выкупа из-за давления с информацией о случаях COVID-19.

Мобильные устройства — желанные цели: в 2020 году в 46% организаций по крайней мере один сотрудник загрузил вредоносное мобильное приложение, которое угрожает сетям и данным компании. Широкое использование смартфонов во время локдауна по всему миру привело к росту числа мобильных троянцев, которые атакуют мобильный банкинг и воруют информацию.

Вывод — мы должны действовать прямо сейчас, чтобы остановить бесконтрольное распространение киберпандемии. Организациям необходимо вакцинировать свои сети, чтобы предотвратить кибератаки, которые вызывают столько разрушений.

Столь ожидаемый всеми 5G имеет массу преимуществ, о которых уже сказано и написано много раз. Но есть еще один важный момент в контексте активного распространения этой технологии — нужно правильно оценивать угрозы безопасности 5G.

С внедрением 5G с одной стороны, мы получаем невероятно высокую скорость передачи данных. С другой же - становимся больше подвержены кибератакам, поскольку хакеры смогут использовать большее число векторов атак.

Ожидается, что с появлением 5G быстрорастущие технологии, такие как Интернет вещей, получат новый импульс развития. И нужно четко осознавать, что каждое устройство –– потенциальная точка взлома, и хакеры видят в них новые возможности для запуска атак.

По задумке 5G настроен на использование значительного количества подключенных устройств, каждое из которых расширяет поверхность атаки. Ожидается, что десятки миллиардов умных устройств будут подключаться к сетям 5G. Но лишь небольшая их часть имеет хоть какие-либо решения безопасности, помимо пароля.

Стоит также помнить, что сети 5G более распределены и децентрализованы. Устройства напрямую подключаются к интернету через провайдеров. По мере развертывания устройств 5G в офисах, на фабриках и больницах, резко возрастает риск утечки данных и атак, поскольку связь с этими устройствами и с этих устройств будет обходить корпоративную сеть и ее средства контроля безопасности. Так же и сотрудники, использующие мобильные устройства 5G для доступа к облачным корпоративным ресурсам, увеличивают риск взлома и потери данных.

Как оставаться в безопасности используя 5G?

Прежде всего необходимо использовать решение с расширенным предотвращением угроз. Поскольку 5G соединит пользователей и приложения на мобильных устройствах, в конечных точках, сетях, облаках и IoT, важно иметь расширенное предотвращение угроз для защиты всех этих типов активов, где бы они ни находились.

Учитывая такой огромный объем и разнообразие продуктов, многие из которых будут иметь крайне ограниченные или нулевые возможности безопасности, организациям необходим простой способ развертывания и управления безопасностью на любом типе устройства. Один из лучших инновационных подходов – использовать плагины микромасштабирования, которые могут работать на любом устройстве, на любой операционной системе и в любой среде. Микропрограммные агенты контролируют все атрибуты, которые поступают на устройство и от него в сети 5G, и подключаются к консолидированной архитектуре безопасности для обеспечения защиты.

Используйте VPN, чтобы хакеры не могли получить доступ к вашим данным и не могли следить за вашей активностью в сети.

Еще один важный момент - обновляйте свои IoT-устройства. На любом устройстве, которое подключается к вашему смартфону, должны быть установлены все последние обновления.

Ну, и традиционный пункт во всех рекомендациях по безопасности - создавайте надежные пароли, используйте случайные и разнообразные символы для их составления.

Мы живем в мире растущей гиперподключенности. Вместо того чтобы перехватывать данные компаний или отдельных лиц, злоумышленники берут на себя полное управление устройствами, подключенными к интернету.

И зачастую пользователи не смогут использовать свои устройства, пока выкуп не будет выплачен. Эта тактика называется Ransomware of Things (RoT). Традиционные атаки с помощью вымогателей представляют риск для организаций, но RoT-атаки несут серьезные последствия для всего общества в целом.

Согласно отчету кибербезопасности Check Point 2020, атаки с использованием вымогателей были очень распространены из-за высокой успешности. В среднем 8% компаний становятся жертвами такого рода угроз еженедельно.

Интернет вещей все больше входит в нашу повседневную жизнь, но пробелы в безопасности остаются и предоставляют киберпреступникам возможности для атак. Сегодня 1 из 4 атак направлена на IoT-устройства, поскольку благодаря устаревшим операционным системам и отсутствию средств защиты их легко взломать.

RoT-атаки схожи с традиционными тем, что при их проведении мошенники также требуют выкуп –– но на этом их сходство заканчивается. В этом случае не только данные, а целое устройство, удерживается «в заложниках» с использованием вируса, известного как jackware. Это вредоносное ПО, которое контролирует устройства, подключенные к интернету, даже если они не обрабатывают данные. Например, киберпреступник может контролировать все виды бытовой техники в доме. В более сложных случаях в подключенных домах киберпреступники могут управлять доступом к поставкам электричества или воды.

За пределами домашней среды последствия могут быть гораздо масштабнее. Скажем, если речь идет о безопасности дорожного движения. Подключенных к интернету автомобилей становится все больше, такая машина уже обычное явление, а к концу 2020 года их будет не менее 22%. Владельцы таких автомобилей могут, например, с помощью смартфона открывать и закрывать двери, запускать двигатель. Все это гипотетически позволяет кибермошенникам совершать нападения, взламывая системы. Если злоумышленник получит доступ к управлению транспортным средством, это может поставить под угрозу жизнь пассажиров или пешеходов. Пока этого еще не происходило, но учитывая то, как все развивается такая RoT-атака возможна уже в ближайшем будущем.

Новые поколения киберугроз очень изощренные –– они используют старую тактику совершенно новым способом, чтобы обойти традиционные решения безопасности. RoT-атаки тому наглядный пример, поскольку киберпреступники используют возможности подключения к IoT-устройствам и, возможно, захвата контроля над целыми сегментами общества.

Все это может показаться несколько футуристическим, но увы... Одно из немногих решений возникшей проблемы - подход к кибербезопасности, который нацелен на предотвращение рисков и угроз еще до их возникновения.

Постоянно развивающаяся ИТ-среда, а вместе с ней и киберугрозы сделали унаследованные инфраструктуры безопасности малоэффективными. Исходя из устаревшего предположения, что всему периметру безопасности можно доверять, они не защищают организации от кибератак.

Во всей отрасли специалисты по безопасности разрабатывают и перестраивают свои стратегии на основе подхода с нулевым доверием (Zero Trust Security, ZTS), который не доверяет ни пользователю, ни устройству, ни системе как внутри, так за пределами периметра.

Сегодня вам больше не нужно приходить в офисное здание, чтобы быть на работе. Достижения в области технологии расширили понятие «офис», благодаря чему компании могут взаимодействовать через мобильные устройства и облачное ПО независимо от того, где находятся их сотрудники.

Однако это порождает дилемму кибербезопасности. Периметр безопасности больше не ограничен стенами офисного здания. Ценные бизнес-данные постоянно передаются между приложениями SaaS, IaaS, ЦОД, удаленными пользователями, устройствами IoT и т. п. Это означает, что киберпреступники имеют доступ к более широким поверхностям атаки и большему количеству точек входа, чем когда-либо прежде. Доказательством служат следующие цифры: в 2018 г. 34% кибератак были совершены инсайдерами.

Усложняет ситуацию и то, что как только киберпреступники оказываются внутри периметра компании, они ищут и крадут ценные и конфиденциальные данные в течение нескольких месяцев, прежде чем их обнаружат. Фактически, в большинстве случаев требуется шесть месяцев, чтобы обнаружить бреши в защите данных.

К сожалению, большинство действующих инфраструктур безопасности устарели и опасно отстают от уровня атак, от которых они должны защищать. Очевидно, что пришло время для новой парадигмы безопасности.

Она известна как безопасность с нулевым доверием: никогда не доверяй, всегда проверяй!

По всей отрасли профессионалы в области безопасности переходят на уровень безопасности ZTS: ни одному устройству, пользователю, рабочей нагрузке или системе не следует доверять по умолчанию, независимо от местоположения, где оно работает, ни внутри, ни за пределами периметра безопасности.

Расширенная модель безопасности ZTS компании Forrester

Но Zero Trust — это больше, чем просто концепция. Модель расширенной безопасности Zero Trust, представленная аналитиками Forrester, предлагает семь ключевых принципов реализации, на которые следует обратить внимание организациям при переходе к модели безопасности с нулевым доверием. Реализация этих принципов позволяет принять положение безопасности «Запрет по умолчанию», когда системы укрепляются и изолируются до установления уровня доверия. Что же означает каждый из этих принципов?

ZERO TRUST NETWORKS

При переходе к ZTS крайне важно, чтобы вы «разделяли и властвовали» своей сетью. Идентификация ваших ценных активов и определение «микросегментов» вокруг них создают множество переходов и контрольных точек, которые блокируют злонамеренное или несанкционированное горизонтальное перемещение, чтобы в случае нарушения угроза была легко локализована и изолирована.

ZERO TRUST WORKLOADS

Защита рабочих нагрузок, особенно тех, которые запускаются в общедоступном облаке, крайне важна, поскольку эти облачные активы (например, контейнеры, функции и ВМ) являются уязвимыми и привлекательными целями для злоумышленников.

ZERO TRUSR DATA

Нулевое доверие — это защита данных, когда они непрерывно распределяются между рабочими станциями, мобильными устройствами, серверами приложений, БД, приложениями SaaS, а также между корпоративными и общедоступными сетями.

ZERO TRUST PEOPLE

При 81% брешей в защите данных, включающих похищенные учетные данные, ясно, что имя пользователя и пароли больше не подтверждают личность пользователя. Идентификационные данные легко скомпрометировать, поэтому необходимо усилить контроль доступа к вашим ценным ресурсам.

ZERO TRUST DEVICES

При 70% взломов, связанных со скомпрометированными устройствами, каждое устройство, подключенное к вашей сети, должно рассматриваться как вектор угроз, будь то рабочая станция, мобильное устройство или устройство IoT / OT. Группы безопасности должны иметь возможность защитить каждое устройство в своей сети и изолировать его в случае взлома.

VISIBILITY AND ANALYTICS

Вы не можете защитить то, что не можете увидеть или понять. Модель ZTS постоянно отслеживает, регистрирует, сопоставляет и анализирует все действия в вашей сети.

AUTOMATION AND ORCHESTRATION

Архитектура ZTS должна автоматически интегрироваться с более широкой ИТ-средой организации, чтобы обеспечить скорость и гибкость, улучшенное реагирование на инциденты, точность политик и делегирование задач.

Стоит отметить, что Check Point ввела понятие абсолютное нулевое доверие (Absolute Zero Trust). Однако внедрение Zero Trust с использованием разнородных технологий может привести к существенным пробелам в безопасности и сложностям. Вот почему теперь предлагается целостный и практичный подход к реализации Zero Trust на основе Check Point Infinity — архитектуры консолидированной безопасности.

Удел хорошего рассказчика — углубляться в неизведанное. Покидать нашу зону комфорта и исследовать миры, которые часто труднодоступны, преодолевая испытания и препятствия на своём пути. Его задача: достичь конечного пункта назначения, который, зачастую, тоже бывает неизвестен.

В 2018 году исследователи из Check Point посвятили себя изучению неизвестных уголков киберпространства и того, что там скрывается. В этом посте мы оглядываемся назад на сделанные ими открытия, которые будучи интересными сами по себе, также являются одной из движущих сил, обеспечивающих нашим клиентам защиту от сегодняшних киберугроз.

Вхождение в Тёмный Веб

Понятно, что спокойная жизнь закончилась, если в онлайн-чатах обсуждаются способы реализации кибератак. Однако оказалось, что киберпреступники выносят своё общение за пределы этих, более традиционных форумов. С помощью мобильных приложений для обмена шифрованными и анонимными сообщениями, таких как Telegram, они могут искать и нанимать хакеров для проведения своих атак, покупать и продавать продукты и услуги тем, кто больше заплатит.

При столь низком входном барьере, желающим стать киберпреступником несложно вступить в игру. Обнаружение продвинутого набора Phishing Kit в апреле прошлого года показало, насколько просто и дешево можно приобрести эти готовые продукты и, с минимальными техническими знаниями, быстро приступить к выманиванию у потребителей данных их кредитных карт.

Однако, если исследователи безопасности изучают тёмное «подбрюшье» Интернета и публикуют свои выводы для пользы других, эта же прозрачность означает, что преступники также ищут возможности улучшения своих методов и обновления своего вредоносного ПО в режиме реального времени. Пример этого криминального мышления продемонстрировало развитие GandCrab, доказавшее, что в современном мире даже ransomware является гибким.

Освоение новых территорий

В августе исследователи Check Point представили миру новый вектор атак, рассказав, как можно атаковать всю ИТ-сеть организации, используя всего лишь номер факса. С учётом того, что во всём мире по-прежнему используются сотни тысяч факсимильных аппаратов, это открытие вызвало глубокую обеспокоенность. Настолько глубокую, что крупнейший в Великобритании покупатель факсимильных аппаратов, NHS, планирует запретить их в будущем из-за этого открытия.

Полным ходом использовались также фейковые новости, и положение отнюдь не улучшила новая уязвимость в популярном мобильном приложении для обмена сообщениями, WhatsApp. Баг, названный «FakesApp», позволил преступникам перехватывать сообщения и манипулировать ими для создания и распространения дезинформации.

Весьма поучительным стало исследование раскрывшее многим глаза на уязвимость облачной инфраструктуры DJI, ведущего мирового производителя дронов. Благодаря недоработке в процессе идентификации пользователя злоумышленник мог получать доступ к полётным журналам, к трансляции с камер в реальном времени и к отснятым в полёте фото- и видеоматериалам.

Мобильные странствия

Прошлогодний экскурс в угрозы для мобильных устройств начался, когда более 60 поддельных детских приложений были загружены с официального ресурса Google Play Store, что привело к семи миллионам случаев заражения вредоносным ПО «AdultSwine». Несмотря на усилия Google по обеспечению безопасности своего магазина, вредоносной программе также удалось избежать обнаружения, замаскировавшись в 22 приложениях для фонарика: ничего не подозревающие жертвы загрузили его почти 7,5 миллионов раз.

Уязвимости были обнаружены и в самом мобильном оборудовании, в частности, в процедуре обновления клавиатуры мобильных устройств LG. Это история о том, как производители создают устройства для повседневного использования, показала, насколько осторожны должны быть организации, разрешая сотрудникам выполнять служебные функции со своих смартфонов.

Аналогичным образом, наше исследование атак Man-in-the-Disk предупредило разработчиков приложений об опасностях, которые кроются в том, как они используют хранилище External Storage — общий ресурс для всех приложений, на который не распространяется защита встроенной «песочницы» системы Android.

Добыча золота

Пути к новым открытиям в 2018 году были также усыпаны атаками на серверы и конечные точки организаций, часто с помощью криптовзломщиков. Если ransomware ранее приносило киберпреступникам быструю прибыль путём разбойного нападения, то криптовзлом обеспечивал им долгосрочный источник дохода благодаря более скрытным проникновениям. Так, менее чем за 24 часа в январе прошлого года вредоносное ПО RubyMiner попыталось заразить около 30% сетей по всему миру.

Поэтому не стало сюрпризом и когда, месяцем позже, наши исследователи натолкнулись на одну из крупнейших из когда-либо виденных операций вредоносного майнинга, в рамках кампании JenkinsMiner, нацеленной на Jenkins — ведущий сервер автоматизации с открытым исходным кодом.

С течением времени, в ходе нашего исследования KingMiner стало очевидно, что криптовзломщики продолжают развиваются. Оперативно вышли две улучшенные версии KingMiner, в которых злоумышленник использовал различные способы обхода методов эмуляции и обнаружения.

Уклонение от злобного взгляда государственного шпионажа Но наши путешествия, показали, что не только киберпреступники извлекали выгоду из злонамеренного использования новых технологий. Государственные и негосударственные хакеры занимались манипуляциями с конечными пользователями в целях шпионажа. Те, кто стоял за кампанией Domestic Kitten, побуждали свои жертвы загружать приложения, заражённые шпионским ПО, для получения конфиденциальной информации о них, такой как журнал звонков, SMS, данные о местоположении, фотоснимки и пр.

Негосударственные злоумышленники также были пойманы на шпионаже под прикрытием чемпионата World Cup, попытках заставить объекты атаки нажать на фишинговые ссылки и загрузить поддельное мобильное приложение для планирования игр. Вредоносные компоненты внутри него обеспечивали возможность сбора SMS, телефонных контактов, голосовых записей, фотографий и многого другого. Эта атака послужила хорошим примером того, как преступники используют крупные события, чтобы завлекать потенциальные жертвы и прятаться среди десятков нормальных приложений, связанных с этими мероприятиями.

И, наконец, достигнув одного из самых неизведанных уголков мира, Северной Кореи, наши бесстрашные исследователи смогли углублённо изучить SiliVaccine, собственное антивирусное решение этого Закрытого Королевства. Одним из нескольких интересных открытий стало, что ключевой компонент SiliVaccine представляет собой копию механизма обнаружения вирусов фирмы TrendMicro. Любопытно, что SiliVaccine также позволяло одному конкретному вредоносному ПО походить сквозь свою защиту. Поскольку Северная Корея известна тем, что она контролирует иностранных журналистов и собственных диссидентов, это, по меньшей мере, должно вызвать удивление.

Заключение

Как и все большие приключения, прошлогоднее исследование киберпространства поставило перед нашей командой по изучению угроз некоторые серьёзные проблемы и препятствия. В наступившем 2019 году, Check Point Research, несомненно, расскажет о многих других встретившихся ей типах вредоносных программ, уязвимостей и эксплойтов.

Ландшафт киберугроз развивается и превращается в неизведанные территории, но можете быть уверены, что наша команда будет там, чтобы принимать вызовы и учиться на них. Встречая препятствия и преодолевая их, мы будем вновь возвращаться с новыми знаниями, которые сделают сильнее не только нас, но и организации, которые мы защищаем.

Индустрия ransomware, оцениваемая примерно в 11,5 млрд долл. в год, это большой бизнес для преступников и большая головная боль для бизнеса. Целями кибератак могут стать предприятия и организации любого размера – от крупной корпорации до крошечной семейной фирмы.

В борьбе против ransomware, лучшая стратегия – не стать жертвой. Но с чего начать? Всего пять базовых советов, но крайне  важных.

Делайте бэкап ваших данных и файлов

Этот пункт может показаться банальным, но он остается крайне актуальным. С изобретением более надёжных сетей и облачного хранения, многие просто отвыкли создавать резервные копии файлов и данных. Однако, в случае атаки ransomware такие копии можно использовать, чтобы не платить выкуп. Как минимум, они позволят вам решить, что дешевле: восстановление из бэкапа или требуемый выкуп.

Есть и другая причина, почему крайне важно иметь эти резервные копии. Даже если вы не против уплатить выкуп, помните, что вам предстоит довериться киберпреступникам. Какая гарантия, что они действительно предоставят вам ключ дешифровки после оплаты? Или, что хуже, вы платите, они дают вам ключ, а вы по-прежнему не можете восстановить свои файлы. Ransomware может иметь ошибки, либо может не работать в вашей среде. Стоит учитывать, что это не коммерческое программное обеспечение, прошедшее тщательную проверку качества.

Поскольку доверять злоумышленнику как-то не очень логично, важно, чтобы вы последовательно создавали резервные копии важных файлов, предпочтительно используя физически изолированное (air-gapped) хранилище.

Учите сотрудников распознавать потенциальные угрозы

Просвещение пользователей всегда было ключевым элементом предотвращения заражения вредоносным ПО. Остаётся это справедливым и для ransomware. Откуда пришли файлы, почему сотрудник получил их и можно ли доверять отправителю – это абсолютно базовые вещи, но многие все еще не обращают внимание на них.

Как это не удивительно, но самыми распространёнными методами заражения в кампаниях ransomware остаются спам и фишинговые e-mail. Очень часто, внимательность пользователя может предотвратить атаку до её наступления. Найдите время на обучение своих пользователей, чтобы они немедленно сообщали вашим командам безопасности, если увидят что-то необычное.

Ограничьте доступ только теми, кому он нужен

Чтобы свести к минимуму потенциальные последствия для вашей организации от успешной атаки ransomware, убедитесь, что пользователи имеют доступ только к информации и ресурсам, необходимым им выполнения своих обязанностей. Предприняв этот шаг, вы значительно уменьшите риск горизонтального продвижения атаки ransomware внутри вашей сети. Устранение ransomware в одной пользовательской системе может быть сложным делом, но потенциальные проблемы от общесетевой атаки могут оказаться гораздо более серьёзными.

Следите за своевременным обновлением защиты на основе сигнатур

С точки зрения информационной безопасности, безусловно выгодно иметь антивирусную и другие виды сигнатурной защиты и регулярно их обновлять. Хотя сигнатурные технологии сами по себе не достаточны для отражения сложных атак, способных обходить традиционную защиту, они являются важной частью комплексной системы безопасности. Новейшая антивирусная защита может защитить вашу организацию от уже известных вредоносных программ, которые обладают узнаваемой сигнатурой.

Внедряйте многоуровневую безопасность, включая подвинутые технологии предотвращения атак

Говорят, что лучшая защита это нападение, и многоуровневый подход к обеспечению безопасности дает наилучшую возможность отразить атаку ransomware и нивелировать ущерб, который она может нанести. Помимо традиционных, сигнатурных инструментов защиты, таких как антивирусы и средства предотвращения вторжений (IPS), организациям необходимо внедрять дополнительные слои, блокирующие новое вредоносное ПО, не имеющее известных сигнатур. Два ключевых компонента для рассмотрения – удаление угроз (дезинфекция файлов) и эмуляция угроз (продвинутая песочница). Каждый такой элемент обеспечивает собственную, отличную от других защиту, а используемые вместе они предлагают исчерпывающее решение для защиты от неизвестных вредоносных программ на уровне сети и напрямую, в конечных устройствах.

Реализация ключевых, и не таких уж сложных, превентивных мер в борьбе с ransomware может стать тем обстоятельством, которое помешает вам пополнить список жертв. Всегда делайте резервные копии ваших данных, чтобы иметь их наготове, если вдруг ваши файлы окажутся зашифрованными. Учите сотрудников распознавать угрозы и избегать их, лимитируйте доступ только системами и файлами, требующимися им по роду службы. Поддерживайте антивирусы и другие сигнатурные инструменты в самом современном состоянии, чтобы предотвратить предотвращаемое. И развёртывайте продвинутые превентивные решения как часть многоуровневого подхода к безопасности, чтобы парировать нацеленные на вашу организацию неизвестные атаки, в том числе ransomware.