Кибер-вымогатели анализируют распространенные уязвимости и слабые места операционных систем, браузеров и других программ быстрее, чем разработчики успевают заделывать известные бреши. Злоумышленники оттачивают свое мастерство и усложняют свои атаки, что повышает стоимость их обнаружения и предотвращения.
Два недавних исследования - отчет компании Ivanti о программах-вымогателях (ransomware), проведенный совместно с Cyber Security Works и Cyware, и исследование от Forrester Consulting, — показывают, что темп нападений растет быстрее, чем компании могут определить, от каких программных продуктов может исходить угроза. Оба исследования рисуют мрачную картину того, насколько отстают предприятия в выявлении и пресечении атак кибер-вымогателей.
Взлом ради выкупа остается одной из наиболее стремительно набирающих популярность стратегий кибератак в 2021 году. Только за III кв. 2021 года появилось 5 новых семейств программ-вымогателей, которые используют ещё не попавшие в реестр известных уязвимости. По данным Ivanti, 92,4% всех известных слабых мест программ используются для осуществления атак. В III кв. злоумышленники начали использовать 12 новых уязвимостей для проведения нападений. Для сравнения, во II кв. 2021 г. они освоили вдвое меньше слабых мест программ. Количество известных уязвимостей, связанных с ransomware, увеличилось с 266 до 278. Также на 4,5% увеличилось число уязвимостей, активно используемых для проведения атак, и их общее количество достигло 140.
Вокруг взломов ради выкупа начинает формироваться целая индустрия сопутствующих услуг. Например, появляются площадки, которые предоставляют проникновение в защищенные сети как услугу. Они взламывают внутренние сети компаний за плату, а дальше передают доступ другим злоумышленникам. Также набирает обороты сфера обналичивания и отмыва денег, полученных в качестве выкупа. Некоторые наборы ПО для вымогателей выкладывают в открытый доступ: так более технически подкованные преступные группы пытаются расширить свой охват теневого рынка, предоставляя менее продвинутым преступникам инструменты для взлома.
Руководители служб безопасности на предприятиях не справляются с этим вызовом. Согласно исследованию компании Forrester, 71% из них утверждают, что командам по компьютерной безопасности необходим доступ к данным по новым угрозам, новым методикам по обеспечению безопасности, способам реагирования на произошедшие инциденты и обнаруженные уязвимости. Тем не менее, 65% считают, что сегодня сложно обеспечить командам безопасности согласованный доступ к таким данным. 64% не могут на настоящий момент обмениваться данными о новых угрозах между различными департаментами в компании. Разрыв в знаниях между предприятиями и злоумышленниками, применяющими ransomware, растет с ускорением так как злоумышленники гораздо более эффективно распространяют между собой информацию об известных слабых местах программ.
Отсутствие у предприятий доступа к данным о новых угрозах приводит к тому, что злоумышленники всё чаще успешно достигают своих целей, проводя всё более сложных и изощренные нападения. При этом средний размер выкупа за восстановление утраченных данных становится больше. Средний размер выкупа сейчас составляет 45 млн долларов, при этом биткоин является самой частой валютой платежа. Организация по борьбе с финансовыми преступлениями Минфина США (FinCEN) в июне 2021 года опубликовала отчет, согласно которому объем связанных с ransomware подозрительных транзакций, о которых сообщали банки и платежные системы, за первое полугодие 2021 года достиг 590 млн долларов, что оказалось больше, чем за весь 2020 год (416 млн долларов). FinCEN также обнаружил, что за последние три года 10 ведущим преступным группам, занимающимся кибер-вымогательством, было выплачено 5,2 млрд долларов в биткоинах.
Кибер-преступники используют давно существующие уязвимости, чтобы проводить нападения на системы, где по каким-либо причинам не установлены патчи. В исследовании Forrester приведен пример двух уязвимостей (CVE-2009-3960 и CVE-2010-2861), обнаруженных более десяти лет назад. Патчи для них были выпущены через неделю после обнаружения. Однако до сих пор они не установлены на многих системах, чем и пользуются злоумышленники для проведения успешных атак. Преступникам удается использовать в своих целях даже те уязвимости, которые эксперты по безопасности считали относительно безвредными. По данным Ivanti, сейчас мошенники применяют в своих программах вымогателях 168 уязвимостей с оценкой угрозы 8 и ниже, то есть не являющихся критическими.
С другой стороны, преступники используют уязвимости, которые ещё не попали в реестр известных. Так называемые уязвимости «нулевого дня» попадают в поле зрения специалистов в области компьютерной безопасности только после совершения успешных нападений. С начала года выявлено 12 таких уязвимостей, которые были применены для запуска программ-вымогателей.
Три самых распространенных вида уязвимостей, которые используют создатели программ-вымогателей, следующие: пропуск процедуры авторизации, использование жестко прописанных в коде паролей и использования недостаточно случайных переменных при проведении криптографических операций.
Оба доклада рисуют неутешительную для работников компьютерной безопасности картину. Баланс сил смещается в сторону злоумышленников, использующих ransomware, благодаря тому, что они быстрее внедряют новые технологии в свой арсенал и начинают проводить атаки. В результате предприятиям необходимо срочно внедрять новые средства анализа угроз, системы управления обновлениями, если они хотят оставить себе хоть малейший шанс отразить атаки с применением программ-вымогателей.
Атака группы хакеров REvil на компанию-разработчика ПО Kaseya в апреле 2021 г. стала очередным подтверждением долгосрочной тенденции по использованию уязвимостей «нулевого дня». Это нападение ещё раз указывает на необходимость создания на предприятиях гибкой системы применения патчей с малыми сроками реагирования на новые угрозы, которая позволяет устранять уязвимости сразу после их обнаружения. Отсутствие такой системы приводит к тому, что обновления медленно распространяются на все устройства в компании, оставляя злоумышленникам лазейки для успешного нападения.