Киберугрозы 2024 года: на что стоит обратить внимание

^{Андрей Шабалин, аналитик по информационной безопасности NGR Softlab}

С каждым годом злоумышленники становятся все активнее. Об этом свидетельствует ежегодно увеличивающееся количество зарегистрированных инцидентов информационной безопасности. Тенденция свойственно не только для России, но и для всего мира. Кроме того, мы наблюдаем общее изменение распределения инцидентов по степени критичности: постепенно увеличивается доля инцидентов малой степени критичности и при этом существенно возрастает доля критичных инцидентов от общей массы. Этот дисбаланс обусловлен снижением входного порога в хакерское ремесло в совокупности с повышением уровня подготовки злоумышленников. Прогнозы экспертов указывают на то, что эти тренды, включая увеличение общего числа инцидентов информационной безопасности, сохранятся и в 2024 году. При этом сами киберугрозы будут становиться все более изощренными и масштабными, требуя от организаций постоянного совершенствования систем защиты. В связи с этим предлагаю рассмотреть общий ландшафт угроз на 2024 год более детально, чтобы понять, на что защитникам информации следует обратить внимание в первую очередь.

Развитие решений Malware-as-a-Service и Phishing-as-a-Service

Одним из главных глобальных факторов, влияющих как на снижение порога вхождения в мир киберприеступлений, так и на общее увеличение количества инцидентов, является развитие в сообществе злоумышленников таких концепций, как Malware-as-a-Service (MaaS) и Phishing-as-a-Service (PhaaS). За определенную плату (которая, как правило, значительно ниже полной стоимости конкретного вредоносного инструментария) злоумышленники получают доступ к вредоносному программному обеспечению, возможность использовать его при проведении атак, техническую поддержку, а в некоторых случаях и полноценное обучение пользованию поставляемыми инструментами. Аналогично и в случае с фишингом: пользователям таких сервисов, как правило, предоставляется все необходимое для проведения фишинговых атак, включая шаблоны писем, списки целей и инфраструктуру для рассылки. Исследователи частично связывают популяризацию PhaaS со стабильным ростом числа фишинговых атак. Значительный вклад в увеличение фишинговой активности также вносит генеративный ИИ. Хакеры используют нейронные сети для создания наиболее убедительных текстов. Использование различных чат-ботов помогает преодолевать языковые барьеры, что значительно расширяет географию действий хакеров. Таким образом, фишинг (T1566) остается одной из самых популярных техник получения первоначального доступа среди злоумышленников.

Распространение программ-вымогателей

Стоит отметить, что развитие описанных выше концепций также способствует более широкому распространению отдельных классов ВПО, в частности, программ-вымогателей (класс ransomware). Шифровальщики до сих пор остаются одной из наиболее важных киберугроз не только для российских организаций, но и по всему миру. Рост активности не останавливают ни аресты членов преступных организаций, ни захват их инфраструктуры правоохранителями. Кроме того, утечки исходных кодов вредоносного ПО, которые происходят с определенной периодичностью, активно используются хакерами для сборки и распространения новых вариантов вредоносных программ, а также для модификации существующего арсенала. В перспективе это может серьезно затруднить оперативное обнаружение и замедлить скорость реагирования специалистов на возникающие угрозы.

Объединение злоумышленников

Еще одним фактором, поддерживающим описанные ранее тренды, является аккумуляция ресурсов злоумышленников. Причем речь идет как о человеческих ресурсах, так и о материале, используемом хакерами для атак. Возрастающее с каждым годом геополитическое напряжение фактически подталкивает злоумышленников к объединению в полноценные синдикаты и альянсы, движимые общей целью, в большинстве случаев явно политически мотивируемой. Группировки объединяются в синдикаты для обмена опытом и материалами, добытыми во время совершенных вторжений в инфраструктуры, для дальнейшего его использования в последующих атаках. Это увеличивает эффективность злонамеренных действий и потенциальный ущерб от них. Подобная концепция получила название «каскадных атак». В ее осуществлении огромную роль играют так называемые «облака логов» — сервисы, предоставляющие информацию со стилеров за определенную плату. Злоумышленники предварительно проверяют логи на наличие ценной информации и только после этого делают их общедоступными. Вместе с изменением мотивации хакеров постепенно меняется и их тактика. Все чаще они руководствуются не только финансовыми мотивами, но и политическими, среди которых кибершпионаж, уничтожение информации и проведение разного рода диверсий.

Накопление информации способствует усовершенствованию методов социальной инженерии. Подобные атаки все чаще становятся адресными, таргетированными и более контекстуально глубокими. Одним из наиболее ярких примеров совершенствования методов «социальных инженеров» можно считать технику FakeBoss. Ее суть заключается в том, что злоумышленники, используя фейковый аккаунт, выдают себя за руководителей организации и предупреждают коллег о предстоящем звонке от «сотрудника службы безопасности» или «куратора», либо просят самих подчиненных связаться с ними. Во время разговора мошенники пытаются получить дополнительные сведения об организации и ее сотрудниках, а также, как это обычно бывает, «обезопасить» свои деньги переводом на неидентифицированный счет. Для общения при этом чаще всего используются мессенджеры, а также учетные записи, максимально похожие на оригинальные. С учетом нынешней ситуации эта тенденция, вероятнее всего, сохранится. Кроме того, ожидается совершенствование имеющихся методов, например, с применением технологии Deepvoice или украденных учётных данных из мессенджеров, поскольку подобные техники все чаще упоминаются в аналитических отчетах, посвященных и другим видам атак.

Утечки информации становятся более опасными

Один из немаловажных факторов, помогающий злоумышленникам собирать данные о своих потенциальных жертвах, это утечки информации. За 2023 год их количество снизилось примерно на треть, однако речь здесь идет только об опубликованных случаях утечек. Точно определить количество уникальных данных, относящихся к конкретной утечке, довольно сложно, поскольку опубликованные данные часто содержат информацию из предыдущих утечек или являются своего рода компиляцией. Кроме того, как было сказано ранее, утекшие данные предварительно анализируются на предмет полезной информации для последующих атак, поэтому часть информации не становится общедоступной. Некоторые эксперты также считают, что сейчас мы наблюдаем «затишье перед бурей», а именно — перед вступлением в силу закона об оборотных штрафах за утечки персональных данных. Эксперты считают, что значительная часть украденных данных только ожидает публикации, чтобы максимизировать потенциальный экономический ущерб. Таким образом, в 2024 году ожидается увеличение активности злоумышленников в этом направлении.

Инсайдеры как угроза информационной безопасности

В 2023 году злоумышленники для достижения своих целей нередко использовали инсайдеров, как преднамеренных, так и непреднамеренных. К преднамеренным можно отнести действующих на момент совершения правонарушения сотрудников, а также бывших работников организаций. Нередко случается, что бывшие сотрудники помогают злоумышленникам из-за рубежа, руководствуясь личными или финансовыми мотивами. Сейчас темпы оттока кадров за границу существенно замедлились, однако других предпосылок к снижению инсайдерской активности в этом году объективно не наблюдается. В связи с чем все большее количество организаций обращает свое внимание на решения класса UEBA. Стоит отметить, что за последние несколько лет они обрели некоторую степень зрелости, стали доступнее для бизнеса и даже успели зарекомендовать свою эффективность в детектировании злонамеренной активности.

Использование малого и среднего бизнеса для атак на крупные предприятия

Если говорить об увеличении ландшафта киберугроз, то стоит отметить изменения в логистических цепочках злоумышленников. Например, для атак на конечные системы они используют все более сложные схемы. Также набирает популярность компрометация с использованием зараженных сторонних программных компонентов, используемых в технологическтх стеках жертв. Подобного рода переориентацию в тактике также можно считать вполне объяснимой: крупные организации и бизнес всегда были привлекательными целями для злоумышленников, особенно в условиях обострения геополитической ситуации. Эти субъекты обычно оперируют большим объемом чувствительной информации и обладают значительными финансовыми ресурсами, что делает потенциальный ущерб от атак наиболее существенным. В ответ на увеличивающиеся угрозы кибербезопасности, такие организации адаптируются и пересматривают свои подходы к обеспечению безопасности, серьезно укрепляя защиту. Прямая атака на крупные инфраструктуры становится менее эффективной и более сложной с точки зрения технической и технологической подготовки. Однако ситуация обстоит иначе у небольших предприятий, большинство из которых остаются слабо защищенными. Эта привлекает внимание злоумышленников, так как компрометация таких систем иногда открывает доступ к более крупным игрокам. Более того, менее защищенные организации также нередко оперируют в своей работе большими объемами чувствительной информации. Поэтому существуют все предпосылки для того, чтобы данный тренд сохранялся и далее. Таким образом, крупный бизнес остается под пристальным вниманием злоумышленников, однако сам ландшафт угроз значительно расширяется, затрагивая теперь в равной степени и средний, и мелкий бизнес, что, в свою очередь, требует от МСБ повышенного внимания к процессам обеспечения внутренней безопасности.

Резюмируя, можно сказать, что:

• Злоумышленники продолжают наращивать активность, о чем свидетельствует увеличивающееся количество регистрируемых инцидентов информационной безопасности. Этому способствует снижение порога вхождения в хакерское сообщество, а также повышение уровня технического оснащения злоумышленников.
• Увеличению числа инцидентов ИБ частично способствует развитие решений класса Malware-as-a-Service и Phishing-as-a-Service.
• ВПО класса ransomware (вымогательский софт) продолжает оставаться серьезной угрозой как для российского, так и для зарубежного бизнеса, и активность вымогателей не снизится в 2024 году.
• Прослеживается тенденция к объединению преступных группировок в синдикаты, объединенных общей целью, что способно значительно увеличивать потенциальный ущерб от проводимых злоумышленниками атак.
• Общее число утечек имеет тенденцию к снижению, однако по своему содержанию они становятся более весомыми. Ожидается увеличение активности злоумышленников в 2024 году, в особенности после принятия закона об оборотных штрафах за утечку персональных данных.
• Инсайдерская угроза остается актуальной для бизнеса и в 2024 году.
• В 2024 году повышенный интерес злоумышленников будет направлен на мелкий и средний бизнес, включая подрядчиков крупных организаций с менее защищенной инфраструктурой, нежели у их заказчиков.

Таким образом, рассмотренные в статье тенденции свидетельствуют о повышении уровня зрелости злоумышленников и, как следствие, об увеличении среднего уровня защищенности российских компаний и общей зрелости отрасли информационной безопасности.

В связи с этим возникает необходимость в регулярном обучении сотрудников для повышения их осведомленности о текущем ландшафте киберугроз и методах защиты от них. Кроме того, необходимо уделять внимание используемым в инфраструктуре средствам защиты информации. Не стоит также пренебрегать комплексными решениями в сфере ИБ, нередко имеющими «под капотом» передовые технологии, такие как машинное обучение и искусственный интеллект. Их стоимость нередко бывает высокой относительно более простых в технологическом плане решений, однако в текущих реалиях использование более надежных и эффективных инструментов вполне оправдано. «Базовый минимум» из межсетевого экрана и антивирусной защиты часто оказывается недостаточным для детектирования хорошо подготовленных злонамеренных действий. Также важно правильно организовать взаимодействие компании с вендорами и подрядчиками, чтобы минимизировать возможные риски от подобной активности. Для этого необходимо подробно описывать правила интеракции в политиках безопасности или других документах, регламентирующих информационную безопасность. Кроме того, увеличивается ценность использования в системах защиты актуальной и своевременно обновляемой информации о киберугрозах. В этом специалистам могут помочь различные решения класса Threat Intelligence.