Введение
Конец года – это хорошее время, чтобы подвести итоги основных инцидентов кибербезопасности, имевших место в уходящем году, и попытаться оценить, какое влияние они оказали на организации и пользователей, а также на развитие ландшафта угроз в целом.
Если говорить о главной тенденции 2017 года, ее можно назвать размыванием границ между различными видами угроз и типами вредоносной активности. В качестве примера можно привести прокатившуюся в июне волну атак троянца ExPetr. На первый взгляд эта вредоносная программа казалась очередным вымогателем, но на деле оказалась адресной деструктивной программой-вайпером. Другой пример – публикация дампа кода группировкой ShadowBrokers, в результате чего продвинутые эксплойты, якобы разработанные АНБ, попали в руки криминальных групп, которые иначе не получили бы доступа к коду такого высокого уровня. Еще один пример – появление APT-кампаний, проводимых не ради кибершпионажа, а для кражи денег с целью финансирования других видов деятельности, в которых участвует APT-группировка. Будет интересно узнать, какое развитие получит эта тенденция в 2018 году.
Главные события 2017 года
- Ключевыми событиями 2017 года, безусловно, были атаки вымогателей WannaCry, ExPetr и BadRabbit. Исследователи полагают, что за WannaCry стояла известная хакерская группировка Lazarus. На данный момент число жертв этого вымогателя, который распространялся с ошеломляющей скоростью, оценивается в 700 тыс. пользователей по всему миру. Вымогатель ExPetr был более узконаправлен и заражал компании через взломанное бизнес-ПО. В число его жертв попали многие известные мировые бренды. Так, Maersk – мировой лидер в области морских контейнерных перевозок – заявил, что «значительные нарушения бизнес-процессов», вызванные действиями зловреда, привели к потере от $200 до $300 млн, а FedEx/TNT – об упущенном доходе в размере $300 млн.
- В целом, крупные киберпреступные группировки по всему миру продолжили свою обычную деятельность, но с применением новых, более сложных в обнаружении инструментов и методов. В течение года мы публиковали отчеты по целому ряду вредоносных кампаний, в том числе об исторически значимой кампании кибершпионажа Moonlight Maze, произошедшей 20 лет назад и, вероятно, связанной с современной APT-группировкой Turla, а также о другой связанной с ней APT-кампании, которую мы назвали WhiteBear. Кроме того, мы раскрыли новейший инструментарий группировки Lamberts, по уровню профессионализма стоящей в одном ряду с Duqu, Equation, Regin и ProjectSauron, а также опубликовали новые данные о группировке Spring Dragon. В октябре наши передовые системы защиты от эксплойтов обнаружили новый эксплойт для уязвимости нулевого дня в Adobe Flash, который доставлялся через документ Microsoft Office и использовался «в дикой среде» против наших клиентов. Мы уверены, что эта атака связана с группировкой, которую мы отслеживаем под именем BlackOasis. Подробный обзор APT-кампаний 2017 года доступен в рамках нашего ежегодного APT-вебинара здесь.
- В 2017 году мы наблюдали возобновление целевых атак, направленных на уничтожение данных наряду с их кражей либо вместо нее. Примерами могут служить Shamoon0 и StoneDrill. Мы также раскрыли случаи, когда злоумышленники добивались успеха, проводя технически несложные, слабо организованные кампании, иногда длившиеся годами. Это хорошо видно на примере вредоносной программы EyePyramid, чьи жертвы находились в Италии. Другой пример того, как киберпреступники могут достигать своих целей, используя дешевые инструменты и тщательно выбирая своих жертв, – вредоносная кампания Microcin.
- В 2017 году стало очевидно, что злоумышленники, реализующие сложные угрозы, широко применяют обычную кражу средств для финансирования своей высокозатратной деятельности. В частности, мы рассказали о BlueNoroff – команде в составе группировки Lazarus, которая занимается финансовыми махинациями. Среди мишеней BlueNoroff были, среди прочего, финансовые учреждения, казино, разработчики ПО для финансовых трейдеров и предприниматели, чей бизнес связан с криптовалютами. Одной из наиболее значимых кампаний BlueNoroff стали атаки на финансовые учреждения в Польше.
- В 2017 году продолжился рост числа атак на банкоматы. Мишенями злоумышленников стала банковская инфраструктура и платежные системы, а в ходе атак, помимо таких примитивных методов, как заклеивание объективов камер и сверление отверстий, применялись продвинутые бесфайловые зловреды. Недавно мы обнаружили еще одну целевую атаку на финансовые учреждения – в основном на банки, расположенные в России, а также в Малайзии и Армении. Злоумышленники, стоящие за этим троянцем, получившим название Silence, применяли методику, подобную той, которую использовал Carbanak.
- Атаки на цепочку поставки ПО, судя по всему, занимают место атак типа watering hole в деятельности злоумышленников, атакующих бизнес. В 2017 году этот вид угроз проявился в атаках ExPetr и ShadowPad и, по всей вероятности, в 2018 году будет расти.
- Спустя год после активности ботнета Mirai в 2016 году, ботнет Hajime смог заразить 300 000 подключенных устройств – и это лишь одна из многих кампаний, нацеленных на подключенные устройства и системы.
- В 2017 году имели место крупные утечки данных из компаний Avanti Markets, Election Systems & Software, Dow Jones, America’s Job Link Alliance, Equifax и др., от которых в целом пострадали миллионы пользователей. Также в ноябре 2017 года стало известно об утечке из Uber, произошедшей в октябре 2016 г., в результате которой были опубликованы данные о 57 миллионах пользователей и водителей такси.
- В 2017 году также продолжил свое развитие ландшафт мобильных угроз. Из-за зараженных троянцами мобильных приложений пользователи столкнулись с агрессивной рекламой, атаками вымогателей и кражей денег посредством SMS— и WAP-биллинга. В мобильных зловредах использовались новые приемы для обхода детектирования, обмана защитных технологий и эксплуатации новых сервисов. Как и в 2016 году, многие зараженные приложения были доступны во внушающих доверие магазинах, таких как Google Play Store. Наиболее широкое распространение в 2017 году получили троянцы Ztorg, Svpeng, Dvmap, Asacub и Faketoken.
Заключение
В 2017 году многие угрозы на поверку оказались не тем, чем представлялись поначалу: вымогатель оказался программой-вайпером, легитимное бизнес-ПО – вредоносным оружием, продвинутые кибергруппировки стали использовать простые методы, а в руки мелких злоумышленников попали высокотехнологичные инструменты. Одним словом, с точки зрения ландшафта киберугроз этот год принес перемены, которые поставили перед специалистами по кибербезопасности новые непростые задачи.
Узнать подробнее о текущей ситуации в области кибербезопасности и получить рекомендации по защите от угроз вы можете в полном тексте Обзора 2017 года.
Kaspersky Security Bulletin: обзор 2017 года