Эксперты "Лаборатории Касперского" подвели итоги уходящего года и вспомнили, что важного в сфере кибербезопасности произошло в 2017 г. В 2017 г. многие угрозы на поверку оказались не тем, чем представлялись поначалу: вымогатель оказался программой-вайпером, легитимное бизнес-ПО – вредоносным оружием, продвинутые кибергруппировки стали использовать простые методы, а в руки мелких злоумышленников попали высокотехнологичные инструменты. Тенденции, начавшиеся в этом году, без сомнения, перейдут и в следующий. А потому важно сделать правильные выводы и подготовиться к киберугрозам 2018 г.
Если говорить о главной тенденции 2017 г., ее можно назвать размыванием границ между различными видами угроз и типами вредоносной активности. В качестве примера можно привести прокатившуюся в июне волну атак троянца ExPetr. На первый взгляд эта вредоносная программа казалась очередным вымогателем, но на деле оказалась адресной деструктивной программой-вайпером.
Другой пример – публикация кода группировкой ShadowBrokers, в результате чего продвинутые эксплойты, якобы разработанные АНБ, попали в руки криминальных групп, которые иначе не получили бы доступа к коду такого высокого уровня. Еще один пример – появление APT-кампаний (англ. advanced persistent threat — развитая устойчивая угроза, целевая кибератака), проводимых не ради кибершпионажа, а для кражи денег с целью финансирования других видов деятельности, в которых участвует APT-группировка. Будет интересно узнать, какое развитие получит эта тенденция в 2018 г.
Ключевыми событиями 2017 г., безусловно, были атаки вымогателей WannaCry, ExPetr и BadRabbit. Исследователи полагают, что за WannaCry стояла известная хакерская группировка Lazarus. На данный момент число жертв этого вымогателя, который распространялся с ошеломляющей скоростью, оценивается в 700 тыс. пользователей по всему миру.
Вымогатель ExPetr был более узконаправлен и заражал компании через взломанное бизнес-ПО. В число его жертв попали многие известные мировые бренды. Так, Maersk – мировой лидер в области морских контейнерных перевозок – заявил, что "значительные нарушения бизнес-процессов", вызванные действиями зловреда, привели к потере от $200 млн до $300 млн, а FedEx/TNT – об упущенном доходе в размере $300 млн. В целом крупные киберпреступные группировки по всему миру продолжили свою обычную деятельность, но с применением новых, более сложных в обнаружении инструментов и методов. В течение года стали известны подробности по целому ряду вредоносных кампаний, в том числе об исторически значимой кампании кибершпионажа Moonlight Maze, произошедшей 20 лет назад и, вероятно, связанной с современной APT-группировкой Turla, а также о другой связанной с ней APT-кампании, которую в "Лаборатории Касперского" назвали WhiteBear.
В 2017 г. наблюдалось возобновление целевых атак, направленных на уничтожение данных наряду с их кражей либо вместо нее. Примерами могут служить Shamoon0 и StoneDrill. Злоумышленники добивались успеха, проводя технически несложные, слабо организованные кампании, иногда длившиеся годами. Это хорошо видно на примере вредоносной программы EyePyramid, чьи жертвы находились в Италии. Другой пример того, как киберпреступники могут достигать своих целей, используя дешевые инструменты и тщательно выбирая своих жертв, – вредоносная кампания Microcin. В 2017 г. стало очевидно, что злоумышленники, реализующие сложные угрозы, широко применяют обычную кражу средств для финансирования своей высокозатратной деятельности. В частности, эксперты "Лаборатории Касперского" рассказали о BlueNoroff – команде в составе группировки Lazarus, которая занимается финансовыми махинациями. Среди мишеней BlueNoroff были, среди прочего, финансовые учреждения, казино, разработчики ПО для финансовых трейдеров и предприниматели, чей бизнес связан с криптовалютами. Одной из наиболее значимых кампаний BlueNoroff стали атаки на финансовые учреждения в Польше.
В текущем году продолжился рост числа атак на банкоматы. Мишенями злоумышленников стала банковская инфраструктура и платежные системы, а в ходе атак, помимо таких примитивных методов, как заклеивание объективов камер и сверление отверстий, применялись продвинутые бесфайловые зловреды. Недавно была обнаружена еще одна целевая атака на финансовые учреждения, в основном на банки, расположенные в России, а также в Малайзии и Армении. Злоумышленники, стоящие за этим троянцем, получившим название Silence, применяли методику, подобную той, которую использовал Carbanak. В 2017 г. атаки на цепочку поставки ПО проявились в вирусах ExPetr и ShadowPad и, по всей вероятности, в 2018 г. будут расти. Интернет вещей также под угрозой: спустя год после активности ботнета Mirai в 2016 г., ботнет Hajime смог заразить 300 тыс. подключенных устройств – и это лишь одна из многих кампаний, нацеленных на подключенные устройства и системы.
В этом году продолжилось развитие мобильных угроз. Из-за зараженных троянцами мобильных приложений пользователи столкнулись с агрессивной рекламой, атаками вымогателей и кражей денег посредством SMS— и WAP-биллинга. В мобильных зловредах использовались новые приемы для обхода детектирования, обмана защитных технологий и эксплуатации новых сервисов. Как и в 2016 г., многие зараженные приложения были доступны во внушающих доверие магазинах, таких как Google Play Store. Наиболее широкое распространение в 2017 г. получили троянцы Ztorg, Svpeng, Dvmap, Asacub и Faketoken. В 2017 г. имели место крупные утечки данных из компаний Avanti Markets, Election Systems & Software, Dow Jones, America’s Job Link Alliance, Equifax и др., от которых в целом пострадали миллионы пользователей. Также в ноябре 2017 г. стало известно об утечке из Uber, произошедшей в октябре 2016 г., в результате которой были опубликованы данные о 57 млн пользователей и водителей такси.