Тенденция, которая наблюдалась в уходящем 2017 г., однозначно говорит о том, что точно не стоит ожидать уменьшения количества и масштабов кибератак. Вероятно, атаки все чаще будут целенаправленными, а развитие новых технологических сфер, таких как криптоиндустрия и интернет вещей, не останется без внимания хакеров.
Таким образом, возросшие угрозы приведут к резкому росту расходов бизнеса и государственных структур на защиту данных. Так, по прогнозу Cybersecurity Ventures, в течение следующих четырех лет глобальные расходы на кибербезопасность составят около $1 трлн. Однако ущерб от киберпреступности тоже значительно вырастет.
По мнению экспертов из Group-IB, главной опасностью для банков станет не воровство денег, а разрушение их ИТ-инфраструктуры как финальный этап целенаправленной хакерской атаки. Раньше на банки покушались только киберпреступники, теперь это все чаще прогосударственные хакеры.
Разрушая ИТ-инфраструктуру, киберпреступники пытаются замести следы, а госхакеры — максимизировать ущерб банка и остановить банковские операции. В обоих случаях ущерб для банка может быть даже больше, чем от хищения денег. Одним из возможных сценариев диверсии могут быть торги на биржах от имени банка с целью влияния на курсы валют. Это может привести к запуску лавинообразных операций, совершаемых торговыми роботами после резких колебаний валютных курсов.
Хакеры сумели автоматизировать фишинг под банки и платежные системы, фишинг теперь происходит без непосредственного участия киберпреступника в каждой краже. Ежедневно жертвами финансового фишинга в России становятся более 900 клиентов банков. В среднем 10–15% посетителей фишинговых сайтов попадаются на уловку преступников и вводят свои данные.
Хакеры переключают свое внимание с банков на криптоиндустрию (ICO, кошельки, биржи, фонды), где аккумулируется все больше денег. Атаки на такие компании с точки зрения технической реализации не сложнее атак на банки, в то время как уровень зрелости ИБ в блокчейн-компаниях гораздо ниже. В то же время особенности блокчейн-технологий способствуют анонимности и значительно снижают риск быть пойманным при обналичивании.
Суммарный ущерб от целевых хакерских атак на криптоиндустрию составил более $168 млн, а доход от атак на криптобиржи варьируется от $1,5 (Bitcurex) до $72 млн (Bitfinex), в то время как в результате успешной атаки на банк преступники в среднем зарабатывают всего $1,5 млн.
Взломы криптовалютных бирж проводятся по той же схеме, что и целенаправленные атаки на банки: используются схожие, а иногда и идентичные инструменты, а также похожие тактики. Например, злоумышленники получают SIM-карты по поддельным документам для восстановления паролей и получения контроля над счетом в криптовалютных сервисах.
Злоумышленники «перенастраивают» популярные банковские трояны, такие как TrickBot, Vawtrak, Qadars, Tinba, Marcher, для сбора логинов и паролей пользователей криптовалют. Это говорит о том, что преступники нашли для себя новую прибыльную нишу и в ближайшее время можно ожидать снижения их активности в традиционной банковской сфере.
Повышенный интерес к криптовалютной индустрии неизбежно приведет к тому, что все больше атак будет совершаться не только финансово мотивированными хакерами, но и группировками, спонсируемыми государствами, которые будут пытаться использовать этот новый финансовый инструмент для влияния на мировую экономику.
Интернет вещей
Еще одна угроза, которая поджидает сетевое сообщество в следующие 12 месяцев, — массовые взломы роутеров и модемов. Эти устройства играют роль своеобразных «привратников», открывающих дверь в интернет, что делает их целью злоумышленников, когда те хотят незаметно закрепиться в сети.
Недавнее исследование «Лаборатории Касперского» показало, что киберпреступники могут имитировать различных пользователей интернета, маскируя свои действия другим адресом подключения. В пользу этого сценария говорит и то, что «умные» устройства становятся все мощнее, а значит, возможности киберпреступников возрастают многократно.
Кроме того, в 2018 г., по мнению экспертов, злоумышленники могут выйти за границы привычных устройств и начать активнее атаковать новые подключенные к интернету системы, например автомобили или медицинские приборы. Так, в случае с машинами злоумышленники могут заразить смартфон автовладельца и манипулировать приложением, которое управляет различными функциями автомобиля: открыванием и закрыванием дверей, запуском двигателя, определением местонахождения и т. п.
Атака на посредников
Эксперты «Лаборатории Касперского» считают, что в 2018 г. увеличится количество атак на разработчиков легитимного ПО. Проще говоря, атаковать будут не конечные цели — как правило, это большие компании с надежной и многослойной киберзащитой. В таких случаях гораздо проще использовать посредника, которым может выступить производитель популярных программ, используемых в корпоративном сегменте, говорится в сообщении.
По данным компании, атаки вирусов-вымогателей WannaCry, ExPetr и Bad Rabbit показали, что технологические сети могут быть даже более уязвимыми, чем корпоративные.
При этом ущерб от активности вредоносного ПО в технологической сети может превышать вред, наносимый этим же ПО в сети корпоративной, а действия персонала в случае кибератаки на технологическую инфраструктуру часто организованы неэффективно. Все эти факторы делают промышленные системы привлекательными мишенями для атак с применением программ вымогателей.
Бестелесность и вредоносные скрипты — новый (и теперь уже основной) принцип проведения атак. Хакеры стараются оставаться незамеченными и для этого используют «бестелесные» программы, которые работают только в оперативной памяти и уничтожаются после перезагрузки. Кроме того, скрипты на PowerShell, VBS, PHP помогают им обеспечивать персистентность (закрепление) в системе, а также автоматизировать некоторые этапы атаки.
История с NotPetya продемонстрировала, что для захвата контроля над корпоративной сетью достаточно создать шаблон — заскриптовать несколько простых шагов. В будущем стоит ожидать большого количества заскриптованных атак, а также готовых простых инструментов, которые будут автоматически получать контроль над инфраструктурой компании.
Появление таких инструментов в открытом доступе или в продаже среди хакеров может привести к лавинообразному росту самых разных атак на корпоративный сектор. В первую очередь ожидается рост инцидентов с шифровальщиками, кражей конфиденциальной информации и вымогательством за неразглашение данных, а также увеличение количества хищений денежных средств и публичных разоблачений, проводимых не финансово мотивированными атакующими.
В ближайшее время появится больше последователей The Shadow Brokers и инсайдеров, помогающих WikiLeaks. Ожидается, что авторы вредоносных программ продолжат более активно выкладывать исходные коды своих программ. Кроме того, утечки, публикуемые The Shadow Brokers и их возможными последователями, также будут незамедлительно применяться на практике для создания и усовершенствования вредоносных программ. Это даст мощный толчок к развитию индустрии кибернападения.