У 2023 році бот-мережі повернулися з мертвих, учасники програм-вимагачів знайшли креативні способи заробляти гроші на крадіжках, а учасники загроз, які були на волі протягом десяти років, переосмислили себе, щоб залишатися актуальними.
Експерти з розвідки загроз Cisco Talos проаналізували ключові події 2023 року та узагальнили їх у щорічному огляді, який варто прочитати. Стандартна робота за 2023 рік кіберзлочинності висвітлює найважливіші тенденції, які сформували ландшафт загроз минулого року.
Вектор атаки програм-вимагачів
Найбільшу загрозу для компаній у 2023 році все ще становили програми-вимагачі. Другий рік поспіль LockBit займає безславну першу позицію в цій галузі. І, як зазвичай, зловмисники зосередилися на закладах, які мають обмежені ресурси кібербезпеки або можуть терпіти невеликі простої, особливо в секторі охорони здоров’я. Однак у 2023 році не все було так, як завжди: такі актори, як Клоп, покладалися на подвиги нульового дня. Така поведінка зазвичай пов’язана з активністю груп Advanced Persistent Threats (APT). Новим також було те, що учасники програм-вимагачів перейшли на чистий шантаж і пропустили частину шифрування.
«На жаль, у 2023 році атаки з нульовими днями більше не обмежуватимуться зловмисниками з національних держав», — говорить Хольгер Унтербрінк, технічний керівник Cisco Talos у Німеччині. «Якщо ціль є прибутковою, злочинні банди атакуватимуть знову через 0 днів. Компанії повинні враховувати це у своїй архітектурі безпеки та управлінні ризиками».
Зловмисники адаптують свої стратегії
Дані телеметрії від Cisco Talos показують, що завантажувачі товарів із відомих сімейств, таких як Qakbot і IcedID, продовжували використовуватися для розповсюдження програм-вимагачів. Однак ці завантажувачі позбулися всіх залишків свого минулого як банківських троянів і тепер представляють себе як елегантні інструменти для передачі корисних даних. Розробники та оператори змогли адаптуватися до покращеного захисту та знайшли нові способи обійти більш часті оновлення безпеки. Швидкість, з якою групи програм-вимагачів змогли оговтатися після успішних розслідувань, також була несподіваною. Демонтаж мережі Quakbot у серпні 2023 року був ефективним лише на короткий час. Аналіз Talos показує, що дії правоохоронних органів, можливо, не вплинули на інфраструктуру надсилання спаму операторів Qakbot, а лише на їхні командно-контрольні (C2) сервери.
Націлені мережеві пристрої та старі вразливості
Новою міжрегіональною тенденцією є збільшення атак на мережеві пристрої з боку APT і програм-вимагачів. Обидві групи зосередилися на вразливостях пристроїв і слабких або неправильних облікових даних. Це показує, що мережеві системи надзвичайно цінні для зловмисників - незалежно від їхніх конкретних намірів.
Що стосується використання вразливостей додатків, аналіз Talos показує, що зловмисники в 2023 році в основному націлювалися на старі вразливості – уразливості, які були відомі десять і більше років, але в багатьох випадках досі не були виправлені. Більшість вразливостей, які найчастіше піддаються атакам, оцінюються Cisco Kenna та Загальною системою оцінки вразливостей (CVSS) як максимальна або висока серйозність, а також перераховані в каталозі відомих уразливостей CISA.
Використання соціальної інженерії для таких операцій, як фішинг і компрометація ділової електронної пошти (BEC), також не припинялося в 2023 році. Однак через те, що Microsoft відключила макроси за замовчуванням у 2022 році, зловмисники все частіше використовують інші типи файлів, щоб приховати своє шкідливе програмне забезпечення. PDF-файли були найбільш часто блокованим розширенням файлів цього року.
Діяльність APT демонструє геополітичну нестабільність
Аналіз груп APT з Китаю, Росії та Близького Сходу займає багато місця у звіті Cisco Talos 2023. Дані телеметрії чітко відображають збільшення трафіку підозрілих даних паралельно з геополітичними подіями. Дедалі більш напружені відносини Заходу з країнами Азіатсько-Тихоокеанського регіону призвели до збільшення готовності груп APT з Китаю завдавати шкоди - особливо в сфері критичної інфраструктури в таких країнах, як Тайвань.
Що стосується російських АПТ, то Гамаредон і Турла, як і очікувалося, націлилися на Україну. Цікаво, однак, що російська діяльність не продемонструвала повного спектру своїх руйнівних кіберможливостей. Гамаредон в першу чергу був націлений на об’єкти в Північній Америці та Європі, з непропорційно великою кількістю жертв у Західній Європі. Іранський державний актор APT MuddyWater залишався головною загрозою Близького Сходу у 2023 році. Однак галузеві контрзаходи вплинули на здатність групи використовувати стандартні інструменти, включаючи платформу дистанційного керування та моніторингу Syncro (RMM).
Події на початку жовтня 2023 року між ХАМАС та Ізраїлем сприяли тому, що кілька політично вмотивованих хактивістських груп розпочали нескоординовані та здебільшого нехитрі атаки проти обох сторін. Подібний розвиток подій можна було спостерігати вже на початку російсько-української війни. Cisco Talos очікує, що складне та динамічне геополітичне середовище на Близькому Сході також вплине на кібердомен.
Додаткова інформація зі звіту Talos:
Використання дійсних облікових записів було одним із найпоширеніших методів MITER ATT&CK, підкреслюючи, що зловмисники покладаються на скомпрометовані облікові дані на різних етапах своїх атак.
Нові варіанти програм-вимагачів використовували витік вихідного коду з інших груп RaaS. Це також дозволило менш досвідченим гравцям розпочати вимагання програм-вимагачів.
Підозрілий мережевий трафік продемонстрував різке зростання активності, яке збіглося з великими геополітичними подіями та глобальними кібератаками, такими як масштабна DDoS-атака на Microsoft Outlook.
Про Cisco Cisco є провідною світовою технологічною компанією, яка робить Інтернет можливим. Cisco відкриває нові можливості для додатків, безпеки даних, трансформації інфраструктури та розширення можливостей команд для глобального та інклюзивного майбутнього.
Статті по темі