Кіберзлочинність все більше процвітає як бізнес-модель, програмне забезпечення-вимагач і програмне забезпечення-вимагач як послуга є рушійними силами інновацій, а викрадені дані доступу все частіше діють як дойна корова. За даними Sophos, 2023 рік також чекає компанії з кіберзахисту.
Компанія Sophos опублікувала звіт про загрози за 2023 рік. Серед іншого, у звіті описується новий ступінь комерціалізації кіберзлочинності, в результаті чого для потенційних зловмисників стають все більш доступними ознайомчі пропозиції з низьким порогом: Майже всі сценарії можна купити. Процвітаючий ринок кіберзлочинності як послуги обслуговує кримінальну аудиторію, яка варіюється від технічно підкованих до абсолютно необізнаних.
Теми поточного звіту про загрози Sophos
- Індустрія кіберзлочинності як послуги досягла нового рівня комерціалізації, який усуває багато бар’єрів для входу в кіберзлочинність і, враховуючи ліквідність, дає передову тактику загроз у руки майже будь-якому злочинцю.
- Програмне забезпечення-вимагач продовжує залишатися однією з головних загроз, з якими стикається бізнес, а кіберзлочинці зосереджуються на «інноваційних» тактиках атак і методах вимагання.
- Війна в Україні призвела до реструктуризації злочинних альянсів і зміни ландшафту програм-вимагачів.
- Кіберзлочинці все частіше використовують крадіжки облікових даних для проникнення в цільові мережі.
Зловмисники продовжують використовувати легітимні інструменти та виконувані файли для запуску атак і все частіше створюють власні вразливості. - Мобільні пристрої знаходяться в центрі нових тенденцій кіберзлочинності - це стосується як пристроїв Android, так і iOS.
- Одна з найстаріших форм криптозлочинності – майнінг криптовалют – занепадає, оскільки Monero (одна з найпопулярніших валют) втрачає цінність. З іншого боку, криптошахрайство вже є індустрією, що розвивається в Південній Азії.
Програми-вимагачі як рушійна сила ринку та схема для інших типів шкідливих програм
🔎 На перші три групи LockBit, BlackCat і Phobos припадає 40 відсотків атак (Зображення: Sophos).
Кримінальні підпільні ринки, такі як Genesis, вже давно сприяють купівлі зловмисного програмного забезпечення та послуг із впровадження зловмисного програмного забезпечення («шкідливе програмне забезпечення як послуга»), а також масовий продаж викрадених облікових даних та інших даних. За останнє десятиліття з’явилася ціла економіка «програм-вимагачів як послуга», оскільки програми-вимагачі набули популярності. Кіберзлочинці взяли успіх цієї інфраструктури як приклад і наслідують цей приклад. Тож зараз, у 2022 році, модель «як послуга» значно розширилася, і майже кожен аспект кіберзлочинності — від початкового зараження до способів уникнути виявлення — продається.
Крім того, кіберзлочинні ринки все більше й більше працюють як звичайні компанії. Деякі торгові майданчики створили спеціальні сторінки для заявок на роботу та найму працівників, де шукачі роботи коротко описують свої навички та кваліфікацію.
«Кіберзлочинці тепер продають інструменти та навички, які колись були в руках лише деяких із найдосконаліших зловмисників, як послуги іншим гравцям», — сказав Шон Галлахер, головний дослідник загроз у Sophos. «Наприклад, протягом останнього року ми бачили рекламу OPSEC-as-a-Service, де продавці пропонували допомогти зловмисникам приховати зараження Cobalt Strike, і ми бачили Scanning-a-Service, яка надає покупцям доступ до законних комерційні інструменти, такі як Metasploit, щоб вони могли знаходити вразливості та використовувати їх. Комерціалізація майже кожного компонента кіберзлочинності відкриває нові можливості для всіх типів зловмисників».
Відтермінування партнерства з кіберзлочинцями через війну в Україні
Традиційно українці та росіяни давно є партнерами в кіберзлочинному бізнесі, особливо коли йдеться про програми-вимагачі. Проте з початком війни деякі банди розпалися. Серед іншого це призвело до Conti Leaks – публікації журналів чатів цієї групи програм-вимагачів. Інший акаунт у Twitter також стверджував, що шпигував за ймовірними членами Trickbot, Conti, Mazo, Diavol, Ryuk і Wizard Spiders. Загалом, однак, міжнародна робота проти програм-вимагачів не стала легшою. Ось як групи програм-вимагачів перегрупувалися, і, здається, серед іншого, з’явився новий «REvil».
Програми-вимагачі залишаються популярними та інноваційними
Незважаючи на розширення інфраструктури кіберзлочинності, програми-вимагачі залишаються дуже популярними та високоприбутковими. Протягом останнього року оператори програм-вимагачів працювали над розширенням своїх потенційних служб атак, націлюючись на платформи, відмінні від Windows, і вводили нові мови, такі як Rust і Go, щоб уникнути виявлення. Деякі групи, особливо Lockbit 3.0, диверсифікували свої операції та розробили більш «інноваційні» методи вимагання жертв.
«Якщо ми говоримо про зростаючу витонченість кримінального підпілля, то це стосується і світу програм-вимагачів. Lockbit 3.0, наприклад, тепер пропонує програми винагороди за помилки для свого зловмисного програмного забезпечення та шукає ідеї від злочинного співтовариства для покращення своїх операцій. Інші групи перейшли на «модель підписки» для доступу до своїх награбованих даних, а треті продають їх на аукціоні. Програмне забезпечення-вимагач стало перш за все бізнесом», – сказав Галлахер.
🔎 Quasar, Redline і Agent Tesla є провідними викрадачами інформації, але конкуренція їх наздоганяє (Зображення: Sophos).
Дані доступу до гарячих товарів
Підпільна економіка, що розвивається, не лише прискорила зростання програм-вимагачів та індустрії «як послуг», але й збільшила попит на вкрадені облікові дані. З поширенням веб-сервісів різні типи облікових даних, зокрема файли cookie, можна використовувати різноманітними способами, щоб глибше закріпитися в мережах і навіть обійти багатофакторну автентифікацію. Крадіжка облікових даних також є одним із найпростіших способів для злочинців отримати доступ до підпільних ринків і почати свою «кар’єру».
Про звіт Sophos про загрози за 2023 рік
Звіт Sophos про загрози за 2023 рік базується на дослідженнях і висновках Sophos X-Ops, нової міжфункціональної організації, яка об’єднує три відомі групи експертів з кібербезпеки в Sophos (SophosLabs, Sophos SecOps і Sophos AI). Sophos X-Ops складається з понад 500 експертів з кібербезпеки по всьому світу, які здатні намалювати повну міждисциплінарну картину все більш складного ландшафту загроз. Щоб дізнатися більше про щоденні кібератаки та TTP, слідкуйте за Sophos X-Ops у Twitter і підпишіться на останні статті та звіти про дослідження загроз і операції з безпеки на передовій кібербезпеки.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.