За последние несколько лет появление массовых, разрушительных атак программ-вымогателей побудило правительство США принять меры по ограничению участия преимущественно российских субъектов, стоящих за этой катастрофой. В то же время программы-вымогатели были решающим фактором роста корпоративных бюджетов на кибербезопасность, поскольку организации борются с часто наносящей ущерб угрозой.
Несмотря на меры политики и увеличение финансирования со стороны частного сектора для замедления темпов атак, угрозы программ-вымогателей оставались главной темой на конференции RSA в этом году. Эксперты на мероприятии подчеркнули, что российские преступные деятели, находящиеся под санкциями государства, не единственные, кто опасается угрозы программ-вымогателей, и атаки программ-вымогателей не ослабевают, несмотря на активные усилия по пресечению их в зародыше. Те же самые действия, предпринятые для деактивации программ-вымогателей, могут привести к формированию альянсов между финансово мотивированными субъектами угроз для создания гибридных кибератак, сочетающих социальную инженерию с программами-вымогателями.
Иран является создателем программ-вымогателей
Выступая на RSA, Дмитрий Альперович, генеральный директор Silverado Policy Accelerator и соучредитель и бывший технический директор CrowdStrike, сказал, что Иран является новатором в области программ-вымогателей, использующих программу-вымогатель SamSam. Он указал, что иранская группировка атаковала город Атланту и штат Колорадо с помощью этой вредоносной программы, и что Иран первым внедрил игру в масштабную охоту.
«Не просто пытаться нацелиться на одну систему в сети и отключить ее, но и совершить вторжение, а затем распространить программу-вымогатель по всей сети, чтобы попытаться получить как можно больше выкупа, что мы видели сейчас от всех других групп, таких как REvil, LockBit и другие». «Одна из вещей, которую делают иранцы, и которую мы также видим в криминальном пространстве, — это утечка данных для преследования организаций», — сказал Альперович.
Атаки программ-вымогателей продолжают расти
Ошибочно думать, что атаки программ-вымогателей снижаются, что является распространенной ошибкой после украинского вторжения в Россию, сказала Сандра Джойс, исполнительный вице-президент и президент Mandiant Intelligence and Advanced Practices. «Если вы посмотрите на первый квартал год за годом и второй квартал год за годом, вы увидите очень крутой рост», — сказала она.
«Я могу сказать вам, что в Mandiant у нас был резкий всплеск за последние полторы недели». В частности, Джойс отметил подверженность сайта жертвам, «где, если вы не платите, и, откровенно говоря, в те моменты, когда вы действительно платите, злоумышленники пойдут и сбросят ваши данные туда».
Иногда программы-вымогатели не являются фактором групповых атак. «Многое из того, что мы измеряем для программ-вымогателей, смешивается с кражей данных и вымогательством, и может вообще не быть необходимости уничтожать какое-либо вредоносное ПО», — сказал Джойс. «Мы давно предполагали, что эти атаки не имеют ничего общего с вредоносными программами. Они могут быть просто вымогательством и кражей данных, а также могут рассматриваться как программы-вымогатели. Итак, нужно подумать о том, что в сфере программ-вымогателей происходит гораздо больше. с вредоносным ПО или без него — тактика уклонения от санкций».
REvil возвращается из мертвых
Альперович сказал, что новости о программах-вымогателях не так уж и плохи. «Мы получили хорошие новости о программах-вымогателях. В январе, месяц назад [Russia’s invasion of Ukraine]Русские приняли меры в отношении 14 человек, входивших в группу REvil, ответственную за некоторые из самых громких нападений в прошлом году».
Даже это яркое пятно было подорвано недавними событиями. — Проблема решена, верно? — сказал Альперович. «Ну, не так быстро. Произошла маленькая вещь, называемая войной, и это, конечно, привело к нарушению связи между киберкомандами правительства США и российскими киберкомандами. Это понятно».
«То, что вы сейчас видите, — это заявления адвокатов этих лиц в России, в которых говорится: «Ну, оказывается, Соединенные Штаты не предоставляют никакой информации, которую мы могли бы… использовать в судебных процессах над этими людьми». [prosecutors] Они должны просто снять обвинения и отпустить их. Неясно, произошло ли это еще».
В результате множество угроз возвращается к жизни в том, что, по словам Альперович, представляет собой невероятно устойчивую экосистему, которая распределяет обязанности между многими специализированными субъектами внутри группы. «Одна из вещей, которые мы видим сейчас, это то, что REvil начинает возвращаться. Некоторые из их сайтов и сетей вернулись, и мы должны очень внимательно следить за этим».
Атака программы-вымогателя в Коста-Рике — поучительная история
Недавняя атака программ-вымогателей на Коста-Рику, которая стоила стране сотни миллионов долларов потери производительности и побудила злоумышленников, занимающихся программами-вымогателями Conti, призвать к свержению правительства страны, подчеркивает непреходящую разрушительную силу программ-вымогателей. Мэтт Олсен, помощник генерального прокурора по национальной безопасности в Министерстве юстиции США, указал, что атака на Коста-Рику может быть не целенаправленной, а, скорее всего, неконтролируемой программой-вымогателем.
Олсен сказал, что атака в Коста-Рике могла быть «косвенным» ущербом от действий российской группы вымогателей. «Если посмотреть на то, что произошло с NotPetya, когда российская атака действительно была направлена на Украину, то это была своего рода фейковая атака программы-вымогателя. Но она сразу распространилась за пределы Украины. Такова природа таких атак. Они не признавать национальные границы. Я думаю, что это поучительная история, в которой вы видите, что есть все основания полагать, что Россия расширит свое влияние на страны и регионы, используя группы, которые помогут реализовать ее цели».
Активисты программ-вымогателей и BEC могут объединиться в течение следующего года или около того
Две крупнейшие кибератаки с финансовой точки зрения, программы-вымогатели и компрометация деловой электронной почты (BEC), развивались параллельно в течение последних пяти-шести лет, хотя с точки зрения сложности они находятся «на противоположных сторонах спектра киберпреступности», отмечает Крейн Хасолд. , директор по анализу угроз в Abnormal Security, сказал участникам конференции.
Программы-вымогатели — узконаправленная специализация с централизованной экосистемой. Хасолд сказал, что почти две трети всей активности программ-вымогателей в период с 2020 по 2021 год можно отнести всего к трем группам программ-вымогателей. «В настоящее время более 50% активности программ-вымогателей связано с Conti или LockBit».
С другой стороны, BEC работает с тысячами участников, не имеющих центрального руководства, в основном в таких местах, как Западная Африка или Нигерия. Несмотря на эти различия, Хасолд полагает, что в течение следующих 12-18 месяцев BEC привлечет злоумышленников, вымогателей, в основном потому, что правительственные власти мешают бандам вымогателей получать деньги с помощью криптовалюты. Он сказал: «Среда без трения, в которой ранее осуществлялись криптовалютные транзакции, начнет исчезать, и будет очень трудно проводить эти транзакции для более злонамеренных и незаконных целей. Из-за этого общая окупаемость инвестиций, общие необходимые усилия проведение этих транзакций начнется с создания убывающей отдачи для субъектов угрозы».
Представители программ-вымогателей «повернутся в другом месте, чтобы заработать деньги, и, по моему мнению, то, что мы можем увидеть в следующие 12–18 месяцев, — это фундаментальное сближение между участниками программ-вымогателей и пространством BEC для создания этой изощренной атаки социальной инженерии, которая занимает [on] Масштабы и изощренность программ-вымогателей».
© 2022 IDG Communications, Inc.