Прогнозирование тенденций атак программ-вымогателей в 2024 году

Программы-вымогатели — это вредоносное ПО, которое шифрует пользовательские данные и требует выкуп. Важные данные пользователя или организации шифруются, чтобы лишить пользователя доступа к файлам, базам данных или приложениям. Затем хакеры требуют выкуп за восстановление доступа пользователя.

Программы-вымогатели часто предназначены для распространения по сетям и атакуют базы данных и серверы, что может быстро парализовать работу целой организации. Угроза, исходящая от программ-вымогателей, растёт, нанося значительный ущерб и приводя к значительным затратам для предприятий и государственных организаций.

Отчет о программах-вымогателях за третий квартал 2023 года, подготовленный компанией Cyble, которая собирает и анализирует информацию о текущих и потенциальных кибератаках в США, показывает, что в последние месяцы хакеры использовали все больше уязвимостей безопасности для распространения программ-вымогателей и других вредоносных программ.

Вот некоторые тенденции атак программ-вымогателей, которые, по прогнозам, будут иметь место в ближайшем будущем, о которых сообщил Центр исследований кибербезопасности Cyble Research & Intelligence Labs (CRIL):

1. Сектор здравоохранения находится под прицелом программ-вымогателей

Хотя в первой половине года наблюдался рост числа атак программ-вымогателей на производственный сектор, последние тенденции демонстрируют смещение акцента в сторону здравоохранения. В результате здравоохранение вошло в пятерку основных направлений атак программ-вымогателей, составив почти четверть всех атак.

Эти атаки конкретно мотивированы желанием собрать данные о защищенной медицинской информации (PHI) и другие конфиденциальные данные, к которым имеют доступ поставщики медицинских услуг и организации, и как только эти данные будут собраны, хакеры продадут их в даркнете.

Согласно отчёту Cyble о программах-вымогателях, сектор здравоохранения особенно уязвим для атак программ-вымогателей, поскольку имеет чрезвычайно обширную поверхность атаки, охватывающую множество веб-сайтов, порталов, миллиарды медицинских устройств Интернета вещей (IoT) и обширную сеть партнёров и поставщиков в цепочке поставок. Поэтому для защиты критически важных данных и обеспечения бесперебойной работы важнейших функций здравоохранения крайне необходим стандартизированный план кибербезопасности для этого сектора.

Согласно отчету Cyble, наряду со здравоохранением наиболее подверженными риску секторами в третьем квартале 2023 года являются профессиональные услуги, информационные технологии и строительство.

2. Организации с высоким уровнем дохода находятся в центре внимания программ-вымогателей

Операторы программ-вымогателей часто атакуют организации с высоким уровнем дохода, управляющие конфиденциальными источниками данных. Это не только укрепляет репутацию оператора программы-вымогателя как серьёзной угрозы, но и повышает вероятность получения выкупа.

Поскольку организации с высоким уровнем дохода обладают финансовыми возможностями выплачивать крупные выкупы, требуемые хакерами, они также более уязвимы к тому, чтобы их имидж не был испорчен кибератаками.

3. США — страна, наиболее подверженная атакам программ-вымогателей.

В отчете Cyble говорится, что Соединенные Штаты являются наиболее уязвимой страной для операторов программ-вымогателей: в третьем квартале 2023 года США столкнулись с большим количеством атак с использованием программ-вымогателей, чем следующие 10 стран вместе взятые.

Эксперты Cyble объясняют это уникальной ролью США в становлении страны с высокой степенью цифровизации и огромным глобальным охватом. В силу геополитических факторов США также являются основной целью для хакерских группировок, использующих программы-вымогатели для достижения своих целей, основанных на предполагаемой социальной несправедливости или протесте против внутренней и внешней политики.

Странами с наибольшим числом атак программ-вымогателей после США в третьем квартале 2023 года стали Великобритания, Италия и Германия.

4. Вирус-вымогатель LockBit по-прежнему представляет потенциальную угрозу

Хотя программа-вымогатель LockBit изначально представляла собой отдельное семейство, с тех пор она несколько раз эволюционировала, и последняя версия получила название «LockBit 3.0». LockBit представляет собой семейство программ-вымогателей, работающих по модели «программы-вымогатели как услуга» (RaaS).

RaaS — это бизнес-модель, при которой пользователи платят за доступ к определённому типу программ-вымогателей, чтобы использовать их для собственных атак. Таким образом, пользователь становится партнёром, и его оплата может быть фиксированной или осуществляться по подписке. Другими словами, создатели LockBit нашли способ получить дополнительную прибыль от использования программы, используя эту модель RaaS, и могут даже получить выкуп от жертвы.

Хотя общее число атак вирусов-вымогателей LockBit было немного ниже, чем в предыдущем квартале (на 5%), они по-прежнему затронули наибольшее количество жертв: в третьем квартале 2023 года было подтверждено 240 жертв.

В третьем квартале 2023 года наблюдался рост числа атак со стороны новых группировок, занимающихся распространением программ-вымогателей, таких как Cactus, INC Ransom, Metaencryptor, ThreeAM, Knight Ransomware, Cyclop Group и MedusaLocker. Это говорит о том, что, хотя эти группы не имеют такого же профиля и глобального присутствия, как более крупные группы, такие как LockBit, они все равно представляют потенциальную угрозу.

5. Растущее использование языков программирования Rust и GoLang в новых вариантах программ-вымогателей

Группы программ-вымогателей постоянно пытаются затруднить обнаружение и анализ своих действий или сделать их вообще невозможными. Это затрудняет жертвам, экспертам по кибербезопасности и правительствам анализ и изучение программ-вымогателей, методов их заражения и их функционирования для разработки соответствующих решений.

Однако последние тенденции, наблюдаемые Cyble, демонстрируют растущую популярность двух языков программирования Rust и GoLang среди известных группировок, занимающихся разработкой программ-вымогателей, таких как Hive, Agenda, Luna и RansomExx.

Причина, по которой хакеры используют языки программирования Rust и GoLang, заключается в том, что использование этих языков программирования затрудняет анализ активности программы-вымогателя в системе жертвы и упрощает ее настройку для нацеливания на несколько операционных систем и увеличения скорости заражения.

Как организации отреагировали на рост числа атак программ-вымогателей?

Недавний рост числа атак программ-вымогателей привлёк внимание правительств и регулирующих органов по всему миру, которые приняли меры по снижению последствий и частоты атак. Компании также взяли ситуацию под контроль, внедряя меры по предотвращению рисков и минимизации последствий атак программ-вымогателей.

1. Сосредоточьтесь на обучении сотрудников

Сотрудники организации часто оказываются первой линией обороны от любых атак, и программы-вымогатели не являются исключением. Соответственно, компании активизировали программы повышения осведомленности и обучения по кибербезопасности, внедрили обязательные обучающие курсы и продвигают культуру киберосведомленности. Типичные примеры этого включают обучение тому, как распознавать попытки фишинга, как обращаться с подозрительными вложениями и как выявлять попытки фишинга.

2. Планирование реагирования на инциденты

Несмотря на профилактические меры, атаки программ-вымогателей всё ещё могут происходить по ряду причин. Организации приняли это во внимание и уделили больше внимания разработке комплексных мер реагирования на подобные инциденты. Это включает в себя создание каналов связи для оперативного оповещения органов власти, усиление внутренней безопасности, оценку реакции службы информационной безопасности и изоляцию всех затронутых систем/продуктов.

3. Расширенное резервное копирование и восстановление

Атаки программ-вымогателей преследуют две основные цели: получить доступ к конфиденциальным данным и зашифровать эти данные, чтобы они не могли быть использованы организацией-жертвой. Чтобы снизить этот риск, организации стали уделять больше внимания резервному копированию конфиденциальных данных и созданию комплексных процессов восстановления данных в случае кибератаки.

4. Внедрите модель безопасности с нулевым доверием и многофакторную аутентификацию.

Предыдущие группировки программ-вымогателей использовали человеческий фактор для запуска или усиления атак программ-вымогателей посредством злоумышленников, фишинговых атак и т. д. В ответ на это компании внедрили модели безопасности с нулевым доверием и многофакторную аутентификацию на всех критически важных платформах и в данных, требуя нескольких уровней подтвержденной аутентификации для предоставления доступа к конфиденциальным данным.

5. Обменивайтесь информацией и сотрудничайте с правоохранительными органами.

Отраслевые организации создали центры разведки и анализа для объединения ресурсов и информации для борьбы с будущими попытками программ-вымогателей. Они также тесно сотрудничают с правоохранительными и регулирующими органами, сообщая о попытках программ-вымогателей и помогая диагностировать уязвимости системы безопасности.

6. Расширить внедрение/использование платформ анализа угроз

Применяя новые технологии, такие как искусственный интеллект (ИИ) и машинное обучение, к платформам анализа угроз, организации могут использовать экспертные знания, обнаружение аномалий и поведенческую аналитику для сбора информации об угрозах в режиме реального времени, которая может помочь смягчить атаки программ-вымогателей.

7. Сосредоточьтесь на управлении уязвимостями

В последнее время было обнаружено множество уязвимостей безопасности, в частности, уязвимость, связанная с решением для передачи файлов MOVEit Transfer, которая может позволить злоумышленникам украсть информацию из базы данных клиентов, и уязвимость, связанная с популярным программным обеспечением для управления печатью PaperCut – этим программным обеспечением для управления печатью пользуются около 100 миллионов человек из более чем 70 000 компаний по всему миру. В связи с этим организации внедрили протоколы безопасности и системы управления уязвимостями, чтобы обеспечить регулярное обновление и установку исправлений для всего важного программного обеспечения.

8. Обеспечение цепочки поставок и управление рисками поставщиков

Хотя операторы программ-вымогателей не способны взломать организацию, они часто атакуют её цепочку поставок через поставщиков, партнёров и третьих лиц. В связи с этим организации внедряют оценки рисков, связанных с поставщиками, чтобы обеспечить безопасность всей своей цепочки поставок и постоянную защиту от потенциальных атак программ-вымогателей.