Прогнозирование тенденций атак программ-вымогателей в 2024 году
(Baonghean.vn) — За последний год атаки программ-вымогателей стали ещё более изощрёнными и эффективными. Группы, занимающиеся вымогательством, адаптировали свою тактику для эффективного обхода распространённых стратегий защиты.
Программы-вымогатели — это вредоносное ПО, которое шифрует пользовательские данные и требует выкуп. Важные данные пользователя или организации шифруются, чтобы лишить пользователя доступа к файлам, базам данных или приложениям. Затем хакеры требуют выкуп за восстановление доступа пользователя.

Программы-вымогатели часто предназначены для распространения по сетям и атакуют базы данных и серверы, что может быстро парализовать работу целой организации. Угроза, исходящая от программ-вымогателей, растёт, нанося значительный ущерб и приводя к значительным затратам для предприятий и государственных организаций.
Отчет о программах-вымогателях за третий квартал 2023 года, подготовленный компанией Cyble, которая собирает и анализирует информацию о текущих и потенциальных кибератаках в США, показывает, что в последние месяцы хакеры использовали все больше уязвимостей безопасности для распространения программ-вымогателей и других вредоносных программ.
Вот некоторые тенденции атак с использованием программ-вымогателей, которые, по прогнозам Центра исследований кибербезопасности Cyble Research & Intelligence Labs (CRIL), будут иметь место в ближайшем будущем:
1. Здравоохранение находится под прицелом программ-вымогателей
Хотя в первой половине года наблюдался рост числа атак программ-вымогателей на производственный сектор, последние тенденции демонстрируют смещение акцента в сторону здравоохранения. В результате здравоохранение вошло в пятерку основных направлений атак программ-вымогателей, составив почти четверть всех атак.
Эти атаки конкретно мотивированы желанием собрать данные о защищенной медицинской информации (PHI) и другие конфиденциальные данные, к которым имеют доступ поставщики медицинских услуг и организации, и как только эти данные будут собраны, хакеры продадут их в даркнете.
Согласно отчёту Cyble о программах-вымогателях, сектор здравоохранения особенно уязвим для атак программ-вымогателей, поскольку имеет чрезвычайно обширную поверхность атаки, охватывающую множество веб-сайтов, порталов, миллиарды медицинских устройств Интернета вещей (IoT), а также обширную сеть партнёров и поставщиков в цепочке поставок. Поэтому для защиты критически важных данных и обеспечения бесперебойной работы важнейших функций здравоохранения крайне важен стандартизированный план кибербезопасности для этого сектора.
Согласно отчету Cyble, наряду со здравоохранением наиболее подверженными риску секторами в третьем квартале 2023 года являются профессиональные услуги, информационные технологии и строительство.
2. Организации с высоким уровнем дохода находятся в центре внимания программ-вымогателей
Операторы программ-вымогателей часто атакуют организации с высоким уровнем дохода, управляющие конфиденциальными источниками данных. Это не только укрепляет репутацию оператора программы-вымогателя как серьёзной угрозы, но и повышает вероятность получения выкупа.
Поскольку организации с высоким уровнем дохода обладают финансовыми возможностями выплачивать крупные выкупы, требуемые хакерами, они также более уязвимы к тому, чтобы их имидж не был испорчен кибератаками.
3. США — страна, наиболее подверженная атакам программ-вымогателей.
В отчете Cyble говорится, что Соединенные Штаты являются наиболее уязвимой страной для операторов программ-вымогателей: только в третьем квартале 2023 года на США было совершено больше атак с использованием программ-вымогателей, чем на следующие 10 стран вместе взятые.
Эксперты Cyble объясняют это особой ролью США в становлении страны с высокой степенью цифровизации, обладающей огромным глобальным охватом и вовлеченностью. В силу геополитических факторов США также являются излюбленной целью хакерских группировок, использующих программы-вымогатели для достижения своих целей, основанных на предполагаемой социальной несправедливости или протесте против внутренней и внешней политики.
Странами с наибольшим числом атак программ-вымогателей после США в третьем квартале 2023 года стали Великобритания, Италия и Германия.
4. Вирус-вымогатель LockBit все еще представляет потенциальную угрозу
Хотя программа-вымогатель LockBit изначально была отдельным семейством, с тех пор она несколько раз эволюционировала, и последняя версия получила название «LockBit 3.0». LockBit представляет собой семейство программ-вымогателей, работающих по модели «программа-вымогатель как услуга» (RaaS).
RaaS — это бизнес-модель, предполагающая, что пользователи платят за доступ к определённому типу программ-вымогателей, чтобы использовать их для собственных атак. Таким образом, пользователь становится партнёром, и его оплата может состоять из фиксированной платы или подписки. Короче говоря, создатели LockBit нашли способ получить дополнительную прибыль от использования программы, используя эту модель RaaS, и могут даже получить выкуп от жертвы.
Хотя общее число атак вирусов-вымогателей LockBit было немного ниже, чем в предыдущем квартале (на 5%), они по-прежнему затронули наибольшее количество жертв: в третьем квартале 2023 года было подтверждено 240 жертв.
В третьем квартале 2023 года наблюдался рост числа атак со стороны новых группировок, занимающихся распространением программ-вымогателей, таких как Cactus, INC Ransom, Metaencryptor, ThreeAM, Knight Ransomware, Cyclop Group и MedusaLocker. Это говорит о том, что, хотя эти группы не имеют такого же профиля и глобального присутствия, как более крупные группы, такие как LockBit, они все равно представляют потенциальную угрозу.
5. Растущее использование языков программирования Rust и GoLang в новых вариантах программ-вымогателей
Группы программ-вымогателей постоянно пытаются затруднить обнаружение и анализ своих действий или сделать их вообще невозможными. Это затрудняет жертвам, экспертам по кибербезопасности и правительствам анализ и изучение программ-вымогателей, методов их заражения и их функционирования для разработки соответствующих решений.
Однако последние тенденции, наблюдаемые Cyble, демонстрируют растущую популярность двух языков программирования Rust и GoLang среди известных группировок, занимающихся разработкой программ-вымогателей, таких как Hive, Agenda, Luna и RansomExx.
Причина, по которой хакеры используют языки программирования Rust и GoLang, заключается в том, что использование этих языков программирования затрудняет анализ активности программы-вымогателя в системе жертвы и упрощает ее настройку для атаки на несколько операционных систем, что приводит к увеличению скорости заражения.
Как организации отреагировали на рост числа атак программ-вымогателей?
Недавний рост числа атак программ-вымогателей привлёк внимание правительств и регулирующих органов по всему миру, которые приняли меры по снижению последствий и частоты таких атак. Компании также взяли ситуацию под контроль, внедряя меры по предотвращению рисков и смягчению последствий атак программ-вымогателей.
1. Сосредоточьтесь на обучении сотрудников
Сотрудники организации часто оказываются первой линией обороны от любых атак, и программы-вымогатели не являются исключением. Соответственно, компании активизировали программы повышения осведомленности и обучения в области кибербезопасности, внедрили обязательные обучающие курсы и продвигают культуру киберосведомленности. Типичные примеры этого включают обучение тому, как распознавать попытки фишинга, как обращаться с подозрительными вложениями и как выявлять попытки фишинга.
2. Планирование реагирования на инциденты
Несмотря на профилактические меры, атаки программ-вымогателей всё ещё могут происходить по ряду причин. Организации приняли это во внимание и уделили больше внимания разработке комплексных мер реагирования на подобные инциденты. Это включает в себя создание каналов связи для оперативного оповещения органов власти, усиление внутренней безопасности, оценку реакции службы информационной безопасности и изоляцию всех затронутых систем/продуктов.
3. Расширенное резервное копирование и восстановление
Атаки программ-вымогателей преследуют две основные цели: получить доступ к конфиденциальным данным и зашифровать эти данные, чтобы они не могли быть использованы организацией-жертвой. Чтобы снизить этот риск, организации стали уделять больше внимания резервному копированию конфиденциальных данных и созданию комплексных процессов восстановления данных в случае кибератаки.
4. Внедрите принцип нулевого доверия и многофакторную аутентификацию.
Предыдущие группировки программ-вымогателей использовали человеческий фактор для запуска или усиления атак программ-вымогателей посредством злоумышленников, фишинговых атак и т. д. В ответ на это компании внедрили модели безопасности с нулевым доверием и многофакторную аутентификацию на всех критически важных платформах и в данных, требуя нескольких уровней подтвержденной аутентификации для предоставления доступа к конфиденциальным данным.
5. Обменивайтесь информацией и сотрудничайте с правоохранительными органами.
Отраслевые организации создали центры аналитики и разведки для объединения ресурсов и информации для борьбы с будущими попытками программ-вымогателей. Они также тесно сотрудничают с правоохранительными и регулирующими органами, сообщая о попытках программ-вымогателей и помогая выявлять уязвимости в системе безопасности.
6. Расширить внедрение/использование платформ анализа угроз
Применяя новые технологии, такие как искусственный интеллект (ИИ) и машинное обучение, к платформам анализа угроз, организации могут использовать экспертные знания, обнаружение аномалий и поведенческую аналитику для сбора информации об угрозах в режиме реального времени, которая может помочь смягчить атаки программ-вымогателей.
7. Сосредоточьтесь на управлении уязвимостями
В последние годы было обнаружено множество уязвимостей безопасности, в частности, уязвимость, связанная с решением для передачи файлов MOVEit Transfer, которая может позволить злоумышленникам украсть информацию из базы данных клиентов, и уязвимость, связанная с популярным программным обеспечением для управления печатью PaperCut — программой, которой пользуются около 100 миллионов человек из более чем 70 000 компаний по всему миру. В связи с этим организации внедрили протоколы безопасности и системы управления уязвимостями, чтобы гарантировать регулярное обновление и установку исправлений для всего критически важного программного обеспечения.
8. Обеспечение цепочки поставок и управление рисками поставщиков
В случаях, когда злоумышленники, использующие программы-вымогатели, не могут взломать организацию, они, как правило, атакуют её цепочку поставок через поставщиков, партнёров и третьих лиц. В связи с этим организации внедряют систему оценки рисков, связанных с поставщиками, чтобы обеспечить безопасность всей своей цепочки поставок и постоянную защиту от потенциальных атак программ-вымогателей.