Мир изменился, утверждает «Касперский»

В 2016 году в кибермире произошло много громких инцидентов, которые эксперты склонны считать не столько новыми, сколько первыми признаками неизбежных тенденций в развитии информационных угроз. Огромные ботнеты, состоящие из устройств Интернета вещей (IoT), частые взломы популярных сайтов с последующей утечкой данных, ограбления банков и уязвимость критически важных инфраструктур — эти и другие события случались и ранее или были предсказаны. Однако в этом году масштабы инцидентов доказали, что киберугрозы в своем развитии вышли на новый уровень.

Деньги воруют не только у банков

Подводя итоги года, «Лаборатория Касперского» выделила шесть основных тенденций, в значительной мере изменивших наше вИдение мира киберугроз.

1. Масштабы и сложность киберпреступной экономики сегодня больше, чем когда-либо раньше. Примером тому служит крупная и активно действующая торговая площадка xDedic, на которой, как выяснили эксперты «Лаборатории Касперского», продаются учетные данные более 70 тыс. взломанных серверов по всему миру.
2. Крупнейшие кражи денег теперь осуществляются через межбанковскую сеть SWIFT. Именно с помощью этой системы в феврале 2016 года злоумышленники украли 100 млн долларов из Центрального банка Бангладеш. Кстати, этот инцидент заставил многие банки усовершенствовать свою систему аутентификации и процедуру обновления программного обеспечения SWIFT.
3. Критически важная инфраструктура пугающе уязвима. Достаточно вспомнить атаку BlackEnergy, которая оказалась уникальной по масштабу причиненного вреда. Атака случилась еще в конце 2015 года, однако вся тяжесть последствий стала ясна только в начале 2016-го. Действия хакеров привели к отключению систем распределения электроэнергии на западе Украины, а также к удалению ПО с зараженных компьютеров и сопровождались DDoS-атаками на службы техподдержки атакованных предприятий.
4. Целевые атаки становятся более непредсказуемыми. Например, обнаруженная «Лабораторией Касперского» группировка ProjectSauron создавала полностью новый набор инструментов индивидуально для каждой жертвы и избегала повторного использования одних и тех же тактик и технологий. Такой подход затрудняет распознавание атак не только с помощью защитных технологий, но и с помощью индикаторов компрометации, которые чаще всего работали в случае с целевыми атаками.
5. Публикация в Сети краденных баз данных становится средством манипуляции общественным мнением. Злоумышленники начали намеренно выкладывать в открытом доступе в Интернете большие объемы личных данных пользователей, которые они получили в ходе различных атак, в том числе сложных целевых кампаний APT-класса. Предавая гласности личную и служебную переписку, частные фотографии или данные от учетных записей как обычных пользователей, так и известных персон, злоумышленники преследуют различные цели: от жажды наживы до желания очернить репутацию отдельных людей.
6. Камера может стать «бойцом» глобальной киберармии. Сегодня в мире миллионы незащищенных устройств и систем — от умной бытовой техники и автомобилей до больниц и целых городов — имеют прямой доступ к Интернету. Этим не преминули воспользоваться злоумышленники: например, в октябре для осуществления DDoS-атак киберпреступники использовали ботнет, состоящий из более полумиллиона домашних гаджетов, подключенных к Сети. Кроме того, эксперты «Лаборатории Касперского» в ходе экспериментов выяснили, что сегодня перед киберугрозами не в состоянии устоять и более важные для общества системы, в частности больницы и городской транспорт.

«При столь высоком уровне развития киберугроз, который мы наблюдали на протяжении 2016 года, задача раннего распознавания вредоносных программ и несанкционированного проникновения в корпоративные сети становится приоритетной. При этом для успешного детектирования угроз сегодня крайне важно обладать глубинным пониманием кибермира. Анализ угроз, обнаруженных в этом году, позволил нам выявить новые тенденции и уникальные подходы киберзлоумышленников — эти знания помогут нам усовершенствовать защитные инструменты и сделать распознавание и предотвращение угроз еще более эффективным. Другими словами, мы используем прошлое, чтобы подготовиться к будущему», — отметил Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».

Шифровальщики длиною в год

2016 год имеет все шансы войти в историю как год расцвета программ-шифровальщиков и вымогателей, которые «захватывали в плен» данные и устройства как отдельных пользователей, так и целых компаний.

«Лаборатория Касперского» выяснила, что интенсивность атак с использованием зловредов (зловред — термин, распространенный в среде защиты от вирусов: программа, наносящая ущерб компьютеру или хранящейся на нем информации. — Ред.), которые шифруют не отдельные файлы, а главные файловые таблицы или весь жесткий диск, за последние 12 месяцев увеличилась как минимум вдвое, количество новых модификаций шифровальщиков выросло в 11 раз, а среди троянцев-вымогателей появилось 62 новых семейства. Кроме того, в киберпреступном мире все большую популярность набирает «сдача в аренду» вымогателей в виде услуги для тех злоумышленников, у которых не хватает опыта или желания разрабатывать программы самостоятельно.

В начале года решения «Лаборатории Касперского» блокировали атаки шифровальщиков на компании в среднем раз в две минуты, а на индивидуальных пользователей — каждые 20 секунд. К концу года эти показатели кардинально изменились: теперь бизнес сталкивается с программами-вымогателями приблизительно раз в 40 секунд (то есть в три раза чаще), а отдельные пользователи — раз в 10 секунд (то есть вдвое чаще).

Увеличение числа атак шифровальщиков на бизнес привело к тому, что 67% компаний полностью или частично потеряли свои корпоративные данные, а каждая пятая организация не сумела восстановить файлы даже после уплаты выкупа. Хотя от программ-вымогателей страдают практически все отрасли, некоторые индустрии в 2016 году приняли на себя больший удар: жертвами шифровальщиков стала практически четверть компаний, работающих в сфере образования, IT и телекоммуникаций, развлечений и СМИ, а также в финансовом секторе.

Средний размер выкупа за возвращение доступа к данным сегодня составляет 300 долларов, однако некоторые киберпреступники требовали и получали от пользователей гораздо больше. Большинство злоумышленников предпочитает оплату в биткоинах, наиболее «профессиональные» из них даже оказывали пользователям консультационную и техническую поддержку, помогая приобрести криптовалюту.

Эксперты «Лаборатории Касперского» отмечают, что шифровальщики становятся сложнее и разнообразнее. Так, появились вымогатели, меняющие тактику при встрече с финансовым ПО — к примеру, троянец Shade, попадая на компьютер сотрудника финансового департамента, вместо стандартного шифрования файлов устанавливает в системе шпионскую программу, вероятно, в целях возможной кражи денег в будущем. Помимо этого, как уже говорилось, все чаще стали встречаться зловреды, которые шифруют не отдельные файлы, а главные файловые таблицы или жесткий диск целиком.

Вместе с тем исследователи заметили, что многие впервые обнаруженные в 2016 году троянцы-вымогатели оказались довольно низкого качества — незамысловатые, с ошибками в коде и банальными опечатками в текстах требования выкупа. Эта тенденция говорит о том, что шифровальщики набирают славу как средство быстрого и легкого заработка, что привлекает к ним внимание менее квалифицированных киберпреступников, не обладающих достаточными навыками для разработки ПО. Кстати, именно эта армия любителей и спровоцировала бурное развитие схемы распространения вымогателей как услуги — в 2016 году все больше вирусописателей предлагали подобных зловредов своим «коллегам по цеху» за определенную плату.

«Программы-вымогатели и шифровальщики — прибыльный киберпреступный бизнес, и противостоять ему можно только при объединении усилий экспертов по информационной безопасности, правоохранительных органов, бизнеса и общественности.

Главная задача — сделать так, чтобы злоумышленникам было все труднее проводить свои атаки и получать от них прибыль. Именно на это, например, направлена инициатива No More Ransom, которую мы запустили в этом году совместно с Европолом, полицией Нидерландов и Intel Security. За шесть месяцев этот проект помог почти 6000 пользователей восстановить свои данные и сэкономить в общей сложности более 1,5 млн долларов, которые не пошли на выкуп злоумышленникам. Так что 2016 год запомнится, пожалуй, не только как год расцвета шифровальщиков, но и как год, когда в мире началось организованное противостояние этой угрозе», — рассказывает Федор Синицын, старший антивирусный аналитик «Лаборатории Касперского».

Кибератаки будут замалчиваться

По традиции в конце декабря «Лаборатория Касперского» делится своими прогнозами на грядущие 12 месяцев. В 2017 году, как предполагают эксперты, наиболее важными станут вопросы сохранения конфиденциальности данных и тайны частной жизни пользователей, обеспечения должного уровня безопасности в условиях расцвета криптовалют, а также распознавания целевых атак, которые становятся все более сложными и непредсказуемыми.

Эксперты «Лаборатории Касперского» полагают, что тенденция скрытности и незаметности сложных атак класса АРТ обретет новый вектор развития в 2017 году — злоумышленники будут делать ставку на «короткие заражения». Хакеры будут все чаще выбирать те инструменты и программы, для которых продолжительность нахождения в системе — не главное. Например, уже сейчас многие разработчики вредоносного ПО «взяли на вооружение» легальное средство Microsoft PowerShell, позволяющее создавать небольшие по размеру программы и размещать их в оперативной памяти, из которой они будут удалены при перезагрузке системы. Таким образом, в руках злоумышленников и организаторов АРТ-атак теперь есть инструменты для получения данных из систем жертв, не оставляющие следов.

Помимо этого события последних месяцев свидетельствуют о том, что кибератаки приобретают все более политизированный характер, а факты обнародования крупных кампаний кибершпионажа, особенно на государственном уровне, влекут за собой серьезные геополитические последствия. С одной стороны, это обстоятельство, скорее всего, приведет к тому, что наиболее «болезненные» инциденты будут замалчиваться и не получат широкой огласки. С другой стороны, в таких условиях государствам предстоит решить непростую задачу — определить, какой уровень атрибуции атак будет достаточен и приемлем для всех сторон.

Если АРТ-атаки могут послужить поводом для дипломатических конфликтов, то публикация в Сети личных данных пользователей, украденных из различных веб-сервисов, может стать причиной информационных войн. Целевой «слив» со стороны киберпреступников информации, в том числе материалов, компрометирующих известных людей, безусловно, привлекает к себе большое внимание со стороны СМИ и общественности. Однако тайна частной жизни пользователей окажется под угрозой не только из-за противозаконных действий злоумышленников. Большие корпорации и веб-сервисы уже давно собирают личные данные миллионов людей по всему миру и отслеживают их активность в Интернете. Фактически пользователи оказываются в ситуации заложников, потому что на сегодняшний день они не могут установить приложение, посмотреть фильм онлайн, пообщаться с друзьями, не оставив взамен свои личные данные разработчикам ПО и сайтов.

Банки обещают надежно хранить эту информацию, однако случаи утечки данных происходят все чаще. Вероятно, в ближайшем будущем мы увидим, что клиенты захотят контролировать эту ситуацию и самостоятельно решать, какие данные они готовы доверить финансистам, а какие предпочтут сохранить в тайне.

В 2017 году киберпреступники, разумеется, продолжат изобретать различные способы кражи денег с помощью кибератак. Эксперты «Лаборатории Касперского» считают, что в зону внимания злоумышленников в новом году попадут не столько банки, сколько другие финансовые организации, например фондовые биржи или инвестиционные фонды.

Однако главный финансовый вызов наступающего года будет связан с криптовалютами. За последние несколько лет в этой области произошли грандиозные изменения: если раньше на рынке существовал лишь один биткоин, то сегодня число различных криптовалют доходит до 50, при этом около десятка из них имеют серьезную рыночную капитализацию. Государства уже смирились с неизбежностью виртуальных денег и постепенно начинают внедрять их в свои финансовые системы. Не исключено, что в следующем году рынок криптовалют пополнится новыми образцами, за выпуском которых будут стоять реальные банки. В связи с этими обстоятельствами ряд банковских транзакций, в которых используются технологии блокчейна и основанные на них цифровые валюты, может столкнуться с новыми угрозами и уязвимостями, а перед индустрией информационной безопасности встанет новая задача по защите криптовалютной инфраструктуры.

«Технология блокчейна, использующаяся сегодня преимущественно в финансовых транзакциях, легко может стать альтернативным способом обеспечения безопасности любой информации. Принцип цепочки, выстроенной по определенным правилам и защищенной шифрованием, гарантирует, что на каждом этапе передачи информации обрабатывается лишь один блок данных. Следовательно, в случае атаки злоумышленники не смогут контролировать процесс транзакции, поскольку не получат все необходимые для этого данные. Этот принцип можно распространить на весь Интернет. На базе блокчейна можно создать системы распределенных приложений, когда различные компоненты программ или сервисов не хранятся в одном дата-центре, а распределены между всеми участниками блокчейн-сети. Такой подход не только защитит от кражи данных, но и обеспечит высокий уровень конфиденциальности всей информации, доступ к которой не смогут получить также корпорации и государства», — рассказывает Александр Гостев.

Каждый двадцатый рискует потерять деньги

В 2016 году пользователи стали чаще сталкиваться с вредоносным ПО, предназначенным для кражи денег. За последние 12 месяцев защитные решения «Лаборатории Касперского» заблокировали попытки запуска таких зловредов почти на трех миллионах устройств. При этом Россия возглавила список стран, в которых пользователи наиболее подвержены риску заражения финансовым вредоносным ПО, — за год с банковскими зловредами столкнулись около 5% российских пользователей, то есть каждый двадцатый.

Эксперты «Лаборатории Касперского» связывают увеличение числа атак банковских зловредов с ростом пользователей мобильного банкинга, которые на протяжении всего года активно подвергались нападкам со стороны киберзлоумышленников. Так, из десяти наиболее популярных сегодня банковских троянцев пять предназначены для кражи финансовых данных с устройств на базе Android. По сравнению с 2015 годом доля подобных атак на смартфоны и планшеты Android увеличилась в 4,5 раза.

Кроме того, в этом году появилось восемь новых семейств зловредов для платежных терминалов (POS) и банкоматов. Таким образом, общее число вредоносного ПО для этих устройств выросло на 20% по сравнению с 2015 годом.

Всего же к концу 2016 года в коллекции вредоносного ПО, распознаваемого защитными решениями «Лаборатории Касперского», насчитывается миллиард объектов. Среди них вирусы, троянские программы, бэкдоры, шифровальщики, рекламное ПО и другие образцы, содержащие вредоносный код. Пятая часть этих зловредов была обнаружена автоматизированной системой, использующей технологии машинного обучения.

«Миллиард вредоносных объектов — это своего рода показательный рубеж. Это число свидетельствует об огромных масштабах киберпреступного мира, который прошел путь от небольших форумов “любителей” до целой индустрии, поставившей “производство” вредоносного ПО на поток и предлагающей своим участникам всевозможный инструментарий и сервисы, — рассказывает Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского». — Однако мы тоже не стоим на месте. Из миллиарда файлов, составляющих сегодня нашу коллекцию, более 200 млн было обнаружено системой Astraea, работающей на основе технологий машинного обучения. Это лишь первый шаг на пути к более совершенному и точному распознаванию киберугроз, в том числе новых и еще не известных. Мы уверены, что будущее отрасли информационной безопасности — в сочетании глубоких знаний экспертов и передовых технологий машинного обучения».