Аналитика кибератак от Google

Компания Mandiant, дочернее предприятие Google подготовила исследование кибератак. Отчет основан на 500 тысячах часов расследований кибератак , проведенных компанией Mandiant в прошлом году.

Уязвимости — главное направление кибератак

Mandiant в новом отчете ставит уязвимости на первое место, в качестве первичных направлений кибератак — 32%. Растет доля инцидентов, связанных с социальной инженерией с помощью голосового фишинга и приложений для обмена сообщениями. Голосовой фишинг стал значительно опережать фишинг по электронной почте. На долю голосового фишинга пришлось 11% инцидентов, на долю фишинга по электронной почте только 6%.

Голосовой фишинг набирает обороты

Отмечаются случаи голосового фишинга, когда жертву убеждают предоставить учетные данные и авторизовать контролируемую злоумышленником версию законного программного обеспечения как услуги (SaaS) для доступа к данным компании, помимо этого жертвами голосового фишинга становятся сотрудники службы поддержки, когда злоумышленники выдавали себя за сотрудников, запрашивающих сброс паролей и изменение настроек многофакторной аутентификации.

Предварительная компрометация была третьим по распространенности способом атаки. На нее пришлось 10%. На четвертом месте — украденные учетные данные — 9%.

Хайтек, финансы, сервисы и медицина в топе кибератак

В исследовании отмечаются наиболее атакуемые отрасли в прошлом году. По данным Mandiant, на предприятия высоких технологий приходится наибольшее количество кибератак — 17%, за ними следуют финансовые организации — 14,6%. На третьем месте организации, оказывающие деловые и профессиональные услуги —13,3%. Замыкают отрасли, лидирующие по атакам — здравоохранение, на его долю приходится 11,9% атак.  Далее с большим отрывом следует торговля —7,3% атак, госорганизации — 5,8% атак, образование и телекоммуникации — по 4,6% атак и строительство c индустрией развлечений — по 4,1% атак. Замыкают статистику — транспортные организации — 3,4% атак, предприятия ВПК — 2,7% атак, энергетика и водоснабжение — по 2,2% атак.

Вымогательство – ключевой мотив многих кибератак

Вторжения с целью вымогательства, к которым относятся атаки с использованием программ-вымогателей, а также вымогательство с целью кражи данных без шифрования с помощью программ-вымогателей, составили 23% от общего числа вторжений в прошлом году и примерно три четверти вторжений, совершенных с финансовой целью.

Mandiant выявила признаки кражи данных в 40% расследований, проведенных в прошлом году. Инциденты, связанные с вымогательством в результате кражи данных, составили 10% расследований.

Во многих расследованиях в ходе которых компания Mandiant выявила доказательства кражи данных, злоумышленники охотились за учетными данными и данными, которые были полезны для закрепления в системе, горизонтального перемещения и повышения привилегий. Другие случаи кражи данных носили массовый и спонтанный характер. В нескольких случаях злоумышленники охотились за персональными данными, такими как контактная информация клиентов и данные о заказах. Компания Mandiant выявила кластеры угроз, в которых использовались украденные персональные данные для последующих попыток голосового фишинга.

Mandiant выявила группы злоумышленников, которые подкупали подрядчиков, чтобы те предоставляли им корпоративные учетные данные или другой доступ к целевым организациям, что приводило к краже данных и попыткам вымогательства.

Mandiant отмечает, что из новых вредоносных программ? которые были впервые обнаружены и получили название в прошлом году 33 % составляют бэкдоры, 14 % — дропперы, 14 % — загрузчики, 6 % — программы-вымогатели, 6 % — лаунчеры, 5 % — программы для кражи учетных данных и 5 % — программы для майнинга данных.

В ходе расследований случаев использования программ-вымогателей, Mandiant выявила множество операций с использованием программ-вымогателей, основанных на партнерских отношениях с целью получения первоначального доступа, чаще всего к услугам по распространению вредоносного ПО- 30 % всех наблюдаемых атак. Вторым по распространенности способом заражения были уязвимости — 27 %. Атаки методом перебора паролей стали причиной 20 % вторжений, связанных с программами-вымогателями, за ними следуют кража учетных данных и компрометация веб-ресурсов — по 10 %.

Традиционное представление о программах-вымогателях как о двойной угрозе — шифровании и краже данных — уже не отражает реалии современных операций по вымогательству. Операторы программ-вымогателей и связанные с ними лица все чаще ставят перед собой цель лишить целевые организации возможности восстановления данных. Злоумышленники нацеливаются на системные и административные уровни, также известные как инфраструктура доверенных сервисов. Термин «инфраструктура доверенных сервисов» обычно ассоциируется с интерфейсами управления платформами и технологиями, которые предоставляют организации базовые сервисы, такие как технологии резервного копирования и платформы виртуализации. Это позволяет хакерам снижать способность организации к восстановлению, оказывая максимальное давление с целью заставить ее заплатить.  Для этого они атакуют службы идентификации, системы управления виртуализацией и системы резервного копирования.  Такая эволюция тактики привела к сокращению сроков проникновения, зафиксированных компанией Mandiant в ходе расследований.  Операторы программ-вымогателей сократили время пребывания в системе по сравнению с предыдущими годами, часто захватывая административный контроль уже через несколько часов после получения первоначального доступа.

Искусственный интеллект на службе хакеров

В отчете отмечается интерес хакерских группировок к искусственному интеллекту. В прошлом году хакеры все чаще применяли инструменты ИИ для повышения эффективности на разных этапах жизненного цикла атаки, особенно при выполнении таких задач, как разведка, социальная инженерия и разработка вредоносного ПО. В прошлом году в ходе расследований, проведенных компанией Mandiant, были выявлены группировки, которые использовали приманки, связанные с ИИ, похищали учетные данные для доступа к приложениям с ИИ и атаковали компании, разрабатывающие технологии ИИ.

Примечательно, что кластеры угроз также используют инструменты искусственного интеллекта в скомпрометированной среде для выполнения своих операций.  Например, Mandiant расследовала компрометацию цепочки поставок программного обеспечения менеджера пакетов NPM, которая привела к установке программы для кражи учетных данных QUIETVAULT.  После активации QUIETVAULT проверяет, установлены ли на целевом компьютере инструменты с интерфейсом командной строки (CLI), и если да, то выполняет заранее заданную команду для поиска файлов конфигурации. Затем инструмент пытается собрать токены GitHub и NPM и, если они найдены, скопировать их в общедоступный репозиторий GitHub.

Случайное заражение грозит большими проблемами

Mandiant отмечает, что многие хакеры из тех, кто получает первоначальный доступ, полагаются на случайное заражение, а не на целенаправленный взлом. Это приводит к тому, что хакеры, получающие первоначальный доступ не вызывают должного беспокойства у служб информационной безопасности.  Однако, хакеры, получившие первоначальный доступ случайно, часто предоставляют доступ более квалифицированным хакерским группам, которые действуют уже внутри корпоративной сети. Это требует пересмотра принципов работы и сценариев реагирования служб информационной безопасности, которым поручено защищать организацию и обеспечивать непрерывность бизнес-процессов.

Платформы виртуализации под прицелом хакеров

В последние годы злоумышленники все чаще нацеливаются на виртуализированную инфраструктуру для достижения своих целей.  Платформы виртуализации часто состоят из трех основных компонентов: выделенного централизованного сервера управления для администрирования виртуальных машин, гипервизоров для распределения аппаратных ресурсов и самих виртуальных машин.  Компания Mandiant выявила активность злоумышленников, нацеленных на каждый из трех компонентов виртуализированной инфраструктуры на протяжении всего жизненного цикла атаки — от получения первоначального доступа до кражи конфиденциальных данных.

SaaS-приложения в группе риска

Современная система информационной безопасности предприятий перешла от традиционного сетевого периметра к сложной экосистеме, состоящей из взаимосвязанной инфраструктуры и платформ «программное обеспечение как услуга» (SaaS). Эти интегрированные платформы играют важную роль в управлении идентификацией, совместной работе сотрудников, оптимизации внутренних процессов и других сферах. Однако из-за взаимосвязи SaaS-платформ с корпоративной облачной инфраструктурой злоумышленники могут использовать идентификационные данные, используемые в SaaS, для проникновения в другие части системы. Такие инциденты часто происходят из-за сочетания нескольких факторов: использования сторонних интеграций, слишком широких прав доступа и неправильных настроек. Из-за тесной интеграции облачных технологий и SaaS взлом одного SaaS-приложения может позволить злоумышленникам легко проникнуть в другие сегменты. В таких случаях сбой в работе одного доверенного компонента запускает цепную реакцию во всей организации. По мере того как организации все активнее переходят на облачную инфраструктуру, такие недочеты, как неконтролируемые разрешения OAuth и широкие права доступа к API, повышают риск того, что один скомпрометированный токен приведет к существенному инциденту.  В прошлом году произошел стратегический сдвиг: злоумышленники стали обходить традиционные средства защиты, такие как межсетевые экраны и многофакторную аутентификацию, используя нечеловеческие идентификаторы (Non-Human Identities, NHI) и украденные секретные данные, такие как токены OAuth и обновления. Нацеливаясь на платформы поставщиков, которые выступают в качестве централизованного «источника достоверных данных» для интеграции идентификационных данных, злоумышленники могут получить легитимные, предварительно авторизованные токены для компрометации последующих сред.  Таким образом, взлом одного поставщика превращается в крупномасштабную атаку на всю цепочку поставок, где украденные токены используются в качестве многоразовых ключей для доступа к хранилищам конфиденциальных данных клиентов.

Проактивная киберзащита — страховка от атак

В заключение, Mandiant отмечает, что аналитики компании по анализу киберугроз заметили, что злоумышленники используют искусственный интеллект для ускорения атак, переходя от массовых рассылок по электронной почте к гиперперсонализированной социальной инженерии с использованием голосовых технологий и внедряя вредоносное ПО, способное запрашивать большие языковые модели в процессе выполнения. Однако, несмотря на стремительное развитие технологий, инциденты, расследованные компанией Mandiant в основном были вызваны фундаментальными человеческими и системными ошибками. Наблюдались значительные расхождения в действиях злоумышленников.  В то время как киберпреступные группировки стремились к немедленному нанесению ущерба и преднамеренному отказу в восстановлении, целенаправленно атакуя системы резервного копирования, службы идентификации и системы управления виртуализацией, группы кибершпионажа стремились к максимальной скрытности.  Действуя с неконтролируемых периферийных устройств и используя встроенные сетевые функции для уклонения от обнаружения, эти злоумышленники довели среднее время пребывания в системе до 14 дней.

Чтобы защититься от этих тактик, методов и процедур, организациям необходимо действовать с той же скоростью, что и злоумышленники. Проактивная и устойчивая защита не может ограничиваться статичными инструментами. Она требует постоянной проверки подлинности, тщательной защиты критически важных уровней управления и полного контроля над всей экосистемой, включая уровень виртуализации и сетевые устройства. Команды специалистов по безопасности должны проходить тщательную проверку в ходе реалистичных «красных» тестов, включающих современные тактики с использованием искусственного интеллекта. Кроме того, организациям следует регулярно проводить практические занятия по обновлению схем реагирования на инциденты.

Источник: Google