Атаките с криптовируси остават най-голямата заплаха според доклад на Acronis

Атаките с криптовируси остават най-голямата заплаха според доклад на Acronis

Нападателите използват всяка възможна уязвимост във всяко приложение или система, включително в Linux и macOS машини

Владимир Владков
513 прочитания

Най-атакуваните със зловредни кодове страни през третото тримесечие на 2021 г. са САЩ, Германия и Канада, а щетите от криптовируси само в САЩ ще достигнат $20 млрд. до края на годината. Същевременно само 20% от компаниите обявяват, че не са били атакувани, докато през 2020 г. техният дял е 32%. Нападенията стават все по-чести и се използват всякакви уязвимости, сочи доклад на Acronis, представен на партньорската конференция на компанията в Дубай от Кандид Уест, вицепрезидент на компанията, отговарящ за проучванията в областта на киберзащитата.

Докладът "Acronis Cyberthreats Report 2022" се базира на проучените данни за заплахи и атаки, събрани от глобалната мрежа от центрове за сигурност на Acronis, която следи и проучва киберзаплахите в режим 24/7. Данните за зловредните кодове са събрани от над 650 000 крайни устройства по целия свят, върху които е стартирана Acronis Cyber Protect - независимо дали клиент или доставчик на управлявани услуги използва решението, или фирма го е закупила и задействала. Обновената версия на доклада покрива и атаки срещу крайни устройства, засечени в периода от юли до ноември 2021. Acronis използва тази платформа и за да обяви отварянето на още два свои центъра за данни в Африка (Нигерия и Южна Африка), като по този начин изпълнява своя план за изграждане на поне 110 центъра за данни в рамките на две години.

Според данните от глобалната система на Acronis само през октомври нейните решения за крайни устройства са успели да блокират 376 000 URL адреса. Същевременно блокираните през третото тримесечие фишинг е-писма са нараснали с 23% спрямо предходното второ тримесечие на 2021 г., а скокът при блокираните е-писма, съдържащи директно зловреден код, е над 40%.

Криптовирусите остават най-голямата заплаха

Нападателите използват този вид атаки както срещу големи и средни фирми, така и срещу правителствени ведомства, организации от здравеопазването и други критични публични сектори. Доставчиците на управляеми услуги също попадат под ударите на криптовирусите, като в този случай се повдигат сложни въпроси за отговорността. И въпреки че повечето атакувани машини са под Windows, киберпрестъпниците все повече "обръщат внимание" на сървърите под Linux и macOS, заяви Уест.

Бандите, използващи криптовируси, са станали много агресивни през втората половина на 2021 г. Групата Ragnar Locker например е обявила, че ще публикува всички откраднати данни незабавно, ако жертвата се обърне към полицията или потърси друга професионална помощ. Те са заявили, че намесата на професионален консултант за преговорите относно откупа ще влоши положението на нападнатата фирма. През миналата година Ragnar Locker компрометираха Campari, като дори платиха за реклами във Facebook, за да окажат натиск върху жертвата да плати откуп $15 милиона, в противен случай заплаши да публикува откраднатите данни.

Индустрията и правоприлагащите органи са започнали истинска война с тези групи. Съвместните усилия на Европол, френската жандармерия, украинската полиция и щатското ФБР са довели до арестуването на две групи за атаки с криптовируси. Те са обвинени за прибирането на откупи в размер общо на почти 70 милиона евро. Полицията е успяла да конфискува $375 000 в брой, две луксозни коли и $1,3 милиона в криптовалута. Въпреки че все още не е известно за кого са работили двете групи, те са заподозрени в извършване на координирани атаки срещу индустриални групи в Европа и в Северна Америка. Министерството на правосъдието на САЩ обвини лица, свързани с REvil, отговорни за атаката срещу MSP платформата Kaseya на 2 юли, и конфискува повече от $6 милиона от друг партньор на REvil.

Въпреки ареста на членовете на тези две групи няколко месеца по-късно тези "оператори на криптоатаки" отново са се проявили, сменяйки само имената си. И всичко това на фона на стотици групи, използващи криптовируси за кражбата на данни или "само" за криптирането им срещу откуп, обясняват от Acronis. Ситуацията е станала толкова лоша, че САЩ обявиха възнаграждение $10 милиона за всеки член на групите REvil (Sodinokibi) и Darkside.

Водещите 10 групи, атакуващи с криптовируси, са:

  • Lockbit
  • Conti
  • Pysa
  • Grief
  • Hive
  • CIOP
  • Marketo
  • Everest
  • LV
  • Revil

Страни в ЕМЕА с най-голям дял на засечените атаки с криптовируси

Страна Засечени атаки за Q3 2021 Засечени атаки за Q2 2021
Германия 43.37% 45.17%
Великобритания 9.64% 9.46%
Франция 9.00% 9.37%
Швейцария 7.98% 8.45%
Италия 5.65% 5.50%
Нидерландия 3.28% 4.04%
Испания 3.07% 2.85%
Австрия 3.01% 3.13%
Белгия 2.31% 2.33%
Чешка република 1.65% 1.38%
Измамните съобщения са основен вектор

Е-писма, съдържащи измамни съобщения, остават основният вектор за атака, като над 94% от зловредните кодове са доставени именно чрез електронна поща. Най-често нападателите използват техники за социално инженерство, за да подмамят потребителите да отворят зловредни прикачени файлове или да последват фалшиви линкове.

"За съжаление много е-писма със зловредно съдържание, особено URL адреси, все още успяват да преминат през масовите филтри и да стигнат до крайни потребител. Видяхме и нападатели, които вграждат QR кодове до зловредни URL адреси, а много от решенията за сигурност все още не могат да се справят с QR кодовете. Ето защо е важно да се прилага многослоен защитен подход", обяснява Уест. С помощта на решението на Acronis Advanced Email Security, разчитащо на технологията Perception Point, компанията е успяла да блокира с 23% повече фишинг е-писма през Q3 в сравнение с второто тримесечие. Скорошно проучване на Acronis показва, че ИТ администраторите определят измамните е-писма като водеща заплаха, с която се борят непрекъснато, а 58% от респондентите са получавали подобни писма.

Друго проучване на института Ponemon разкрива някои тревожни данни за цената на атаките с измамни линкове, като се обръща внимание на всички разходи, свързани с тези атаки. Те включват средства за възстановяване, загуби от намалена продуктивност, които често са по-големи от евентуалния откуп, платен на престъпниците. Финансовите загуби от фишинг атаките са скочили рязко за последните 6 години, като сега щетите за голяма компания в САЩ са средно около $14,8 млн. годишно, или по около $1500 на служител. За 2015 г. годишните щети се изчисляват на $3,8 милиона, или сега те са 4 пъти по-големи.

На прицела са и Linux, и MacOS

Освен няколко известни случая на атаки с криптовируси срещу Linux има и нови заплахи срещу тази операционна система. "Лошите момчета обръщат все повече внимание на Linux, тъй като има десетки милиони машини, свързани с интернет - предимно сървъри, а това осигурява повече от достатъчна мотивация за разработване на нов зловреден софтуер. И в допълнение към криптовирусите киберпрестъпниците се фокусират и върху програми за "копаене на криптовалута", троянски коне и по-сложен зловреден софтуер като rootkits.

Атаки чрез FontOnLake са проектирани да събират данни и да предприемат и други зловредни действия. Зловредният код може да "се изплъзне" от много от традиционните антивирусни решения и да замени някои масови легитимни двоични файлове с модифицирани в заразените Linux системи. Въпреки че този rootkit е останал до голяма степен извън полезрението от май 2020 г., той вече може да бъде открит от многослойните механизми за засичане, включени в Acronis Cyber Protect за Linux. "Това запазва безопасността на вашите данни и системи от този и друг зловреден софтуер под Linux", добавят от Acronis.

Операционната система на Apple MacOS също се превръща в мишена за киберпрестъпниците, тъй като пазарният дял на Mac нараства. Някои злонамерени програми за Windows са пренесени и вече работят за Mac, както и някои специфични зловредни софтуери, създадени за използване на уязвимости в macOS. А нови уязвимости редовно се откриват и коригират. В края на октомври например Apple коригира уязвимост в операционните системи macOS Big Sur и Monterey, която може да се използва за злоупотреби, като се заобиколя функцията за сигурност SIP. По ирония на съдбата уязвимост с кодово име Shrootless е открита от анализатор на Microsoft.

Прогнози на Acronis за заплахите през 2022 г.

1. Криптовалутите са любими инструменти на нападателите

Вече има разработчици на зловреден софтуер, който разменя адресите в цифровия портфейл. Можем да очакваме повече такива атаки, извършени директно срещу интелигентни договори през 2022 г., като така се атакуват програмите, лежащи "в сърцето" на криптовалутите. Атаките срещу приложения тип Web 3.0 също ще се случват по-често, а новите и все по-сложни атаки като атаки срещу бързи кредити ще позволят на нападателите да източат милиони долари от хранилища на криптовалути.

2. Атаките с криптовируси ще продължат да растат въпреки усилията на САЩ и Интерпол/Европол

Неотдавнашните арести няма да сложат край на този печеливш бизнес модел. Криптовирусите ще засягат все повече системи под macOS и Linux, както и нови среди като виртуални системи, облаци, а и IoT платформи. "Това ще доведе до сериозни въздействия и върху реалния свят, което пък ще е причина за искания за повече регулации и санкции. Кражбата на данни за двойно изнудване на жертви, както и за изключване на инструментите за защита ще станат нещо обикновено. Освен това те ще станат и по-персонализирани, като нападателите ще знаят и ще използват все повече лични данни. Хаосът в тази област ще продължи, тъй като редица групи се ребрандират, за да избегнат разследванията, а моделът "криптовирус като услуга" ще даде възможност за атаки и от по-малки групи, допълват от Acronis

3. Фишингът ще продължи да бъде основeн заразен вектор

Зловредните е-писма и фишингът във всички варианти все още са на много високо ниво. Въпреки постоянните кампании за информираност потребителите все още се "подлъгват" от тях и позволяват на нападателя да компрометира тяхната организация. "Не очакваме изкуственият интелект да подпомогне фишинг писмата през 2022 г., но повишената автоматизация и персонализираната информация в тези лъжливи съобщения ще ги направи по-ефективни, обяснява авторът на доклада Уест. Нови трикове срещу OAuth и многофакторно удостоверяване (MFA) ще продължат да генерират печалба за нападателите, позволявайки им да превземат акаунти, въпреки плановете на компании като Google автоматично да регистрират 150 милиона потребители за двуфакторно удостоверяване. За да заобиколят обичайните инструменти против фишинга, атаки като компрометиране на бизнес е-поща (BEC) ще използват алтернативни услуги за съобщения като текстови съобщения, Slack или чат в Teams. Това върви ръка за ръка с поемането на контрола върху легитимни услуги за разпространение на е-писма, като например през ноември, когато собствената имейл услуга на ФБР беше компрометирана и започна да изпраща спам съобщения.

4. Атаки срещу MSP оператори чрез инструментите, които използват

Нападателите атакуват доверените връзки, които им позволяват да получат достъп до мрежите на компанията. Атаките във веригата за доставка на софтуер са един от тези методи, но дори и без цялостно компрометиране на доставчика има подобни начини за нахлуване. "Атакуващите се насочват към инструменти за управление, използвани от администраторите, като софтуер за автоматизиране на професионалните услуги (PSA) или инструменти за дистанционно наблюдение и управление (RMM). Това именно са ключовете към "кралството" и киберпрестъпниците ще ги използват срещу вас, обясняват от Acronis. По-специално доставчиците на услуги ще бъдат атакувани по-често, тъй като разполагат с много инструменти за автоматизация за ефективното инсталиране на нов софтуер. За съжаление това ще се използва от нападателите за разпространението на зловреден софтуер. Това може да върви заедно или успоредно с атаки към веригата за доставки на ниво изходен код. Очакваме все повече атаки, в които изходният код на използвани вече приложения или библиотеки се модифицира със злонамерена цел."

5. Доверието ще бъде компрометирано на ниво облак - чрез API атаки

Облачните услуги се разгръщат все повече, както и т.нар. безсървърни изчисления, периферните изчисления и API услуги. В комбинация с оркестрации на контейнери като Kubernetes процесите могат да бъдат ефективно автоматизирани и динамично адаптирани към различни обстоятелства. Нападателите се опитват да нарушат тази хиперавтоматизация, като атакуват API интерфейси, които могат сериозно да повлияят върху бизнес процесите на една компания.

6. Пробиви на данните на всеки потребител

Въпреки все повечето разпоредби за поверителност на данните броят на докладваните нарушения на данните ще продължи да расте. Това става не само защото инцидентите трябва да бъдат докладвани, а заради сложните взаимодействия и ИТ системите. Много компании са загубили представа къде са всичките им данни и как те могат да бъдат достъпвани. А автоматизираният обмен на данни от IoT устройства и M2M комуникации увеличава допълнително разпространението на нови данни. "За съжаление очакваме да видим много мащабни пробиви на данни през 2022 г. Тези течове на данни ще позволят на нападателите лесно да обогатят портфолиото си от мишени", прогнозират от Acronis.

Най-атакуваните със зловредни кодове страни през третото тримесечие на 2021 г. са САЩ, Германия и Канада, а щетите от криптовируси само в САЩ ще достигнат $20 млрд. до края на годината. Същевременно само 20% от компаниите обявяват, че не са били атакувани, докато през 2020 г. техният дял е 32%. Нападенията стават все по-чести и се използват всякакви уязвимости, сочи доклад на Acronis, представен на партньорската конференция на компанията в Дубай от Кандид Уест, вицепрезидент на компанията, отговарящ за проучванията в областта на киберзащитата.

Докладът "Acronis Cyberthreats Report 2022" се базира на проучените данни за заплахи и атаки, събрани от глобалната мрежа от центрове за сигурност на Acronis, която следи и проучва киберзаплахите в режим 24/7. Данните за зловредните кодове са събрани от над 650 000 крайни устройства по целия свят, върху които е стартирана Acronis Cyber Protect - независимо дали клиент или доставчик на управлявани услуги използва решението, или фирма го е закупила и задействала. Обновената версия на доклада покрива и атаки срещу крайни устройства, засечени в периода от юли до ноември 2021. Acronis използва тази платформа и за да обяви отварянето на още два свои центъра за данни в Африка (Нигерия и Южна Африка), като по този начин изпълнява своя план за изграждане на поне 110 центъра за данни в рамките на две години.

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК