Атаките с криптовируси остават най-голямата заплаха според доклад на Acronis

Криптовирусите остават най-голямата заплаха

Нападателите използват този вид атаки както срещу големи и средни фирми, така и срещу правителствени ведомства, организации от здравеопазването и други критични публични сектори. Доставчиците на управляеми услуги също попадат под ударите на криптовирусите, като в този случай се повдигат сложни въпроси за отговорността. И въпреки че повечето атакувани машини са под Windows, киберпрестъпниците все повече "обръщат внимание" на сървърите под Linux и macOS, заяви Уест.

Кандид Уест, вицепрезидент на Acronis за проучванията в областта на киберзащита и автор на доклада Acronis Cyberthreats Report 2022

Фотограф: Владимир Владков

Бандите, използващи криптовируси, са станали много агресивни през втората половина на 2021 г. Групата Ragnar Locker например е обявила, че ще публикува всички откраднати данни незабавно, ако жертвата се обърне към полицията или потърси друга професионална помощ. Те са заявили, че намесата на професионален консултант за преговорите относно откупа ще влоши положението на нападнатата фирма. През миналата година Ragnar Locker компрометираха Campari, като дори платиха за реклами във Facebook, за да окажат натиск върху жертвата да плати откуп $15 милиона, в противен случай заплаши да публикува откраднатите данни.

Индустрията и правоприлагащите органи са започнали истинска война с тези групи. Съвместните усилия на Европол, френската жандармерия, украинската полиция и щатското ФБР са довели до арестуването на две групи за атаки с криптовируси. Те са обвинени за прибирането на откупи в размер общо на почти 70 милиона евро. Полицията е успяла да конфискува $375 000 в брой, две луксозни коли и $1,3 милиона в криптовалута. Въпреки че все още не е известно за кого са работили двете групи, те са заподозрени в извършване на координирани атаки срещу индустриални групи в Европа и в Северна Америка. Министерството на правосъдието на САЩ обвини лица, свързани с REvil, отговорни за атаката срещу MSP платформата Kaseya на 2 юли, и конфискува повече от $6 милиона от друг партньор на REvil.

Въпреки ареста на членовете на тези две групи няколко месеца по-късно тези "оператори на криптоатаки" отново са се проявили, сменяйки само имената си. И всичко това на фона на стотици групи, използващи криптовируси за кражбата на данни или "само" за криптирането им срещу откуп, обясняват от Acronis. Ситуацията е станала толкова лоша, че САЩ обявиха възнаграждение $10 милиона за всеки член на групите REvil (Sodinokibi) и Darkside.

Водещите 10 групи, атакуващи с криптовируси, са:

• Lockbit
• Conti
• Pysa
• Grief
• Hive
• CIOP
• Marketo
• Everest
• LV
• Revil

Страни в ЕМЕА с най-голям дял на засечените атаки с криптовируси

Измамните съобщения са основен вектор

Е-писма, съдържащи измамни съобщения, остават основният вектор за атака, като над 94% от зловредните кодове са доставени именно чрез електронна поща. Най-често нападателите използват техники за социално инженерство, за да подмамят потребителите да отворят зловредни прикачени файлове или да последват фалшиви линкове.

"За съжаление много е-писма със зловредно съдържание, особено URL адреси, все още успяват да преминат през масовите филтри и да стигнат до крайни потребител. Видяхме и нападатели, които вграждат QR кодове до зловредни URL адреси, а много от решенията за сигурност все още не могат да се справят с QR кодовете. Ето защо е важно да се прилага многослоен защитен подход", обяснява Уест. С помощта на решението на Acronis Advanced Email Security, разчитащо на технологията Perception Point, компанията е успяла да блокира с 23% повече фишинг е-писма през Q3 в сравнение с второто тримесечие. Скорошно проучване на Acronis показва, че ИТ администраторите определят измамните е-писма като водеща заплаха, с която се борят непрекъснато, а 58% от респондентите са получавали подобни писма.

Друго проучване на института Ponemon разкрива някои тревожни данни за цената на атаките с измамни линкове, като се обръща внимание на всички разходи, свързани с тези атаки. Те включват средства за възстановяване, загуби от намалена продуктивност, които често са по-големи от евентуалния откуп, платен на престъпниците. Финансовите загуби от фишинг атаките са скочили рязко за последните 6 години, като сега щетите за голяма компания в САЩ са средно около $14,8 млн. годишно, или по около $1500 на служител. За 2015 г. годишните щети се изчисляват на $3,8 милиона, или сега те са 4 пъти по-големи.

На прицела са и Linux, и MacOS

Освен няколко известни случая на атаки с криптовируси срещу Linux има и нови заплахи срещу тази операционна система. "Лошите момчета обръщат все повече внимание на Linux, тъй като има десетки милиони машини, свързани с интернет - предимно сървъри, а това осигурява повече от достатъчна мотивация за разработване на нов зловреден софтуер. И в допълнение към криптовирусите киберпрестъпниците се фокусират и върху програми за "копаене на криптовалута", троянски коне и по-сложен зловреден софтуер като rootkits.

Атаки чрез FontOnLake са проектирани да събират данни и да предприемат и други зловредни действия. Зловредният код може да "се изплъзне" от много от традиционните антивирусни решения и да замени някои масови легитимни двоични файлове с модифицирани в заразените Linux системи. Въпреки че този rootkit е останал до голяма степен извън полезрението от май 2020 г., той вече може да бъде открит от многослойните механизми за засичане, включени в Acronis Cyber Protect за Linux. "Това запазва безопасността на вашите данни и системи от този и друг зловреден софтуер под Linux", добавят от Acronis.

Операционната система на Apple MacOS също се превръща в мишена за киберпрестъпниците, тъй като пазарният дял на Mac нараства. Някои злонамерени програми за Windows са пренесени и вече работят за Mac, както и някои специфични зловредни софтуери, създадени за използване на уязвимости в macOS. А нови уязвимости редовно се откриват и коригират. В края на октомври например Apple коригира уязвимост в операционните системи macOS Big Sur и Monterey, която може да се използва за злоупотреби, като се заобиколя функцията за сигурност SIP. По ирония на съдбата уязвимост с кодово име Shrootless е открита от анализатор на Microsoft.

Прогнози на Acronis за заплахите през 2022 г.

1. Криптовалутите са любими инструменти на нападателите

Вече има разработчици на зловреден софтуер, който разменя адресите в цифровия портфейл. Можем да очакваме повече такива атаки, извършени директно срещу интелигентни договори през 2022 г., като така се атакуват програмите, лежащи "в сърцето" на криптовалутите. Атаките срещу приложения тип Web 3.0 също ще се случват по-често, а новите и все по-сложни атаки като атаки срещу бързи кредити ще позволят на нападателите да източат милиони долари от хранилища на криптовалути.

2. Атаките с криптовируси ще продължат да растат въпреки усилията на САЩ и Интерпол/Европол

Неотдавнашните арести няма да сложат край на този печеливш бизнес модел. Криптовирусите ще засягат все повече системи под macOS и Linux, както и нови среди като виртуални системи, облаци, а и IoT платформи. "Това ще доведе до сериозни въздействия и върху реалния свят, което пък ще е причина за искания за повече регулации и санкции. Кражбата на данни за двойно изнудване на жертви, както и за изключване на инструментите за защита ще станат нещо обикновено. Освен това те ще станат и по-персонализирани, като нападателите ще знаят и ще използват все повече лични данни. Хаосът в тази област ще продължи, тъй като редица групи се ребрандират, за да избегнат разследванията, а моделът "криптовирус като услуга" ще даде възможност за атаки и от по-малки групи, допълват от Acronis

3. Фишингът ще продължи да бъде основeн заразен вектор

Зловредните е-писма и фишингът във всички варианти все още са на много високо ниво. Въпреки постоянните кампании за информираност потребителите все още се "подлъгват" от тях и позволяват на нападателя да компрометира тяхната организация. "Не очакваме изкуственият интелект да подпомогне фишинг писмата през 2022 г., но повишената автоматизация и персонализираната информация в тези лъжливи съобщения ще ги направи по-ефективни, обяснява авторът на доклада Уест. Нови трикове срещу OAuth и многофакторно удостоверяване (MFA) ще продължат да генерират печалба за нападателите, позволявайки им да превземат акаунти, въпреки плановете на компании като Google автоматично да регистрират 150 милиона потребители за двуфакторно удостоверяване. За да заобиколят обичайните инструменти против фишинга, атаки като компрометиране на бизнес е-поща (BEC) ще използват алтернативни услуги за съобщения като текстови съобщения, Slack или чат в Teams. Това върви ръка за ръка с поемането на контрола върху легитимни услуги за разпространение на е-писма, като например през ноември, когато собствената имейл услуга на ФБР беше компрометирана и започна да изпраща спам съобщения.

4. Атаки срещу MSP оператори чрез инструментите, които използват

Нападателите атакуват доверените връзки, които им позволяват да получат достъп до мрежите на компанията. Атаките във веригата за доставка на софтуер са един от тези методи, но дори и без цялостно компрометиране на доставчика има подобни начини за нахлуване. "Атакуващите се насочват към инструменти за управление, използвани от администраторите, като софтуер за автоматизиране на професионалните услуги (PSA) или инструменти за дистанционно наблюдение и управление (RMM). Това именно са ключовете към "кралството" и киберпрестъпниците ще ги използват срещу вас, обясняват от Acronis. По-специално доставчиците на услуги ще бъдат атакувани по-често, тъй като разполагат с много инструменти за автоматизация за ефективното инсталиране на нов софтуер. За съжаление това ще се използва от нападателите за разпространението на зловреден софтуер. Това може да върви заедно или успоредно с атаки към веригата за доставки на ниво изходен код. Очакваме все повече атаки, в които изходният код на използвани вече приложения или библиотеки се модифицира със злонамерена цел."

5. Доверието ще бъде компрометирано на ниво облак - чрез API атаки

Облачните услуги се разгръщат все повече, както и т.нар. безсървърни изчисления, периферните изчисления и API услуги. В комбинация с оркестрации на контейнери като Kubernetes процесите могат да бъдат ефективно автоматизирани и динамично адаптирани към различни обстоятелства. Нападателите се опитват да нарушат тази хиперавтоматизация, като атакуват API интерфейси, които могат сериозно да повлияят върху бизнес процесите на една компания.

6. Пробиви на данните на всеки потребител

Въпреки все повечето разпоредби за поверителност на данните броят на докладваните нарушения на данните ще продължи да расте. Това става не само защото инцидентите трябва да бъдат докладвани, а заради сложните взаимодействия и ИТ системите. Много компании са загубили представа къде са всичките им данни и как те могат да бъдат достъпвани. А автоматизираният обмен на данни от IoT устройства и M2M комуникации увеличава допълнително разпространението на нови данни. "За съжаление очакваме да видим много мащабни пробиви на данни през 2022 г. Тези течове на данни ще позволят на нападателите лесно да обогатят портфолиото си от мишени", прогнозират от Acronis.