Подразделение IBM Security сегодня опубликовало ежегодный индекс угроз 2021 X-Force Threat Intelligence Index. Он показывает, как менялся характер кибератак в 2020 году — в период пандемии COVID-19, когда злоумышленники пытались извлечь выгоду из беспрецедентной социально-экономической ситуации и вызовов политического и делового характера. Согласно наблюдениям IBM Security X-Force, в 2020 году злоумышленники чаще атаковали те организации, которые играют наиболее важную роль в глобальной борьбе с COVID-19: это больницы, производители медицинского оборудования, фармацевтические компании, а также компании, обеспечивающие электроэнергией тех, кто связан с противостоянием пандемии.
Согласно новому отчету, количество кибератак в сфере здравоохранения, производства и энергетики удвоилось по сравнению с предыдущим годом, причем основной целью стали компании, для которых даже небольшая остановка деятельности может оказаться критичной, потому что сведет на нет усилия врачей или прервет жизненно важные поставки. Производство и энергетика вышли в число отраслевых лидеров среди мишеней в 2020 году, уступив по количеству кибератак только финансовой сфере и сфере страхования. Отчасти этому способствовал практически 50-процентный рост числа уязвимостей в промышленных системах управления (Industrial Control Systems, ICS), которые активно используются и в производстве, и в энергетике.
«По сути, пандемия изменила понимание критически важной инфраструктуры, и злоумышленники сразу же сместили свои приоритеты. Многие организации впервые оказались на передовой борьбы с глобальным кризисом — будь то поддержка исследований, связанных с COVID-19, формирование цепочек поставки вакцин и продовольствия или производство средств индивидуальной защиты, — сказал Ник Россман, руководитель направления Global Threat Intelligence в подразделении IBM Security X-Force. — Перечень основных мишеней менялся по мере развития ситуации с COVID-19, и это еще раз доказывает гибкость, находчивость и настойчивость киберпреступников».
Отчет X-Force Threat Intelligence Index составляется по результатам ежедневного мониторинга более 150 млрд событий из сферы информационной безопасности более чем в 130 странах мира. В дополнение к этому данные поступают из разных источников внутри IBM, включая IBM Security X-Force and Incident Response, X-Force Red, IBM Managed Security Services, а также предоставляются компаниями Quad9 и Intezer, которые участвовали в составлении отчета за 2021 год.
Некоторые ключевые выводы, представленные в отчете:
- Киберпреступники выстраивают тактики на базе общепринятых принципов использования гибридных облаков. Согласно данным Intezer, количество вредоносного ПО на базе Linux в прошлом году увеличилось на 40%, а количество вредоносного ПО на базе Go выросло в шесть раз за первое полугодие 2020 года. Это говорит о том, что злоумышленники ускоренными темпами осваивают атаки, используя Linux. Следуя принципу для гибридных облачных сред «пиши код один раз, запускай где угодно», злоумышленники создают вредоносное ПО, которое легко запускать на разных платформах, в том числе и в облачной инфраструктуре.
- Пандемия выделила самые подделываемые бренды. В 2020 году люди были вынуждены соблюдать дистанцию и работать из дома, а в десятку самых подделываемых брендов вошли разработчики средств для совместной работы, такие как Google, Dropbox и Microsoft, а также онлайн-магазины и сопутствующие компании, такие как Amazon и PayPal. YouTube и Facebook — основные источники новостей в прошлом году — тоже оказались в начале списка. Впервые в истории компании в рейтинге самых подделываемых брендов в 2020 году на седьмом месте оказался бренд Adidas. Скорее всего, причиной тому был высокий спрос на две линейки кроссовок.
- Владельцы вирусов-шифровальщиков ищут более выгодные бизнес-модели. Вирусы-шифровальщики участвовали практически в каждой четвертой атаке, выявленной специалистами X-Force в 2020 году, причем всё чаще в них применяется тактика двойного вымогательства (см. подробности ниже). По оценке X-Force, Sodinokibi, использовавшая эту тактику, стала самой активной группой вирусов-шифровальщиков в 2020 году и принесла своим владельцам немалый доход. По подсчетам X-Force, с ее помощью в прошлом году злоумышленники собрали более $123 млн, причем почти две трети жертв соглашались заплатить выкуп.
Инвестиции во вредоносное ПО с открытым кодом ставят под угрозу облачные среды
В условиях пандемии COVID-19 многие компании стремились ускорить переход в облако. Согласно недавнему исследованию Gartner, почти 70% организаций, уже использующих облачные сервисы, планируют увеличить расходы на облачные технологии после сбоев в работе, вызванных COVID-19. Надо отметить, что 90% всех облачных вычислений сейчас осуществляется на базе Linux, а отчет X-Force показал, что за последнее десятилетие количество вредоносного ПО для Linux выросло в шесть раз. Это значит, что облачные среды могут стать основной целью злоумышленников.
По оценкам IBM, с развитием вредоносного ПО с открытым кодом злоумышленники могут искать дополнительные возможности увеличения маржи за счет возможного сокращения расходов, повышения эффективности и масштабирования наиболее успешных вариантов атак. Отчет показал, что различные атакующие группы, такие как APT28, APT29 и Carbanak, переключаются на ПО с открытым кодом, а значит количество атак на облачные среды в ближайшем году возрастет.
Результаты отчета также показали, что злоумышленники используют расширяемые вычислительные мощности облачных сред, сильно увеличивая плату за облачное потребление у своих жертв. В 2020 году специалисты Intezer обнаружили более 13% нового кода в категории вредоносного ПО на базе Linux для криптомайнеров.
Поскольку злоумышленники обратили пристальное внимание на облачные технологии, X-Force рекомендует организациям всерьез рассмотреть возможность применения стратегии нулевого доверия в целях защиты данных.
Киберпреступники маскируются под известные бренды
Отчет 2021 года показал, что киберпреступники предпочитают выдавать себя за бренды, которым доверяют потребители. Adidas считается одним из самых влиятельных брендов в мире, и этим воспользовались злоумышленники. Киберпреступники пытались заманить покупателей, мечтающих о кроссовках бренда, на поддельные сайты. Как только жертва попадала на сайт-подделку, ее убеждали совершить покупку и предоставить банковские или учетные данные — либо при посещении сайта на устройство жертвы устанавливалось вредоносное ПО.
В отчете говорится о том, что большая часть случаев обмана с брендом Adidas связана с кроссовками серий Yeezy и Superstar. Как сообщалось ранее, объем продаж модели Yeezy достиг $1,3 млрд в 2019 году. Это одна из самых продаваемых линеек у компании Adidas. Скорее всего, злоумышленники учли ажиотаж, связанный с выпуском новой серии кроссовок в начале 2020 года, и решили получить с него свою долю выручки.
Вирусы-шифровальщики лидируют по популярности в 2020 году
Согласно отчету, в 2020 году стало больше атак с использованием вирусов-шифровальщиков, чем было в 2019, причем почти 60% всех вымогательских атак, выявленных специалистами X-Force, применялись по принципу двойного вымогательства, когда злоумышленник не просто шифрует данные, но еще и угрожает опубликовать их в сети, если выкуп не будет выплачен. В 2020 году 36% случаев утечки данных, обнаруженных X-Force, были связаны с использованием вирусов-шифровальщиков, и сюда же относятся случаи предполагаемой кражи данных. То есть атаки, связанные с кражей данных, и вымогательские атаки начинают сливаться в одну категорию.
Наиболее распространенной группой вирусов-шифровальщиков в 2020 году стала Sodinokibi (также известная как REvil). На ее долю пришлось 22% всех атак вирусов-шифровальщиков, выявленных специалистами X-Force. По оценкам X-Force, с помощью Sodinokibi было украдено примерно 21,6 терабайта данных, и почти две трети жертв Sodinokibi заплатили выкуп, при этом примерно в 43% случаев украденные данные были опубликованы злоумышленниками. Таким образом, эта группа вирусов-шифровальщиков принесла мошенникам более $123 млн в прошлом году.
Отчет показывает, что, как и Sodinokibi, все наиболее успешные группы вирусов-шифровальщиков в 2020 году использовались также для кражи и публикации данных, причем злоумышленники стали создавать картели и отдавать часть операций на исполнение своим партнерам, специализирующимся на том или ином типе атак. Для противостояния подобным агрессивным нападениям X-Force рекомендует компаниям ограничивать доступ к конфиденциальной информации и защищать привилегированные учетные записи с большими полномочиями, используя системы управления правами доступа (PAM) и управления учетными записями пользователей (IAM).
Другие важные выводы, представленные в отчете:
- Уязвимости чаще становятся причиной взлома, чем фишинг. Отчет 2021 года показал, что чаще всего злоумышленникам удавалось проникнуть в системы жертвы, используя уязвимости (35%), и этот метод впервые за многие годы стал более эффективным, чем фишинг (31%).
- Европа сильнее пострадала от кибератак в 2020 году. На ее долю пришелся 31% всех атак, выявленных специалистами X-Force — это больше, чем в любом другом регионе, а число атак вирусов-шифровальщиков в Европе резко выросло. Кроме того, в Европе было больше атак со стороны инсайдеров, чем в других регионах — в два раза больше, чем в Северной Америке и в Азии вместе взятых.
В отчете использовались данные, собранные IBM в 2020 году для анализа глобального ландшафта угроз и информирования специалистов в сфере информационной безопасности об опасностях, наиболее релевантных для той или иной организации. Чтобы скачать копию отчета IBM X-Force Threat Intelligence Index 2021, пройдите по ссылке: https://www.ibm.biz/threatindex2021