Существующие угрозы обострились, и в турбулентном 2017 году появились новые угрозы. Ransomware (вирусы-вымогатели), DDoS-атаки на основе IoT угрожали интернету, политические диверсии и саботажи росли, а хакеры переходили к атакам без вредоносного ПО. Эти и другие угрозы освещены в новом докладе Symantec об угрозах безопасности Интернета.

Ransomware продолжили свое развитие. «Количество новых семейств вымогателей, обнаруженных в течение прошлого 2016 года, увеличилось более чем в три раза до 101, а Symantec зафиксировало 36% -ное увеличение заражения для целей вымогательства». Требования выкупа также усилились: «средний размер выкупа в 2016 году вырос до 1 077 долларов, по сравнению с 294 годом ранее», — отмечается в отчете.

На самом деле угроза стала настолько серьезной, что на этой неделе советник по безопасности F-Secure Шон Салливан предупредил, что правительствам необходимо найти способ сократить использование биткойнов для выкупа. «Если США будет преследовать все формы потенциально нелегальных платежей, рост вымогательства может быть уменьшен. В противном случае мы ожидаем, что количество новых вирусов-вымогателей, обнаруженных нами в 2017 году, по крайней мере удвоится». Он пояснил SecurityWeek: «Правила не нуждаются в идентификации — им нужно только ограничить легкий доступ к счетам жертв, это увеличит накладные расходы и снизит прибыль для киберпреступников».

Кибер-угроза от небезопасных интернет-устройств (IoT) обсуждается уже в течение нескольких лет. Эта угроза стала фактом в 2016 году с появлением ботнета Mirai, который включает в себя сотни тысяч скомпрометированных устройств IoT, таких как маршрутизаторы и камеры видеонаблюдения, которые можно использовать для целенаправленной массированной DDoS-атаки. В октябре он использовался против DNS-компании Dyn и нарушил работу многих ведущих мировых веб-сайтов, включая Netflix, Twitter и PayPal. В сентябре Mirai провела крупнейшую в мире DDoS-атаку против французской хостинговой компании OVH, достигнув отметки 1 Тбит/с.

«Прогноз Gartner говорит о том, что к 2020 году в мире будет более 20 миллиардов устройств IoT, поэтому важно, чтобы проблемы безопасности были устранены, или кампании, подобные Mirai, можно будет увидеть в еще больших масштабах», предупреждает Symantec.

Появление политической подрывной деятельности на основе кибербезопасности стало одним из самых поразительных событий за год. Считается, что кибератаки против Демократической партии и последующая утечка информации были попыткой повлиять на президентские выборы в США в 2016 году. «Учитывая, что американское разведывательное сообщество приписывает атаки России и завершение кампании было оценено как успешное, — предупреждает Symantec, — вполне вероятно, что эта тактика будет повторно использоваться в попытках повлиять на политику и посеять разногласия в других странах».

Это уже происходит, и Франция, и Германия предупреждают, что российские деятели могут попытаться повлиять на их собственные выборы. В Великобритании GCHQ дает основным политическим партиям советы о том, как защитить свои сети, хотя публичных предложений о вмешательстве в референдум Брексита в 2016 году не поступало.

«На продолжающуюся войну в Украине, на выборы в США и на Олимпийские игры влияют кампании, направленные на кражу и утечку данных, способные влиять на общественное мнение, создавать атмосферу недоверия и, возможно, влиять на политические результаты», — отмечает Symantec.

Потенциал политического саботажа в киберпространстве проявился со времени нападений Stuxnet на иранскую ядерную программу в 2010 году. Это также проявилось в атаках по удалению дисков Shamoon саудовской нефтяной компании Aramco в 2012 году. Shamoon снова проявил себя новыми нападениями против нескольких саудовских компаний. В это же время аналогичный троянец для очистки дисков (KillDisk) использовался против энергетических объектов в Украине. Подобные атаки направлены в первую очередь на разрушение критической инфраструктуры и представляют собой серьезную угрозу.

«Жизнь на земле» — это термин, используемый Symantec для описания растущей практики хакеров, избегающих использования вредоносного ПО в своих атаках. Другие компании используют термин «файловый», в то время как Carbon Black использовал термин «атаки без вредоносного ПО». «Уязвимости нулевого дня стали менее важными, а некоторые противники больше не полагаются на вредоносное ПО, все больше « живут за счет земли »- используют ресурсы, необходимые для проведения атак, включая законные инструменты для тестирования на проникновение и проверки на проникновение», — отмечает Symantec.

Цель атаки без файлов заключается в том, чтобы не вносить никаких файлов в зараженную сеть или внести минимум файлов. Не имея нового файла для обнаружения, для антивирусной защиты становится труднее обнаружить присутствие злоумышленника. Этот подход состоит из двух различных вариантов, первый из которых это проникновение в сеть без использования вредоносных программ. Прямой фишинг является предпочтительным методом, поскольку он может получить легитимные учетные данные доступа, которые не будут вызывать подозрения при использовании. Иногда это все, что нужно, например, если атака специально ищет доступ к электронным адресам цели.

В других случаях фишинговый адрес будет содержать документ MS Office, содержащий вредоносные макросы. Symantec отмечает, что версия этого метода была использована для распространения Shamoon.

«Если файл был открыт, макрос запускает скрипт PowerShell, который обеспечивает удаленный доступ и осуществляет базовую разведку зараженного компьютера. Если компьютер представляет интерес, они затем устанавливают вредоносное ПО» (Backdoor.Mhretriev).

«В дальнейшем злоумышленники использовали бесчисленное множество легитимных административных инструментов тестирования для проникновения в сеть, чтобы идентифицировать компьютеры для заражения». Если цель атаки достигнута или заплачен выкуп, то вредоносная программа может быть немедленно удалена — теоретически вредоносная программа может быть обнаружена, но это может произойти слишком поздно, чтобы что-либо исправить.

Если целью атаки является фильтрация данных, то атаку типа «жизнь на земле» можно осуществить даже не внося никаких вредоносных программ.

Два фундаментальных изменения кибер-угроз исходят от Symantec ISTR: эволюция и эскалация. Атакующие постоянно совершенствуют свои методы — как показано в атаке типа «жизнь на земле» и в использовании IoT для атак DDoS. Эскалация лучше всего видна в целях атак. В традиционных атаках наблюдается резкий рост числа нападений на банки и финансовые системы (например, SWIFT), где ранее большинство атак было направлено против клиентов банка. Это также можно увидеть в размерах возможных атак DDoS, а также в физических атаках саботажа и попытках повлиять на общественное мнение во всех геополитических регионах. «Новая сложность и инновации — это природа ландшафта угроз, но в этом году Symantec определила сейсмические сдвиги в мотивации и фокусе», — сказал Кевин Хейли, директор Symantec Security Response.