«Перспективы угроз в 2022 году кажутся мрачными, — пишут авторы. — Те, кто стоит за программами-вымогателями, становятся все агрессивнее, превращая эти некогда относительно простые атаки в более сложные и прибыльные многогранные операции по вымогательству». В США и за рубежом предпринимаются серьезные меры по борьбе с преступниками, но это не влияет на бизнес-модель использования программ-вымогателей как услуги. В то же время жесткие меры правительства могут привести к негативным последствиям для организаций.

«Программы-вымогатели никуда не денутся, равно как и шпионаж и информационные атаки. В 2022 году мы продолжим наблюдать за региональной и международной деятельностью, проводимой «большой четверкой»: Россией, Ираном, Китаем и Северной Кореей. Более широкое распространение технологии deepfake только усугубит угрозы», — сообщается в отчете.

Новые тактики программ-вымогателей

За последнее десятилетие рынок программ-вымогателей значительно расширился и будет продолжать расти. Этот бизнес слишком прибылен, а потому лишь мировые правительства и технологические инновации смогут коренным образом изменить рентабельность злоумышленников. Пока попытки привлечь к ответственности злоумышленников не увенчались успехом: киберпреступники просто регистрируются на другой платформе — в рамках бизнес-модели «вымогатель как услуга» — и продолжают свою деятельность. Большинство действует из регионов, которые не подпадают под законодательство США. «Мы ожидаем увеличения числа атак с использованием программ-вымогателей за пределами США. Также ожидаем рост числа инцидентов с применением программ-вымогателей в важнейших отраслях, где придется платить, чтобы избежать серьезных проблем со здоровьем и благополучием гражданского населения».

Вымогательство начинается с того, что с помощью шифрования (классическая программа-вымогатель) жертвам блокируют их собственные файлы, а затем угрожают обнародовать конфиденциальные данные. Предполагается, что в 2022 году преступники будут использовать новые тактики — например, пытаться вербовать инсайдеров среди своих жертв или принимать в расчет стратегии встречных переговоров.

Больше конфликтов между злоумышленниками

В операциях «программа-вымогатель как услуга» регулярно участвуют несколько субъектов, каждый из которых выполняет конкретный элемент атаки за определенную плату или за часть выручки. Предполагается, что в 2022 году между этими участниками будет расти конфликт, который в итоге может привести к неприятным последствиям для жертв. Конфликты могут возникнуть, когда жертвы отказываются платить или кто-то считает, что ему платят недостаточно, или если правоохранительные органы блокируют возможность злоумышленников получить выкуп. В некоторых ситуациях данные могут быть опубликованы кем-то из обиженных.

Меж двух огней

Американским компаниям и предприятиям, ведущим бизнес в США, не разрешается платить тем, кто попал под санкции. Однако такой подход, направленный на запрет финансирования вымогателей, может привести к негативным последствиям для компаний.

Угрозы киберфизическим системам со стороны «чайников»

В 2022 году злоумышленники продолжат исследовать пространство Operational technology (OT) и все чаще будут использовать программы-вымогатели в своих атаках на устройства, необходимые для отслеживания или управления промышленным оборудованием.

Атаки на критически важные среды ОТ могут вызвать серьезные нарушения и даже угрожать жизни людей, тем самым увеличивая давление на организации с целью получения выкупа. Проблема усугубляется тем, что многие из этих устройств OT сделаны без внимания к безопасности, и в последнее время наблюдается значительный рост числа обнаруженных уязвимостей. Яркий пример — Log4j, которой могут воспользоваться даже неопытные хакеры.

Больше публичных инцидентов в Азиатско-Тихоокеанском регионе и Японии (APJ)

Исторически инциденты в регионе APJ не предавались огласке, но ситуация может измениться в 2022 году, поскольку вымогательство становится все более распространенным. Ранее злоумышленники хотели оставаться невидимыми как можно дольше, надеясь сохранить доступ к сетям жертв. А те, в свою очередь, старались избежать репутационного ущерба, финансовых и других последствий. Теперь же преступники угрожают опубликовать конфиденциальные данные, чтобы ускорить получение выкупа. Организации региона APJ должны быть готовы бороться с этими типами вымогателей, но, к сожалению, многие не имеют соответствующего опыта работы или не воспринимают их всерьез.

Угрозы «большой четверки»

По мнению аналитиков, Россия будет сохранять свою агрессивную позицию, фокусируясь на НАТО, Восточной Европе, Украине, Афганистану и энергетическом секторе. Так, правительство США приписало атаку на SolarWinds группировке UNC2452. Злоумышленники взломали поставщика ПО SolarWinds, а затем снабдили продукт Orion вредоносным обновлением. «Манипуляция UNC2452 методами аутентификации в гибридных облачных/локальных средах показывает новые тактики, заставляя нас полагать, что уровень сложности и масштабы российских операций будут расширяться», — говорится в отчете.

В своем регионе Иран будет использовать киберинструменты гораздо более агрессивно, чем ранее. Он продемонстрировал свою способность и готовность применять деструктивное вредоносное ПО, поэтому ожидается, что он воспользуется любой представившейся возможностью. Целями Ирана по-прежнему останутся Израиль и другие страны Ближнего Востока.

Китай продолжит действовать очень агрессивно, поддерживая инициативу «Один пояс — один путь», используя кибершпионаж. Теперь, когда Министерство государственной безопасности (МГБ) и Народно-освободительная армия (НОАК) завершили большую часть своей реорганизации, их операции станут гораздо более целенаправленными. Китай продемонстрировал готовность масштабировать свои операции и предпринимать шаги, которые раньше не собирался делать.

Северная Корея с ее географическими, международными и финансовыми проблемами готова играть ва-банк. Ожидается, что 2022 году она расширит свой киберпотенциал, чтобы восполнить недостаток других инструментов власти. Кибераппарат Северной Кореи будет продолжать поддерживать правящий режим, финансируя ядерные амбиции и собирая стратегические разведданные.

С приходом к власти талибов* и выводом войск США из Афганистана продолжится кибершпионаж. Страна может также подтолкнуть происламистских экстремистов к расширению пропагандистской деятельности и информационным диверсиям.

Дипфейки

В течение 2020 и 2021 годов Mandiant следила за сообщениями и рекламой технологии дипфейков на русскоязычных и англоязычных криминальных форумах. На этих форумах злоумышленники рекламировали дипфейковые видео и изображения, а также обучали пользователей созданию собственных медиафайлов. Аудио Deepfake облегчило мошеннические схемы типа компрометации деловой электронной почты (BEC). В открытых источниках демонстрируется, как злоумышленники обходят протоколы безопасности многофакторной аутентификации (MFA) и меры проверки идентификатора (KYC). Ожидается, что по мере того, как технология deepfake станет более доступной в 2022 и последующих годах, преступники будут все больше интегрировать ее в свои операции, чтобы сделать социальную инженерию более убедительной и адаптировать контент к конкретным целям.

Кибераутсорсинг повышает риски

Аутсорсинг злонамеренных операций способствует как увеличению частоты, так и сложности киберугроз. И вряд ли это замедлится в 2022 году. Стирание различий между спонсируемыми государством операциями с точки зрения как инструментов, так и талантов, созревание законных и нелегитимных рынков сторонних инструментов и услуг, а также растущая специализация и коммодификация киберпространства — все идет к тому, чтобы сделать сложное доступным для широкого круга преступников. Для защитников это означает повышение общих киберрисков по мере роста количества, качества и адаптируемости вредоносных операций.

Облако как узкое место

Компании будут по-прежнему все больше полагаться на облачных сторонних поставщиков для выполнения основных бизнес-задач. Доля расследований инцидентов с использованием облачных ресурсов в аналитике Mandiant значительно выросла за последние несколько лет. Предполагается, что она будет продолжать расти вместе с внедрением корпоративных облаков.

Больше IoT-устройств, больше уязвимостей, больше атак

Поскольку все эти устройства подключены друг к другу, мы увидим, что общая площадь атаки будет расширяться. К сожалению, при проектировании фундаментальных устройств «Интернета вещей» не уделялось достаточного внимания безопасности, поэтому в ближайшие годы ситуация будет только ухудшаться. Когда выпускаются исправления для недавно обнаруженных уязвимостей, пользователь должен взять на себя ответственность по обновлению своих устройств. Большинство пользователей, возможно, никогда не узнают, что требуется обновление, а если и узнают, то, не придадут значения. Никаких скоординированных инициатив по обеспечению безопасности для устройств «Интернета вещей» не было. Такие технологии, как Secure Boot, помогают, но они реализуются только крупными организациями и в новых продуктах. Надо сказать, что такие компании, как Microsoft и Amazon, разрабатывают платформы, которые предоставят небольшим компаниям возможность создавать более безопасные устройства IoT. Это шаги в правильном направлении, но потребуется несколько лет, прежде чем будет реализован безопасный ландшафт «Интернета вещей».

Подробный отчет можно заказать на сайте MIT Technology Review

*Талибан признана в России террористической организацией