Пандемія спричинила нову хвилю цифрової трансформації у всьому світі. І державні установи не залишилися осторонь цього процесу. Завдяки розширенню цифрової інфраструктури, зокрема створенню нових додатків та сервісів, віддалених робочих місць та переходу в хмарне середовище, кількість потенційних векторів атак збільшилася.
Вплив пандемії на кібербезпеку
Кіберзлочинці не могли не скористатися ситуацією з пандемією та збільшенням кількості співробітників, які отримують доступ до корпоративних даних, а також до ІТ-інфраструктури з дому. Зокрема кількість спроб RDP-атак, націлених на віддалених співробітників, за 2020 рік збільшилася на 768%. Крім цього, кіберзлочинці активно використовували інтерес до теми COVID-19, поширюючи шкідливі додатки для відстеження контактів хворих на коронавірус або розсилаючи листи нібито від імені державних установ з фальшивими новинами про пандемію.
Наприклад, група кіберзлочинців XDSpy для інфікування своїх цілей поширювала фішингові листи з темою COVID-19. За минулі роки група скомпрометувала багато державних структур, зокрема військових організацій, міністерств закордонних справ та приватних компаній у Східній Європі та на Балканах.
Крім цього, все більш поширеними стають кібератаки, метою яких є перешкоджання надання послуг, викрадення даних або компрометація стратегічної національної інфраструктури. Серед найбільш відомих інцидентів за останній час — злам SolarWinds Orion, несанкціоноване використання Microsoft Exchange, атаки на інструмент моніторингу ІТ-інфраструктури Centreon та на системи охорони здоров'я у Франції та Німеччині, а також збільшення кількості атак на школи, університети та освітні ІТ-платформи.
Очікується, що кіберзлочинці продовжать удосконалювати свої тактики, використовуючи тему COVID-19 та націлюючись на поширені програми.
Витончені інструменти кібершпигунства
Основними цілями шпигунських операцій є великі організації та державні установи, такі як міністерства закордонних справ, посольства та інші дипломатичні представництва. Для викрадення конфіденційної інформації у таких цілей зловмисники використовують різні витончені способи атак. Їх спільною особливістю є прихована активність, яка дозволяє залишатися непоміченими у мережі жертви якомога довше.
Прикладом такої шкідливої програми є новий бекдорCrutch для крадіжки документів, який належить відомій групі кіберзлочинців Turla. Дослідники ESET виявили Crutch в мережі міністерства закордонних справ однієї з країн Європейського Союзу. Крім цього, APT-група Turla використовує й інші витончені інструменти. Серед них – безфайлові загрози, наприклад, завантажувач PowerShell з відкритим вихідним кодом для запобігання виявлення, а також шкідлива програма LightNeuron, націлена на сервери Microsoft Exchange.
Ще однією небезпечною групою кіберзлочинців є Gamaredon, яка відома своїми атаками на державні установи в Україні. Ця група додає шкідливі макроси в документи Microsoft Word та Excel, таким чином поширюючи загрози. Використовуючи легітимні інструменти, які застосовуються в державних та бізнес-структурах, Gamaredon швидко знаходить доступні конфіденційні дані та далі розповсюджується в мережі.
Програми-вимагачі — небезпека для організацій
Однією із найнебезпечніших загроз для державних установ є потрапляння в їх мережу програм-вимагачів, які шифрують важливі дані та вимагають великі суми за їх розблокування.
Зокрема у жовтні 2020 року спеціалісти ESET у співпраці з Microsoft та декількома правоохоронними установами, викрили ботнет Trickbot, за допомогою якого зловмисники не тільки викрадали гроші з банківських рахунків, а й інфікували організації, розгортаючи програму-вимагач Ryuk та вимагаючи викуп.
Цікаво, що, за даними телеметрії ESET, зі зниженням активності Trickbot кількість виявлених зразків ботнету Emotet збільшувалась. Зв'язок між цими двома загрозами дозволив знешкодити в січні 2021 року і Emotet у ході масштабної операції Європолу та низки правоохоронних органів у Європі та Північній Америці.
Варто зазначити, що такі групи кіберзлочинців часто можуть тижнями чи місяцями збирати інформацію в інфікованих системах та лише після цього розгортати програми-вимагачі. Деякі кіберзлочинці таким чином намагаються отримати прибуток, інші ставлять собі за мету підірвати довіру до державних установ в певній країні.
Кількість атак на ланцюг постачання стрімко зростає
Втручання в ланцюг постачання не є новою технікою. Однак цифровізація та вигоди від співпраці зі сторонніми постачальниками у свою чергу збільшили ризик таких атак. Зокрема нещодавно в центрі уваги опинилася компрометація програмного забезпечення SolarWinds Orion. Під загрозою опинилися тисячі користувачів цієї платформи, а зловмисники та АРТ-групи отримали можливості для широкомасштабної активності.
Крім цього, дослідники ESET за останні кілька місяців виявили кілька інших атак на ланцюг постачання – від використання зламаних додаткових інструментів безпеки для поширення шкідливого коду до атак на корпоративне програмне забезпечення для чатів, від компрометації центру сертифікації до інфікування емулятора Android.
Враховуючи складність виявлення таких атак та їх прибутковість для кіберзлочинців, їх кількість, ймовірно, продовжить збільшуватися найближчим часом у всьому світі. Як мінімізувати ризик стати жертвою атак на ланцюг постачання, читайте за посиланням.
Робота з дому як нова реальність
Перехід на віддалений режим роботи призвів до зростання ризиків для всіх роботодавців, а отже, і державних установ. При цьому, найближчим часом ситуація суттєво не зміниться, оскільки новий формат роботи стане частиною моделі функціонування організацій навіть після пандемії. Однак з точки зору безпеки домашня мережа частіше стає ціллю кібератак.
За попередніми підрахунками, 23% інцидентів кібербезпеки сталися через помилки персоналу. Зловмисники часто користуються інтуїтивним бажанням користувачів швидко перейти за посиланням, яке виглядає як безпечне. Однак деякі з найбільших порушень були спричинені діями досвідчених ІТ-спеціалістів, зокрема через підключення персональних пристроїв співробітників до корпоративних систем, неправильне налаштування хмарних систем та інші помилки.
Крім цього, за даними звіту про Інтернет-загрози за 2020 рік, на 47% зросла кількість повідомлень про інциденти, спричинені інсайдерами. Причиною багатьох таких інцидентів стають не тільки людські помилки, а й дії незадоволених співробітників. Зокрема персонал може здійснити крадіжку даних, завдати фізичну шкоди та видалити облікові записи з метою помсти, особистого прибутку або в інтересах нового роботодавця.
Захист від найновіших векторів атак: з чого почати
Через складність атак важко передбачити, які уразливості зловмисники використають наступного разу, за допомогою яких інструментів та якими будуть їх цілі. Однак установи вже зараз можуть підготуватися до сучасних векторів атак за допомогою багаторівневої системи безпеки.
Зокрема захистити від «0-денних» загроз допоможе хмарна пісочниця, а повний огляд активності робочих станцій та вчасне реагування на інциденти забезпечить EDR-рішення. Від витоків даних захистить рішення для запобігання втраті даних, яке допоможе виявляти підозрілі дії з конфіденційною інформацією. Крім цього, важливо також забезпечити регулярне оновлення програмного забезпечення, резервне копіювання та захист робочих станцій.
За підсумками минулого року однією з позитивних тенденцій у кібербезпеці, як і в боротьбі з коронавірусом, є поява міцного партнерства між державними органами та приватним сектором для вирішення актуальних проблем. Компанія ESET розуміє важливість такої взаємодії та готова співпрацювати з державними органами задля покращення безпеки цифрового світу.
Повне дослідження доступне за посиланням.