Отчет Arete: анализ угроз кибербезопасности

CXOToday взял эксклюзивное интервью у г-на Раджа Сивараджу, президента APAC, Arete

Каковы ключевые выводы из отчета Arete’s Crimeware об инцидентах с программами-вымогателями?

Отчет Arete о криминальном программном обеспечении проливает свет на постоянно меняющийся мир киберсобытий, в частности инцидентов с программами-вымогателями. Отчет выявляет значительные тенденции и сдвиги в этом цифровом ландшафте. Эти данные подчеркивают необходимость сохранять бдительность и адаптироваться к меняющемуся характеру этих событий.

В отчете раскрываются интригующие закономерности в сфере разновидностей программ-вымогателей. Arete собирает данные по каждому мероприятию реагирования на инциденты, чтобы понять, как возникают и исчезают различные виды программ-вымогателей, предоставляя всестороннее представление об изменяющемся ландшафте инцидентов с программами-вымогателями. В отчете также рассматриваются важные тенденции, такие как суммы требуемых и выплачиваемых выкупов, отрасли, наиболее подверженные атакам программ-вымогателей, и потенциальные будущие изменения.

Отчет раскрывает цикл действий и реакций в области кибербезопасности за последние несколько лет. После громких киберинцидентов многие организации инвестировали в инструменты безопасности и обучение для снижения рисков. Однако киберпреступники адаптировались, нацелившись на различные операционные системы с помощью более сложной тактики. В отчете также обсуждается влияние таких факторов, как инструменты искусственного интеллекта, доступность киберпреступности, недавно обнаруженные уязвимости и российско-украинский конфликт. Этот меняющийся ландшафт привел к тому, что операции программ-вымогателей стали более инновационными, постоянно совершенствуя свою тактику.

Группы субъектов угроз также претерпели изменения, что затрудняет отнесение инцидентов к конкретным субъектам. Но точно так же, как развиваются субъекты угроз, развиваются и организации, отслеживающие их. В первой половине 2023 года правоохранительные органы по всему миру более тесно сотрудничали, что привело к результативным арестам и ликвидации групп киберпреступников. Это сотрудничество привело к обмену обширной информацией о тактике и индикаторах этих событий, что помогает лучше определять их причины и предотвращать.

В конечном счете, отчет о криминальных программах Arete подчеркивает ее стремление пролить свет на сложный мир киберсобытий. Благодаря всесторонним данным и анализу информация служит руководством для организаций, занимающихся киберпространственными событиями. Поскольку мы ориентируемся в этом меняющемся ландшафте, в отчете подчеркивается необходимость адаптации, сохранения бдительности и совместной работы, чтобы сделать киберпространство безопаснее.  

Можете ли вы выделить некоторые из наиболее распространенных видов программ-вымогателей, упомянутых в отчете, их отличительные характеристики и предпочтительные методы реагирования на инциденты?

Первая половина 2023 года принесла значительные изменения в мир программ-вымогателей. Лидирующий штамм LockBit доминировал в 30,3% наблюдаемых случаев Arete. Наряду с этим появились новые версии, такие как Akira и Luna Moth. Несмотря на этих новичков, хорошо зарекомендовавшие себя участники сохраняют свое влияние.

LockBit и ALPHV / BlackCat стабильно входят в тройку лидеров на протяжении четырех кварталов, демонстрируя свое прочное присутствие. LockBit эволюционировала, совершенствуя свою тактику, предоставляя новые инструменты аффилированным лицам и ориентируясь на различные операционные системы. Это может повлиять даже на системы Linux, и была обнаружена новая версия LockBit для macOS.

Универсальность LockBit проявляется в таких вариантах, как LockBit Green и LockBit Black. ALPHV / BlackCat, с другой стороны, использует уникальный подход, требуя специальных аргументов командной строки для шифрования файлов в системах-жертвах. Для распространения они используют украденные учетные данные администратора и такие инструменты, как PsExec, что делает ненужными ручные усилия.

Еще одним игроком является Royal ransomware, которому, как и BlackCat, для выполнения требуются аргументы командной строки. Он появился в Arete в 4 квартале 2022 года, а в 1 квартале 2023 года наблюдался всплеск числа случаев, за которым последовало снижение во 2 квартале. В этот же период новичок Акира быстро вырос и стал вторым наиболее наблюдаемым вариантом. Интересно, что организация по кибербезопасности выпустила дешифратор для Akira, для правильной расшифровки которого требуются как зашифрованные, так и незашифрованные пары файлов. Однако улучшенная версия Akira вскоре может сделать бесплатный дешифратор неэффективным. Возможно, Akira может перейти к более ориентированному на вымогательство подходу, аналогичному другим группам программ-вымогателей.  

Согласно отчету, какие отрасли промышленности наиболее уязвимы для инцидентов с программами-вымогателями и какие факторы способствуют их уязвимости?

Понимание того, какие отрасли наиболее подвержены риску инцидентов с программами-вымогателями, имеет решающее значение в сегодняшнем ландшафте киберугроз. Обладая передовым опытом в области кибербезопасности, Arete предлагает глубокое понимание отраслевых уязвимостей с использованием комплексных методов, основанных на данных.

В первой половине 2023 года произошел значительный всплеск инцидентов с программами-вымогателями в секторе профессиональных услуг, с заметным увеличением почти на 12% по сравнению со второй половиной 2022 года. Этот всплеск во многом обусловлен активизацией деятельности группы вымогателей Luna Moth, которая, в частности, нацелена на юридические фирмы. Интересно, что во второй половине второго квартала наблюдалось замедление деятельности Luna Moth, что указывает на потенциальное снижение числа инцидентов в секторе профессиональных услуг в третьем квартале.

Анализ отраслей, наиболее подверженных инцидентам с программами-вымогателями, показывает стабильную картину. Пять крупнейших затронутых отраслей оставались неизменными со второй половины 2022 по первую половину 2023 года. Эта последовательность подчеркивает сохраняющийся ландшафт угроз в этих секторах, который продолжается с 2019 года. Причина, по которой эти отрасли часто становятся мишенями, заключается в ценных данных, которые они хранят. В этих секторах хранятся важнейшие данные, такие как информация о клиентах, интеллектуальная собственность, финансовые отчеты и конфиденциальные оперативные данные, которые киберпреступники могут использовать для получения финансовой выгоды или конкурентного преимущества.

Уязвимость этих отраслей усиливается их критически важной операционной инфраструктурой, включая производственные предприятия, больницы и транспортные сети. Такая конфигурация делает их более склонными платить выкупы, чтобы избежать сбоев в работе. Финансовые стимулы, предоставляемые этими секторами, делают их привлекательными объектами для киберпреступников.

Хотя требования о выкупе со стороны киберпреступников растут, что интересно, анализ Arete показывает, что выплаты выкупа происходили только в 19% случаев в первой половине 2023 года. Отчасти это можно объяснить участившимися инцидентами, связанными с кражей данных без их шифрования. Между тем, Arete активно фокусируется на оказании помощи клиентам в восстановлении, не прибегая к выплате выкупов. Используя передовые методы, основанные на данных, специалисты Arete по восстановлению создают персонализированные планы восстановления. Эти планы включают оценку последствий инцидента, оценку эффективности резервных копий, поиск альтернативных путей восстановления данных и создание графика восстановления.

Целью этого анализа является поиск наилучшего пути продвижения вперед, часто устраняющего необходимость в выплатах выкупа. Для Arete выплата выкупа всегда является последним вариантом, поскольку мы постоянно ищем способы обеспечения безопасности и устойчивости клиентов. Наш послужной список, в котором более чем в 80% случаев в этом году удалось избежать выплаты выкупа, демонстрирует нашу приверженность надежной защите от инцидентов с программами-вымогателями.  

В контексте переговоров о выкупе не могли бы вы объяснить динамику и наметить потенциальные результаты для целевых организаций и субъектов угрозы?

В ходе переговоров о выкупе наблюдается растущая тенденция к увеличению требований о выкупе со стороны участников угрозы, и только 19% из них приводят к выплатам. Ключевым фактором, способствующим такому низкому уровню платежей, является распространенность атак только с эксфильтрацией, при которых данные похищаются без шифрования. Субъекты угрозы используют эту украденную информацию в качестве рычага давления, заставляя жертв платить, чтобы предотвратить утечку конфиденциальных данных. Такие организации, как Arete, работают над снижением зависимости от платежей за выкуп, расширяя возможности восстановления. Они оценивают воздействие атаки, проверяют резервные копии, определяют данные, которые можно восстановить альтернативными методами, и устанавливают сроки восстановления, предлагая жизнеспособную альтернативу требованиям вымогательства.

Read more at: https://www.cxotoday.com/interviews/unveiling-aretes-crimeware-report-insights-into-cybersecurity-threats/

Author: admin