Отчет “Cyber Security Report 2024” от Check Point Software представляет подробный анализ событий в мире кибербезопасности за 2023 год

Отчет “Cyber Security Report 2024” от Check Point Software описывает значительные изменения в мире кибербезопасности в 2023 году, с быстрым развитием природы и масштаба кибератак. Основные моменты:

1. Выход киберугроз на передний план: Киберугрозы стали более заметными, привлекая внимание от правительственных агентств до широкой публики.
2. Разнообразие причин и методов атак: Различные мотивации стоят за кибератаками, включая стремление к признанию. Вымогательское ПО, эксплуатирующее уязвимости нулевого дня и использующее “сайты позора” для публичного разоблачения жертв, стало более популярным.
3. Рост хактивизма: Хактивисты, мотивированные политическими или социальными причинами, использовались правительствами для косвенных атак на противников. Это стало заметно на фоне таких событий, как война в России и Украине и конфликт между Израилем и ХАМАСом.
4. Новые методы проникновения в системы: Атаки на маршрутизаторы и коммутаторы стали чаще, включая использование украденных учетных данных и вредоносного ПО.
5. Роль ИИ в кибератаках: Искусственный интеллект начал активнее использоваться в кибератаках, особенно в фишинговых кампаниях. В то же время ИИ также использовался защитниками для улучшения кибербезопасности.
6. Прогресс в борьбе с киберпреступностью: Правоохранительные органы, включая ФБР, добились успехов в борьбе с крупными угрозами, такими как сеть Hive Ransomware и инфраструктура Qbot, но возвращение некоторых из этих групп напоминает о том, что борьба с киберпреступностью продолжается​​.

Раздел “Линия времени киберсобытий 2023 года” содержит перечисление значимых кибератак и событий, связанных с кибербезопасностью, которые произошли в 2023 году. Вот некоторые из ключевых событий:

1. Январь:
   • Была обнаружена база данных, содержащая более 14 миллионов имен пользователей и паролей на темном веб-форуме, включая более 100000 логинов для порталов, принадлежащих австралийским государственным агентствам.
   • Группа вымогателей Vice Society проводила серию широкомасштабных атак на школы в Великобритании и Соединенных Штатах.
   • Были отмечены попытки российских киберпреступников обойти ограничения OpenAI для использования ChatGPT в злонамеренных целях.
   • Кибератака на британскую почтовую службу Royal Mail, за которую отвечает группа LockBit.
2. Февраль:
   • Криптотокен Dingo с рыночной капитализацией $10,941,525 был признан мошенничеством. Злоумышленники добавили обратную функцию в его смарт-контракт для манипулирования комиссией.
   • Пророссийская хактивистская группа KillNet запустила крупномасштабную операцию против сектора здравоохранения США, проведя множественные DDoS-атаки.
   • Розничный торговец спортивной одеждой JD Sports UK объявил о нарушении данных, затронувшем примерно 10 миллионов клиентов.
   • Группа, стоящая за масштабной кампанией вымогательства ‘ESXiArgs’, затронувшей тысячи хостов VMware ESXi, обновила процесс шифрования своего вредоносного ПО.

Эти события подчеркивают масштаб и разнообразие киберугроз, с которыми столкнулся мир в 2023 году, включая рост использования ИИ в кибератаках, широкомасштабные DDoS-атаки и сложные схемы вымогательства

Раздел “Развитие методов атак” подробно описывает новые тенденции в кибератаках, включая усовершенствованные фишинговые кампании, атаки с использованием ИИ и сложные сетевые вторжения. Вот ключевые моменты:

1. Преобладание вымогательского ПО: Ransomware составляло 46% всех инцидентов. Увеличение в 20% по сравнению с предыдущим годом наблюдалось в атаках, направленных на кражу конкретных пользовательских данных, таких как компрометация бизнес-электронной почты (BEC) и захват учетных записей.
2. Использование легитимных инструментов: Инструменты удаленного доступа, такие как AnyDesk и TeamViewer, все чаще используются злоумышленниками для управления и контроля, что усложняет обнаружение традиционного вредоносного ПО.
3. Вымогательское ПО ‘Royal’ и ALPHV (BlackCat): ‘Royal’ использовало фишинг для первоначального доступа, часто с использованием мошеннических PDF, а затем применяло инструменты типа Cobalt Strike для дальнейших атак. ALPHV продемонстрировал свою универсальность, атакуя системы Windows, Linux и VMware.
4. Мошенничество с криптовалютой: Наблюдался рост мошеннических схем, включая “Rug Pull”, при котором злоумышленники украли почти $1 млн, и манипуляции с ликвидностью криптовалютного бассейна, приведшие к краже $80 000 у держателей токенов.
5. Эксплуатация нулевых дней: В 2023 году произошло несколько крупных атак с использованием уязвимостей нулевого дня. Это подчеркивает изменение стратегии злоумышленников и экономические соображения при выборе методов атаки.
6. Эволюция RaaS (Ransomware-as-a-Service): Провайдеры RaaS внедрили новые функции для повышения своих операционных способностей, включая техники уклонения, расширенные методы вымогательства и совместимость с дополнительными операционными системами.
7. Увеличение масштабов атак вымогательского ПО: Атаки на MGM Resorts International и австралийского оператора портов DP World демонстрируют рост масштабов и влияния атак вымогательского ПО.
8. Эксплуатация уязвимостей в облачных сервисах и SSO (Single Sign-On): Повышенный риск связан с эксплуатацией украденных токенов доступа из уже аутентифицированных сессий.
9. Атаки на краевые устройства: Злоумышленники начали использовать краевые устройства, такие как маршрутизаторы и коммутаторы, для внедрения в сети и проведения DDoS-атак.
10. Использование мошеннических версий популярных приложений и утечки данных: Например, модифицированная версия Telegram устанавливала троян Triada, а из канала Nickelodeon утекло 500 ГБ данных.
11. Использование генеративного ИИ для создания вредоносного контента: Анализ платформы Bard от Google показал, что она может использоваться для создания фишинговых писем и вредоносного ПО.

Эти находки подчеркивают растущую сложность и разнообразие методов кибератак, требуя от организаций постоянного улучшения своих стратегий кибербезопасности.

Раздел “Глобальный анализ” представляет собой обширное исследование киберугроз в различных регионах мира. Вот основные моменты:

1. Категории кибератак по регионам:
   • Глобально: Мультифункциональное вредоносное ПО (12%), информационные воры (12%), вымогательское ПО (10%), криптомайнеры (9%) и мобильное ПО (6%).
   • ЕМЕА (Европа, Ближний Восток и Африка): Мультифункциональное вредоносное ПО (12%), информационные воры (12%), вымогательское ПО (10%), криптомайнеры (8%) и мобильное ПО (5%).
   • АТР (Азиатско-Тихоокеанский регион): Мультифункциональное вредоносное ПО (15%), информационные воры (15%), криптомайнеры (13%) и вымогательское ПО (11%).
2. Глобальный индекс угроз: Карта глобального индекса угроз демонстрирует основные риски киберугроз в разных частях мира, с более темными областями, указывающими на более высокий риск.
3. Атаки на различные отрасли: В среднем, организации в различных отраслях подвергаются атакам с разной частотой. Например, сектор образования и исследований сталкивается с 1598 атаками в неделю, что на 4% меньше по сравнению с 2022 годом, в то время как утилиты столкнулись с увеличением на 22%.
4. Мультифункциональное вредоносное ПО: Эта категория объединяет банковские трояны и ботнеты, отражая эволюцию многих банковских троянов, которые приобрели дополнительные функции. Одним из примеров является DarkGate, особенно популярный в АТР.
5. Информационные воры: Рынок информационных воров в основном работает по модели “Malware-as-a-Service” (MaaS), включая несколько ключевых игроков, таких как AgentTesla, FormBook и LokiBot.
6. Статистика вредоносного ПО: Самые распространенные семейства вредоносного ПО включают FakeUpdates, Qbot, AgentTesla, FormBook и CloudEyE.
7. FakeUpdates (SocGholish): Использует сеть скомпрометированных веб-сайтов для перенаправления пользователей на поддельные обновления программного обеспечения и браузеров, что приводит к загрузке и выполнению вредоносного JavaScript.
8. Проблема с открытым исходным кодом: Растущая волна атак, таких как typosquatting и brandjacking, подчеркивает необходимость усиленного внимания и проактивных мер в отношении репозиториев с открытым исходным кодом.
9. Типы атак: Вымогательское ПО является самым распространенным типом угрозы, составляя 46% всех случаев инцидентного реагирования. Кроме того, атаки, направленные на кражу конкретных пользовательских данных, такие как компрометация бизнес-электронной почты (BEC), стали еще более распространенными, увеличившись более чем на 20% по сравнению с предыдущим годом.
10. Использование законных инструментов удаленного доступа: Инструменты, такие как AnyDesk и TeamViewer, все чаще используются злоумышленниками для командного управления и контроля, что усложняет обнаружение традиционного вредоносного ПО.
11. Вымогательское ПО ‘Royal’ и ALPHV (BlackCat): ‘Royal’ часто использует фишинг для первоначального доступа, в то время как ALPHV демонстрирует свою универсальность, атакуя различные системы, включая Windows, Linux и VMware.

Эти данные предоставляют всесторонний взгляд на глобальные киберугрозы и их влияние на различные регионы и отрасли.

Раздел “Высокопрофильные глобальные уязвимости” подробно описывает ключевые уязвимости, которые были эксплуатированы в 2023 году. Вот некоторые из наиболее значительных уязвимостей:

1. PAPERCUT (CVE-2023-27350): Критическая уязвимость удаленного выполнения кода (RCE) в программном обеспечении для управления печатью PaperCut, затронувшая более 100 миллионов пользователей. Эта уязвимость была использована для распространения вымогательского ПО Lockbit и CL0P, а также эксплуатирована государственно-спонсируемыми группами APT.
2. MOVEIT (CVE-2023-34362): Критическая уязвимость SQL-инъекции в программном обеспечении MOVEit MFT (Managed File Transfer Software), которая привела к одной из самых масштабных кампаний вымогательского ПО в 2023 году, затронув более 2700 организаций по всему миру. Группа CL0P использовала эту уязвимость для развертывания веб-шелла LEMURLOOT и кражи данных из баз данных MOVEit Transfer.
3. GOANYWHERE (CVE-2023-0669): Эта уязвимость не уточнена в отчете, но, вероятно, она также играла важную роль в кибератаках 2023 года.
4. BARRACUDA (CVE-2023-2868): Критическая уязвимость инъекции удаленной команды в устройстве Barracuda Email Security Gateway, эксплуатировавшаяся с помощью вредоносных файловых вложений. Эта уязвимость активно использовалась с октября 2022 года китайской APT-группой в агрессивной кампании, охватившей организации по всему миру с особым акцентом на государственные агентства.
5. MICROSOFT OUTLOOK (CVE-2023-23397): Критическая уязвимость повышения привилегий в Microsoft Outlook, обнаруженная в марте 2023 года с рейтингом CVSS 9.8. Эта уязвимость позволяла злоумышленникам перехватывать хеши аутентификации пользователей через специально созданные электронные письма. Она активно эксплуатировалась группами, включая аффилированную с Россией группу APT28.
6. CITRIXBLEED (CVE-2023-4966): Критическая уязвимость в платформах Citrix NetScaler, позволяющая удаленным неаутентифицированным злоумышленникам извлекать данные системной памяти, включая токены сессий. Эти токены затем использовались для захвата легитимных сессий, обходя процедуры паролей и многофакторной аутентификации. Уязвимость CitrixBleed широко эксплуатировалась несколькими группами вымогательского ПО, включая LockBit, Medusa и Akira.

Эти уязвимости подчеркивают необходимость постоянного обновления и усиления мер безопасности для защиты от сложных киберугроз.

Раздел “Перспектива инцидентного реагирования” представляет собой анализ реакции на киберинциденты и меры по их предотвращению. Вот основные моменты из этого раздела:

1. Анализ и ликвидация последствий киберинцидентов: Check Point Incident Response Team (CPIRT) обычно вступает в дело после явного проявления злонамеренной деятельности, такой как зашифрованные файлы вымогательского ПО, компрометация электронной почты или обнаружение несанкционированных вредоносных файлов или процессов​​.
2. Инциденты, вызванные оповещениями о безопасности: Около 20% случаев CPIRT в 2023 году были вызваны оповещениями от продуктов безопасности в среде клиента. Эти оповещения часто являются сигналами высокой степени серьезности, в то время как оповещения низкой степени серьезности обычно не требуют такого же ответа​​.
3. Основные типы атак: Анализ показывает, что вымогательское ПО является наиболее распространенным типом угрозы, составляя 46% случаев инцидентного реагирования. Компрометация бизнес-электронной почты (BEC) составляет 19% случаев, обнаруживается по признакам, таким как подозрительная электронная почта или мошеннические денежные переводы​​.
4. Инструменты, используемые в атаках: Инструменты удаленного доступа, такие как AnyDesk и TeamViewer, все чаще используются злоумышленниками для командного управления и контроля, что усложняет обнаружение традиционного вредоносного ПО. AnyDesk использовался в 39% инцидентов, проанализированных в этом году​​.
5. Вымогательское ПО ‘Royal’ и ALPHV (BlackCat): ‘Royal’ быстро эволюционировало, став серьезной угрозой и используя фишинг для первоначального доступа. ALPHV демонстрировал свою универсальность, атакуя различные системы, включая Windows, Linux и VMware​​.
6. Не все взломы используются сразу: Иногда после первоначального взлома веб-шеллы и другие механизмы сохранения активности остаются нетронутыми и могут всплыть через месяцы или годы в последующих атаках​​.

Этот раздел отчета подчеркивает важность быстрого и эффективного реагирования на киберинциденты, а также необходимость постоянного обновления и усиления мер безопасности для защиты от киберугроз.

Раздел “Прогнозы для CISO” включает предсказания и рекомендации для специалистов в области кибербезопасности. Вот некоторые ключевые моменты:

1. Рост и эволюция вымогательского ПО: Ожидается увеличение атак вымогательского ПО, которые будут затрагивать организации всех размеров и вымогать миллионы долларов у жертв. Угрозы станут более уклончивыми. Отмечается необходимость более эффективных инструментов предотвращения и обнаружения, а также важность целостного подхода к стратегии смягчения последствий вымогательского ПО​​.
2. Увеличение судебных исков и литигаций: Ожидается рост числа судебных исков и литигаций, связанных с нарушениями кибербезопасности, что может негативно сказаться на CISO (Chief Information Security Officers). Это увеличение особенно заметно в больших и малых организациях, которые могут понести значительные финансовые потери для удовлетворения требований акционеров и пострадавших лиц​​.
3. Использование AI в киберпреступности: Киберпреступники начинают использовать нерегулируемые и неконтролируемые инструменты на основе ИИ для финансовых преступлений. Эти инструменты не подлежат законодательному регулированию, создавая новые вызовы для профессионалов в области кибербезопасности. Продукты, такие как Check Point’s ThreatCloud, помогают справляться с этими угрозами, но в будущем потребуется больше усилий для их решения​​.

Эти прогнозы подчеркивают важность адаптации стратегий кибербезопасности к эволюционирующим угрозам и необходимость постоянного обновления знаний и инструментов для борьбы с киберпреступностью.

Раздел “Искусственный интеллект как защитник в битвах кибербезопасности” обсуждает роль ИИ в современной кибербезопасности. Вот основные моменты из этого раздела:

1. Трансформативное воздействие ИИ на кибербезопасность: Искусственный интеллект стал ключевым элементом в борьбе против киберугроз. Он предлагает преимущества в идентификации, анализе и нейтрализации киберрисков. Используя сложные алгоритмы и машинное обучение, ИИ может быстро обнаруживать узоры, указывающие на злонамеренные действия, часто гораздо быстрее традиционных методов. Это особенно важно в эпоху усиливающихся и усложняющихся кибератак​​.
2. Infinity AI Copilot: Этот инструмент использует генеративный ИИ для автоматизации и поддержки кибербезопасности. Он снижает время, необходимое для выполнения обычных административных задач, на 90%, повышая эффективность и эффективность команд безопасности. Infinity AI Copilot обеспечивает поддержку на всей платформе Infinity, помогая управлять безопасностью во всех ее аспектах​​.
3. ThreatCloud AI от Check Point: Это мощный инструмент больших данных и интеллектуального анализа данных, использующий более 50 ИИ и технологий машинного обучения для идентификации и блокировки новых угроз. Ежедневно он агрегирует и анализирует большие объемы данных и миллионы индикаторов компрометации (IoC), обновляя защиту от новых угроз в реальном времени​​.
4. ThreatCloud Graph: Этот инновационный инструмент обеспечивает многомерный взгляд на киберугрозы, анализируя взаимосвязи между различными сущностями, такими как URL-адреса, IP и доменные имена. Это помогает в раннем обнаружении и предотвращении сложных киберугроз, таких как DNS-отравление, и предоставляет ценные данные для понимания сложных атак​​.

Этот раздел подчеркивает, как интеграция ИИ в кибербезопасность улучшает ее эффективность и эффективность, существенно сокращая время и ресурсы, необходимые для борьбы с цифровыми угрозами.

Раздел “Описание семейств малвари” в отчете “Cyber Security Report 2024” предоставляет анализ распространенных типов вредоносного ПО и их характеристик. Вот подробности о некоторых из них:

1. AgentTesla: Это продвинутый RAT, действующий как кейлоггер и вор информации, способный отслеживать ввод с клавиатуры жертвы, делать скриншоты и красть учетные данные с установленного на машине жертвы ПО.
2. Akira Ransomware: Направлен на системы Windows и Linux, использует симметричное шифрование для шифрования файлов. Распространяется через зараженные вложения в электронной почте и эксплойты в VPN-конечных точках.
3. ALPHV (BlackCat): Оперирует по модели “ransomware-as-a-service”, нацелен на системы Linux и Windows, написан на Rust.
4. AZORult: Троян, собирающий и отправляющий данные с зараженной системы на удаленный сервер.
5. BiBi Wiper: Вредоносное ПО для уничтожения данных, нацеленное на системы Windows и Linux, известно своими разрушительными способностями.
6. CACTUS Ransomware: Шифрует файлы на компьютере жертвы, добавляя уникальное расширение “.CTS1” к каждому зашифрованному файлу, известно эксплуатацией уязвимостей в сетевых системах.
7. CL0P: Вымогательский вирус, нацеленный в основном на крупные фирмы и корпорации, использует стратегию “украсть, зашифровать и утечка”.
8. CloudEyE: Загрузчик, нацеленный на платформу Windows, используется для загрузки и установки вредоносных программ на компьютерах жертв.
9. DarkGate: Сложный Malware-as-a-Service (MaaS), известный своими широкими возможностями, включая кражу учетных данных, кейлоггинг, захват экрана и удаленный доступ.
10. DoppelPaymer: Развившаяся из более раннего BitPaymer, эта сложная линейка вымогательского ПО нацелена на широкий спектр секторов и использует троян Dridex для первоначального проникновения через спир-фишинговые электронные письма.
11. Emotet: Продвинутое и модульное многофункциональное вредоносное ПО, ранее использовавшееся как банковский троян, теперь используется для распространения другого вредоносного ПО или злонамеренных кампаний.
12. FakeUpdates (SocGholish): Загрузчик, написанный на JavaScript, приводит к дальнейшему компрометированию системы через множество других вредоносных программ.
13. FormBook: Infostealer, нацеленный на ОС Windows, обнаруженный в 2016 году, продается как Malware-as-a-Service (MaaS) на подпольных форумах.
14. Glupteba: Windows-задняя дверь, которая постепенно превратилась в ботнет.
15. GootLoader: Скрытное вредоносное ПО, первоначально используемое как загрузчик для банковского трояна GootKit, эволюционировало в мультиплатформенное вредоносное ПО.
16. Horse Shell: Пользовательское вредоносное ПО, используемое китайской государственно-спонсируемой хакерской группой “Camaro Dragon” для атаки на европейские организации иностранных дел.
17. Impala Stealer: Вредоносное ПО для кражи криптовалюты, нацеленное на разработчиков .NET через злонамеренные пакеты NuGet.
18. JaguarTooth: Вредоносное ПО Cisco IOS, нацеленное на изменение механизмов аутентификации маршрутизаторов для обеспечения неаутентифицированного доступа изнанки.

Эти описания предоставляют обзор наиболее распространенных и значительных типов вредоносного ПО, которые были активны в 2023 году, подчеркивая их разнообразие и сложность.

Заключительная часть отчета “Cyber Security Report 2024” от Check Point Software подчеркивает важность использования уроков прошлого года для создания новых и устойчивых стратегий в области кибербезопасности. Основные моменты заключения:

1. Строительство на Опыте Прошлого: Важно использовать уроки прошлого года как основу для создания новых и устойчивых стратегий в области кибербезопасности.
2. Проактивный Подход: Выявление новых тенденций, осознание уязвимостей и понимание методик злоумышленников являются ключевыми для разработки эффективных и устойчивых программ кибербезопасности.
3. Эмпауэрмент Лидеров Кибербезопасности: Отчет предназначен для того, чтобы предоставить лидерам в области кибербезопасности знания и прозорливость, необходимые для того, чтобы опережать киберпротивников.
4. Адаптация к Новым Угрозам: Организациям срочно необходимо адаптироваться и принять новые меры безопасности в ответ на растущие угрозы, такие как вымогательское ПО, нулевые дни и хактивизм.
5. Навигация по Ландшафту Кибербезопасности: В эпоху быстрого развития технологий представленные здесь знания и инсайты служат дорожной картой для ориентации в ландшафте кибербезопасности в 2024 году и далее​​.

Author: admin