Эволюция программ-вымогателей: от угроз киберпространства до корпоративных моделей

Введение

Программы-вымогатели остаются одной из самых значительных угроз в сфере кибербезопасности. Согласно отчету Cato CTRL SASE Threat Report Q3 2024, кибергруппировки, занимающиеся вымогательствами, значительно изменили свои подходы, начав привлекать специалистов по тестированию на проникновение для совершенствования своих атак. Это подчеркивает растущую сложность угроз и необходимость пересмотра корпоративных стратегий безопасности.

Основная часть

1. Программы-вымогатели и привлечение специалистов

• Новый тренд: Кибергруппы, такие как Rabbit Hole, Lynx и Apos, активно ищут специалистов по тестированию на проникновение (penetration testers) для участия в их программах.
• Зачем это нужно? Угрозы становятся более изощренными, и группировки внедряют механизмы тестирования, аналогичные корпоративным процессам, чтобы повысить вероятность успешных атак.
• Методики тестирования: Используются сценарии, направленные на обход современных систем защиты, включая обход TLS-шифрования и эмуляцию фишинговых атак.

2. Угроза “Shadow AI”

• Shadow AI (несанкционированное использование ИИ в организациях) становится новой точкой уязвимости.
• В отчете отмечено использование 10 популярных ИИ-приложений (например, Craiyon, Otter.ai, Writesonic), которые создают риски утечек данных и интеллектуальной собственности.
• Ключевая угроза: Сотрудники используют эти инструменты без ведома ИТ-отделов, что увеличивает вероятность утечек данных.

3. Недостаточное использование TLS-инспекции

• Только 45% организаций включают TLS-инспекцию, и лишь 3% проводят полный анализ всех TLS-сессий.
• Организации, использующие TLS-инспекцию, блокируют на 52% больше вредоносного трафика по сравнению с теми, кто этого не делает.
• Распространенные уязвимости, использующиеся в таких атаках, включают CVE-2021-44228 (Apache Log4j) и SolarWinds Exploit.

4. Рекомендации для повышения устойчивости

Чтобы защититься от эволюционирующих угроз, рекомендуется:

• Интеграция безопасности на этапе проектирования: Использование Zero Trust и регулярные тесты на проникновение.
• TLS-инспекция: Включение механизма анализа зашифрованного трафика с использованием решений, таких как Safe TLS Inspection от Cato.
• Контроль Shadow AI: Установление политики использования ИИ в организациях, регулярный аудит используемых инструментов.
• Обучение сотрудников: Повышение осведомленности о киберугрозах, включая фишинговые атаки и угрозы от программ-вымогателей.

5. Пример атаки: Hunters International

• Сценарий атаки: Группа использовала Ransomware-as-a-Service (RaaS), включая сбор разведданных, установку бэкдоров и эксфильтрацию данных.
• Цель: Компания в сфере технологий из Великобритании.
• Результат: Двойное вымогательство с требованием крупного выкупа за данные.

Заключение

Программы-вымогатели продолжают развиваться, используя подходы, заимствованные из корпоративной практики. Привлечение специалистов по тестированию на проникновение и распространение Shadow AI демонстрируют, насколько сложной становится угроза. Организации должны активно адаптировать свои стратегии защиты, включая использование передовых технологий, обучение сотрудников и улучшение управления киберрисками.

Источники:

1. Cato CTRL SASE Threat Report Q3 2024.
2. Аналитика Cato Networks и данные об угрозах за 2024 год.

Author: admin