Киберпрогноз на 2024 год: эксперты Trellix о том, как поменяется ландшафт и тенденции угроз

Сферу кибербезопасности сотрясают все новые геополитические и экономические события. Они несут за собой изменения в ландшафте угроз и тенденциях поведения злоумышленников. Для бизнеса и потребителей ситуация становится все более сложной и неопределенной. Кроме новых способов применения старых тактик и подходов, субъекты угроз эволюционируют, изобретая современные угрозы.

Чтобы ориентироваться в этом сложном мире киберугроз, нужен их эффективный и глобальный анализ. Более того, нужно мониторить и расследовать угрозы, которые появляются в крупных масштабах и быстрыми темпами.

Это, в первую очередь, программы вымогатели, которые используют методы социальной инженерии, чтобы вынудить пользователей скомпрометировать собственную конфиденциальную информацию и устройства. Жертвам таких атак становится труднее различать реальность от изощренной выдумки, так как разработчики зловредного ПО не останавливаются в усовершенствовании подобных атак.

Вдобавок, целые государства используют кибератаки для удовлетворения своих амбиций, будь то политических, экономических или территориальных. Посредством таких атак они проводят шпионаж, делают вбросы дезинформации, как это наблюдается в Украине, Тайване, Израиле и других регионах. 

«Современное киберпространство представляет собой более сложную среду, чем когда-либо прежде. Киберпреступники, начиная от пользователей программ-вымогателей и заканчивая государствами в целом, проявляют повышенный уровень интеллекта, скорости и координации, изменяя свои тактики согласно новым схемам. Прогнозируется, что эта тенденция сохранится и в 2024 году, — сообщил Джон Фоккер, руководитель отдела разведки угроз Центра передовых исследований Trellix. — Для предотвращения роста количества угроз и обеспечения превосходства над преступниками необходимо внедрение киберстратегии во всех отраслях. Она должна быть понятной, способной адаптироваться к новым угрозам и поощрять постоянную бдительность. Именно так мы сможем обеспечить себе конкурентное преимущество в киберпространстве в следующем году».

Команда Trellix Advanced Research Center — специалисты по кибербезопасности и иследователи угроз — поделилась своими прогнозами на 2024 год. Читайте в статье о тенденциях и тактиках угроз, чтобы получить лучшее представление о системе киберзащиты, которая понадобится вашей организации в ближайшем будущем.

Угрозы на основе технологий AI:

·       Появление зловредных LLMs 

·       Новая волна Script Kiddies

·       AI-генерированный голос в социальной инженерии

 Изменение тенденций в поведении субъектов угроз:

·       Атаки на цепочки поставок против решений для управляемой передачи файлов

·       Вредоносное ПЗ становится полиглотом

·       Сложные схемы с использованием программ-вымогателей 

·       Безопасность выборов должна начинаться с защиты всех субъектов избирательного процесса 

Новые угрозы и методы атак: 

·       Разоблачаем тихий всплеск инсайдерских угроз  

·       Тенденция злонамеренного использования QR-кодов  

·       Незаметная угроза для периферийных устройств  

·       Python в Excel создает потенциально новый вектор для атак 

·       LOL-драйверы начинают играть все более важную роль

Угрозы на основе технологий AI

 
Появление зловредных LLMs 

 Автор: Шьява Трипати

Large Language Models (LLMs), такие как GPT-4, Claude и PaLM2 способны сгенерировать текст, близкий к человеческой речи. Потенциал применения такой возможности со злыми намерениями не заставил себя ждать, и теперь LLMs используют не только рядовые сотрудники, а и киберпреступники. При чем для масштабных атак. 

Если пользователь задает правильно сформулированный запрос, LLM может подать идеи для решения проблем, ответить на сложные вопросы и помочь с многими другими задачами. Кроме связного текста, она также может сгенерировать код. LLM — этакий экономически эффективный инструмент для хакера — новичка и продвинутого преступника — который не требует большого опыта или ресурсов. 

AI-технологии способствуют не только автоматизации и оптимизации различных процессов для бизнеса, но и помогают создавать масштабные фишинговые кампании легче и дешевле. При чем они устраняют потребность в особых технических навыках. По темную сторону интернета уже активно используются FraudGPT, WormGPT и другие подобные инструменты. На популярных даркнет-форумах теперь можно наблюдать скоординированную работу по генерации фишинговых писем и сайтов, написании вредоносного ПО, а также созданию способов избежать обнаружения. LLM помогают преодолеть вызовы киберпреступников ровно так же, как и вызовы сотрудников любого бизнес-отдела. Поэтому стоит принять меры безопасности, которые подразумевают злонамеренное использование LLM в 2024 году.

Новая волна Script Kiddies  

 Автор: Аджит С. 

Script Kiddies — это люди без особых технических навыков, которые используют готовые инструменты автоматизации и скрипты для запуска кибератак. Вероятно, эта проблема возникла по большому счету из-за популярности бесплатного программного обеспечения с открытым исходным кодом.

В то же время, в интернете доступно множество инструментов генеративного AI, которые используют для облегчения жизни специалистов: создания презентаций, голосовых заметок, написание аргументированных статей и многое другое. Да, многие из них оснащены механизмами безопасности и не позволят сгенерировать вредоносный код. Но это касается не всех инструментов на основе AI, тем более тех, которые разрабатываются в даркнете. 

Рано или поздно, киберпреступники получат неограниченный доступ к Gen AI и будут использовать его для улучшения схем социальной инженерии, создания фальшивых видео и других вредоносных активностей, которые облегчат проведение сложных атак для новичков в мире киберпреступности. Поэтому следует тщательно мониторить эту сферу в 2024 году и анализировать первопричины атак.

 AI-генерированный голос в социальной инженерии

 Автор: Рафаэль Пенья 

Еще одной тревожной тенденцией использования AI-технологий в социальной инженерии является искусственно генерированный голос, который создает риск для частных лиц и организаций. Мошенники прибегают к психологическим манипуляциям за счет голоса, которые вызывают доверие и ощущение срочности. Это может вынудить жертву раскрыть личную информацию или провести финансовую транзакцию.

Схемы мошенников набирают оборотов, так как AI-генерированный голос становится все более качественным и способным имитировать определенные речевые паттерны и нюансы. Поэтому отличить его от оригинала сложно. Тем более это легкий и доступный инструмент, который снижает необходимость в технических навыках и денежных ресурсах. Убедительный искусственный голос расширяет возможности мошенников и в целом количество преступников.

Масштабируемость играет ключевую роль в современных аферах. Злоумышленники могут эффективно воспользоваться голосовыми записями, сгенерированными искусственным интеллектом, для автоматизации и усиления своих мошеннических действий. Они способны одновременно обращаться к множеству потенциальных жертв с персонализированными голосовыми сообщениями или звонками, тем самым увеличивая свой охват и эффективность. Выявить сгенерированный искусственным интеллектом голос — настоящее испытание, особенно для тех, кто не знаком с данной технологией. Трудно разграничить настоящие и мошеннические сообщения учитывая достоверное звучание голосов AI. Кроме того, эти аферы преодолевают языковые барьеры, что позволяет мошенникам выбирать своих жертв в различных географических регионах и с различными языковыми предпочтениями.

Количество voice-фишинг атак растет. Вероятно, что следующим логическим шагом будет использование приложений для AI-генерированного голоса для общения с жертвами в режиме реального времени, выдавая себя за легитимных лиц, чтобы повысить эффективность своих махинаций. 

Изменение тенденций в поведении субъектов угроз 

Атаки на цепочки поставок против решений для управляемой передачи файлов 

 Автор: Джон Фоккер 

Системы управляемой передачи файлов (Managed File Transfer, MFT) — это хранилища данных, которые используют для безопасного обмена конфиденциальной информацией между организациями. Здесь может храниться интеллектуальная собственность, клиентская информация, финансовые отчеты и прочие ценности. Решения MFT играют ключевую роль в современных бизнес-процессах, поскольку компании в значительной степени зависят от них для эффективного обмена данными как внутри, так и за пределами организации. Недостаток или компрометация этих систем может привести к существенным простоям в операционной деятельности, подрыву репутации и финансовым убыткам, что делает их привлекательными для злоумышленников, осознающих, как потенциальные последствия усиливают силу их действий.

Системы MFT и их интеграция во внутреннюю бизнес-сеть довольно сложные, поэтому часто создают уязвимые точки и слабые места в системе безопасности, которые могут быть использованы киберпреступниками. Когда группа Cl0P атаковала решение GoAnywhere MFT и обнаружила бреши в MOVEit, она превратила успешное вторжение в крупную мировую атаку на цепочку поставок программного обеспечения. В следующем году ожидается, что подобные виды атак будут только увеличиваться с участием множества угроз. Поэтому организациям следует тщательно пересмотреть свои решения для управляемой передачи файлов, внедрять средства DLP и шифровать конфиденциальные данные, чтобы обеспечить свою защиту.

 Вредоносное ПО становится полиглотом

 
Автор: Эрнесто Фернандес Провечо 

Вредоносные программы теперь пишут на таких языках программирования, как Golang, Nim и Rust. Пока они не настолько популярны как C или C++, но с большой долей вероятности, это изменится в ближайшем будущем.

 Go — простой язык с возможностями параллельной работы. Создавать вредоносное ПО на нем легко, и это не занимает много времени. Nim ориентирован на создание сложных угроз, так как может обеспечить производительность и выразительность. Rust используют злоумышленники и вымогатели, которых интересует эффективное шифрование образцов, так как он предоставляет функции управления памятью.

Отсутствие всесторонних инструментов анализа для данных языков увеличивает сложность их использования. В силу своей относительной новизны Nim и Rust сталкиваются с недостаточным распространением устоявшихся средств безопасности по сравнению с более популярными языками, такими как C или Python. Этот недостаток инструментов анализа создает значительные трудности для специалистов по кибербезопасности, которые стремятся анализировать и противостоять вредоносному программному обеспечению, написанному на этих языках.

Поскольку мы уже наблюдаем рост количества вредоносного ПО, написанного на Golang, вероятно, что в 2024 году мы увидим всплеск использования и других, менее популярных, языков.

Сложные схемы с использованием программ-вымогателей

 
Автор: Бэван Рид 

Группы киберпреступников в основном стремятся к достижению финансовых целей. Поэтому неудивительно, что они постоянно находят новые методы увеличения сумм выкупа и оказания давления на своих жертв для удовлетворения своих требований. Мы наблюдаем тенденцию, при которой группы злоумышленников начинают взаимодействовать с клиентами жертв, представляя это как новый инструмент давления и ответ на последние противодействия в отношении программ-вымогателей. Такой подход позволяет им требовать выкуп не только напрямую у атакованной организации, но и у ее клиентов, подвергшихся угрозе в связи с утечкой данных.

Киберпреступники также активно используют средства массовой информации и общественное давление для достижения своих целей. В 2022 году крупная австралийская медицинская страховая компания стала жертвой утечки данных. Вместе с требованием выкупа злоумышленники раскрыли существенную часть медицинских данных, создав давление со стороны общественности и властей с требованием уплаты выкупа за удаление конфиденциальной информации. Более того, ввиду чрезвычайно личного характера обнародованных данных, клиенты страховой компании предложили оплатить удаление своих собственных личных сведений. В 2023 году, следуя примеру, группы хакеров уже угрожают обращаться к клиентам компаний, чьи данные они скомпрометировали, предлагая им оплатить удаление их личной информации из украденных данных.

В свете растущей популярности такой формы вымогательства она становится для злоумышленников дополнительным инструментом. Вероятно, ландшафт изменится так, что группы вымогателей будут активнее нацеливаться на организации, обрабатывающие не только конфиденциальные персональные данные, но и интимную информацию, которая может быть использована для вымогательства у клиентов. Вероятно, в 2024 году, под угрозой окажутся отрасли здравоохранения, социальных сетей, образования и SaaS.

Безопасность выборов должна начинаться с защиты всех субъектов избирательного процесса 

 
Автор: Патрик Флинн 

Угроза безопасности в процессе проведения выборов часто начинается с фишинговых схем, которые реализуют через электронные письма или SMS-сообщения. Объектами атак при этом становятся члены избирательных комиссий на муниципальном и национальном уровнях, а также волонтеры. Просто вернемся на три года назад, когда в ходе выборов в США мошенники сосредоточили внимание на ключевых чиновниках в четырех штатах, где шла борьба за власть. Мы сможем увидеть такую же ситуацию в текущем избирательном цикле, если не обеспечить защиту всех участников выборов на всех уровнях.

Spear-фишинг, усовершенствованная имитация и другие подобные атаки продолжают использовать электронную почту в качестве основного входа, поскольку ее легко настроить, и она становится все более успешной в эксплуатации. По мере приближения выборов 2024 года все участники процесса должны быть бдительными при изучении электронных писем и не доверять незнакомым гиперссылкам. Особое внимание следует уделять высокоточным и изощренным атакам с использованием поддельных лиц, компрометации деловой электронной почты (Business Email Compromise, BEC) и spear-фишинговым кампаниям. Также стоит рассмотреть возможность использования решений для обнаружения и блокировки современных вредоносных файлов и URL-адресов.

Участие в выборах расширяет права и возможности каждого человека, но эта роль также влечет за собой значительную ответственность. Каждый участник должен быть осведомлен о тех, кто пытается незаконным образом повлиять на избирательный процесс, и быть готовым к этому вызову.

Новые угрозы и методы атак 

 
Разоблачаем тихий всплеск инсайдерских угроз

 
Автор: Манодж Редди М.В.

Угрозы, связанные с деятельностью инсайдеров, повышают риск воздействия на государственные и частные организации в различных уголках мира. Любой сотрудник, подрядчик или партнер, а также лица с несанкционированным доступом, которые в прошлом или на данный момент имеют доступ к критически важным организационным ресурсам, могут стать субъектами угроз. Учитывая анализ в данной отрасли, стоит отметить увеличение инцидентов внутренних угроз на 47% за последние два года. На их обнаружение и локализацию ушло $15,38 миллионов USD.

Инсайдеры подрывают конфиденциальность и целостность организации, предоставляя противникам возможность собирать разведданные, проводить саботажные операции и применять методы обмана для достижения своих злонамеренных целей. С увеличением числа подключенных устройств и постоянным существованием гибридных и удаленных рабочих групп внутренние угрозы будут продолжать расти.

Гибкая природа внутренних угроз представляет собой значительное испытание для людей, процессов и технологий. Для поддержания доверия заинтересованных сторон организации необходимо активно выявлять, оценивать и управлять внутренними угрозами в современном ландшафте.

Тенденция зловредного использования QR-кодов 

 
Авторы: Рагхав Капур та Шьява Трипати 

Фишинговые кампании на основе QR-кодов представляют тревожную динамику. С увеличением цифровой зависимости в повседневной жизни злоумышленники адаптируют свои тактики, используя новые возможности. QR-коды, изначально предназначенные для удобства и эффективности, теперь привлекают внимание киберпреступников в качестве вектора атаки.

Одна из основных причин предполагаемого роста популярности QR-фишинга заключается в его обманчивой природе. В период пандемии COVID-19 QR-коды стали неотъемлемой частью различных сфер повседневной жизни, от бесконтактных платежей до ресторанных меню. В результате люди стали более склонными сканировать QR-коды без всяких подозрений, считая их безопасными. Киберпреступники могут использовать это доверие, встраивая вредоносные ссылки или направляя жертв на фальшивые веб-сайты. Вероятно, что QR-коды также будут использоваться для распространения широко известных семейств вредоносного ПО.

Простота создания и распространения QR-кодов уменьшила барьеры для вхождения в мир фишинга и распространения вредоносного программного обеспечения. Любой может создать QR-код и встроить в него вредоносную ссылку, а значит найти жертву становиться легче и дешевле. Кроме того, QR-коды предоставляют хакерам незаметный способ доставки своей вредной нагрузки. Пользователи могут даже не подозревать, что стали жертвой фишинговой атаки, пока не станет слишком поздно. Это усложняет обнаружение и предотвращение процесса.

Обычные средства электронной почты часто не способны выявить эти атаки, что делает их привлекательными для киберпреступников. Поскольку злоумышленники продолжают совершенствовать свои тактики и создавать убедительные фишинговые уловки, вероятность успешных кампаний будет увеличиваться. Чтобы противостоять растущей угрозе фишинга, связанного с QR-кодами, пользователи должны проявлять осторожность при их сканировании, особенно из неизвестных или подозрительных источников. 

Незаметная угроза для периферийных устройств 

 
Автор: Фам Дуй Фук

Эволюционирующий ландшафт угроз в области периферийных устройств — часто игнорируемая тема. Брандмауэры, маршрутизаторы, VPN, коммутаторы, мультиплексоры и шлюзы — некогда неприметные компоненты — сегодня становятся объектом внимания групп, занимающихся постоянными угрозами (Advanced Persistent Threat, APT). Отличительная особенность этого сдвига заключается в нюансах проблем, которые ставят перед собой эти периферийные устройства, отходя от предсказуемых уязвимостей, связанных с IoT.

Периферийные устройства тянут за собой собственный набор уникальных проблем, в первую очередь связанных с их неспособностью обнаруживать вторжения. В отличие от обычных сетевых компонентов, решить эту проблему не так просто, как добавить еще один IDS или IPS. Шлюзы выступают в качестве начального и конечного рубежей обороны, что делает их одновременно и главной мишенью, и скрытым слабым местом. Постоянно развивающаяся тактика APT-групп в сочетании с разнообразной архитектурой периферийных устройств представляет собой серьезное препятствие. Пока решения для таких платформ, как MIPS или ARM, находятся в зачаточном состоянии с точки зрения надежного обнаружения вторжений, угрозы остаются вечной игрой в кошки-мышки, причем мышки проявляют удивительную ловкость.

По мере того, как мы плавно переходим в эпоху, в которой доминируют взаимосвязанные устройства и сервисы, поле кибернетической битвы расходится с нашими привычными представлениями. В 2024 году открывается новая реальность — уязвимости в наших шлюзах, маршрутизаторах и VPN, которые раньше не были понятны, теперь становятся объектом пристального внимания и умелой эксплуатации. Защита цифровых устройств требует адаптивного подхода, позволяющего укрепить оборону против изощренных и решительных противников.

Python в Excel создает потенциально новый вектор для атак 

 
Автор: Макс Керстен 

Вслед за внедрением компанией Microsoft стандартных средств защиты, блокирующих Интернет-макросы в Excel, стало очевидным ожидаемое сокращение использования макросов злоумышленниками. Наметился заметный сдвиг в сторону поиска альтернативных векторов атак, особенно в малоизвестных и малоиспользуемых направлениях, таких как документы OneNote. Однако с недавним появлением Python в Excel у злоумышленников появился новый потенциальный вектор атаки.

По мере того, как злоумышленники и защитники изучают возможности Python в Excel, киберпреступники неизбежно будут использовать эту технологию в своем арсенале. Код Python, выполняемый в контейнерах Azure, может использовать Power Query для доступа к локальным файлам. Компания Microsoft, учитывая опасения по поводу безопасности при создании и выпуске Python in Excel, утверждает, что нет никакой связи между кодом Python и макросами Visual Basic for Applications (VBA). Доступ к локальной машине и Интернету сильно ограничен, используется только часть дистрибутива Anaconda для Python.

Несмотря на то, что меры предосторожности, принятые Microsoft, сужают сферу применения, возможность злоупотреблений остается - в зависимости от уязвимостей или неправильных конфигураций, обнаруженных угрожающими субъектами. Хотя ограничения Microsoft устанавливают границы, они не отменяют того факта, что новая функциональность представляет собой благоприятную среду для злоумышленников.

LOL-драйверы начинают играть все более важную роль 

Автор: Адитья Чандра

Недавние инциденты, связанные с безопасностью, подчеркивают серьезность угрозы, которую представляют собой уязвимые драйверы, демонстрируя их способность незаметно и настойчиво выводить из строя средства защиты на ранних стадиях. В этих инцидентах злоумышленники устанавливают на устройства жертв легитимные драйверы, подписанные действительными сертификатами и способные работать с привилегиями ядра. Успешная эксплуатация этих уязвимостей позволяет злоумышленникам повысить привилегии на уровне ядра, обеспечивая максимальный уровень доступа и контроля над системными ресурсами жертвы.

Заслуживают внимания такие примеры, как проект ZeroMemoryEx Blackout, инструмент Spyboy The Terminator и инструмент AuKill, использующие уязвимые драйверы для обхода средств защиты и выполнения вредоносного кода. Несмотря на существующие средства защиты, такие как блок-лист уязвимых драйверов Microsoft и проект LOL Drivers, легкость и простота выполнения этих атак сохраняется, что способствует повышению вероятности успешного заражения и увеличению количества уязвимых драйверов. Таким образом, в 2024 году может наблюдаться рост количества эксплойтов, использующих уязвимые драйверы, что окажет существенное влияние на кибербезопасность.