Deep Instinct publicēja 2022. gada pirmo ziņojumu par kiberdraudiem, kurā galvenā uzmanība pievērsta 2022. gada pirmā pusgada galvenajām ļaunprātīgās programmatūras un izspiedējvīrusu tendencēm un taktikām, kā arī sniegtas galvenās atziņas un prognozes par pastāvīgi mainīgo kiberdrošības draudu situāciju.
“2022. gads kibernoziedzniekiem un izspiedējvīrusu bandām ir bijis vēl viens rekordliels gads. Nav noslēpums, ka šie Draudu dalībnieki (threat actors) nepārtraukti uzlabo savu spēli ar jaunām un uzlabotām taktikām, kas izstrādātas, lai izvairītos no tradicionālās kiberaizsardzības,” teica Mark Vaitzman, Deep Instinct draudu laboratorijas grupas vadītājs.
Ļaundabīgās programmatūras un izspiedējvīrusu tendences 2022. gada 1. pusgadā
- Izmaiņas ļaunprātīgu dalībnieku struktūrā: Dažas no visizplatītākajām novērotajām darbībām ietver izmaiņas izspiedējvīrusu bandu pasaulē, tostarp LockBit, Hive, BlackCat un Conti. Pēdējā no tām ir radījusi “Conti Splinters”, ko veido Quantum, BlackBasta un BlackByte. Šīs trīs grupas, kas agrāk bijušās zem Conti un pēc Conti sabrukuma izveidojās kā atsevišķas darbības grupas.
- Ļaunprātīgas programmatūras kampaņas: Ziņojumā uzsvērti iemesli, kas izraisījuši būtiskas izmaiņas Emotet, Agent Tesla, NanoCore un citās programmās. Piemēram, lai izvairītos no atklāšanas, Emotet izmanto ļoti maskētus VBA macros.
- Kad Microsoft slēdz vienu ceļu, ļaunprātīgie dalībnieki atver citus: Pētnieki atklāja, ka pēc Microsoft veiktā soļa pēc noklusējuma atslēgt macros Microsoft Office failos ir samazinājusies dokumentu izmantošana ļaunprātīgām programmatūrām, kas bija galvenais uzbrukumu vektors. Jau ir novērots, ka Draudu dalībnieki (threat actors)maina darbības virzienus un izmanto citas metodes ļaunprātīgas programmatūras izplatīšanai, piemēram, LNK, HTML un arhīvētu e-pasta pielikumus.
- Galvenās izmantojamās ievainojamības: Tādas ievainojamības kā SpoolFool, Follina un DirtyPipe parādīja, ka gan Windows, gan Linux sistēmas ir viegli izmantojamas, neskatoties uz centieniem uzlabot to drošību. CISA publicētā zināmo izmantojamo ievainojamību katalogs liecina, ka izmantojamo ievainojamību skaits strauji pieaug ik pēc 3-4 mēnešiem, un nākamais pieaugums gaidāms, tuvojoties gada beigām.
- Datu exfiltration uzbrukumi tagad izplešas līdz trešajām pusēm: Datu exfiltration savās uzbrukumu plūsmās izmanto arī trešo personu grupas, lai pieprasītu izpirkuma maksu par noplūdušajiem datiem. Sensitīvu datu exfiltration gadījumā ir mazāk iespēju novērst kaitējumu, tāpēc daudzi Draudu dalībnieki (threat actors) iet vēl tālāk un pieprasa izpirkuma maksu no trešo pušu uzņēmumiem, ja noplūdušajos datos ir to sensitīva informācija.
Nav pārsteidzoši, ka izspiedējvīrusu uzbrukumi joprojām ir nopietns drauds organizācijām, jo pašlaik ir 17 noplūdušas datubāzes, ko pārvalda Draudu dalībnieki (threat actors), kuri izmanto datus uzbrukumiem trešo pušu uzņēmumiem, jo īpaši sociālās inženierijas, pilnvaru zādzību un trīskāršu izspiešanu uzbrukumiem.
Trīs konkrētas prognozes
- Iesaistītās personas un partneru programmas: Ļaunprātīgi Draudu dalībnieki (threat actors) meklē vājāko posmu. Ņemot vērā pastāvīgās inovācijas kiberdrošības jomā, daži Draudu dalībnieki izvēlas atrast vājākos mērķus vai vienkārši samaksāt iekšējai personai. Tādi grupējumi kā Lapsus$ nepaļaujas uz exploits, bet tā vietā meklē iekšējās personas, kas ir gatavas pārdot piekļuvi datiem savā organizācijā.
- Protestware pieaugums: Arvien biežāk sastopama tendence izmantot protestware, ko var definēt kā savas programmatūras pašsabotāžu un apbruņošanu ar ļaunprātīgas programmatūras iespējām, lai kaitētu visiem vai dažiem tās lietotājiem. Krievijas un Ukrainas karš izraisīja protestware strauju pieaugumu, kur visievērojamākais piemērs ir node-ipc wiper, kas ir populāra NPM pakete. Šādus piegādes ķēdes uzbrukumus nav viegli pamanīt, un tie parasti tiek atklāti tikai pēc tam, kad ir skāruši vairākus upurus.
- Uzbrukumi gada beigās: Lai gan 2022. gadā vēl neesam dzirdējuši par nopietnu ievainojamību, kas līdzinātos Log4J vai Exchange gadījumiem 2021. gadā, taču salīdzinājumā ar iepriekšējo gadu ir palielinājies publiski piešķirto CVE (Common Vulnerabilities and Exposures) skaits ar ziņotajām ievainojamībām. Draudu dalībnieki (threat actors) 2022. gadā joprojām izmanto vecās ievainojamības tikai tāpēc, ka ir daudz neaizlaboti CVE 2021. gada.
