Растущий разрыв между громкими вымогателями и нишевыми хакерскими группами, рост распространения использования загрузчиков и ботнетов, а также продолжающееся злоупотребление легальными инструментами - все это, по мнению компании «Sophos», занимает первые места среди тенденций в области безопасности на предстоящий год.
Выпуская отчет Sophos 2021 Threat Report, исследователи компании определили, каким образом шифровальщики-вымогатели и быстро меняющееся поведение злоумышленников будут формировать ландшафт киберугроз и ИТ-безопасность в 2021 году.
В отчете подробно анализируются следующие три тенденции:
- Увеличивающийся разрыв между операторами программ, использующих выкуп, на разных концах спектра.
Семейства программ-вымогателей атакующих большие и громкие цели будут продолжать совершенствовать и менять свою тактику, методы и процедуры, чтобы стать еще более неуловимыми и действовать подобно государственным кибершпионским организациям. В 2020 году в их число вошли «Ryuk» и «RagnarLocker». Также «Sophos» ожидает увеличение числа атакующих начального уровня, учеников, которые ищут управляемые графическим интерфейсом шифровальщики в аренду, такие как «Dharma», которые позволяют хакеру атаковать большое количество мелких целей. Операторы программ-вымогателей также сосредоточатся на «вторичном вымогательстве», когда злоумышленники не только сосредоточатся на шифровании данных, но и будут воровать и угрожать опубликованием конфиденциальной или секретной информации в случае невыполнения требований. В течение прошлого года группы, использующие этот подход, о которых сообщала «Sophos» включали «Maze», «RagnarLocker», «Netwalker» и «REvil».
- Командам информационной безопасности придется сосредоточиться на противодействии арендованным вредоносным программам, в том числе загрузчикам, ботнетам, и управляемым человеком брокерам удаленного доступа.
Эти угрозы могут выглядеть как низкоуровневое вредоносное программное обеспечение, но они предназначены для получения плацдарма заражения, сбора необходимых данных и передачи данных на CnC-сервера, которые предоставляют дальнейшие инструкции. Если за этими угрозами стоят люди, они проверяют каждую взломанную машину на предмет ее геолокации и других признаков высокой ценности, а затем продают доступ к наиболее прибыльным целям тому, кто больше заплатит, например хакерам, затеявшим крупную операцию по вымогательству. В течение 2020 года хакерская группа «Ryuk» использовала загрузчик «Buer» для доставки своего шифровальщика.
- Атакующие будут злоупотреблять легальными инструментами, известными утилитами и знакомыми исходящими сетевыми адресами для вывода данных.
Злоупотребление легальными инструментами позволяет атакующим оставаться вне поля зрения при перемещении по сети пока они не будут готовы к запуску основной части атаки, например шифрования. Для государственных хакеров есть дополнительное преимущество, заключающееся в том, что использование общих инструментов усложняет определение их государственной принадлежности. В 2020 году компания «Sophos» сообщала о широком спектре стандартных инструментов атаки, которые в настоящее время используются злоумышленниками.
Перевод сделан со статьи: https://www.scmagazine.com