Подразделение IBM Security представило ежегодный отчет X-Force Threat Intelligence Index, который проливает свет на совокупный ущерб для бизнеса от программ-вымогателей и уязвимостей в 2021 году на фоне целенаправленных атак на промышленные предприятия как основную мишень злоумышленников в условиях усугубившегося кризиса в глобальных цепочках поставок. Наиболее распространенным видом кибератак за последний год оказался фишинг, однако специалисты IBM Security X-Force отметили рост на 33% числа атак, связанных с использованием уязвимостей в необновленном программном обеспечении. В 2021 году эти уязвимости стали главными воротами для проникновения программ-вымогателей, составив 44% от общего количества атак с применением таких программ.

В отчете 2022 года подробно рассказывается о том, как в течение 2021 года злоумышленники пытались разрушить фундамент глобальных цепочек поставок с помощью атак программ-вымогателей на промышленные объекты. По результатам 2021 года главной мишенью атак стали компании из отрасли промышленности (23%), сместив с доминирующих позиций сектор финансовых услуг и страхования. Увеличивая число атак на промышленные предприятия, злоумышленники рассчитывали создать «эффект домино», который привел бы к нарушению работы нижних звеньев цепочек поставок и вынудил бы организации заплатить выкуп мошенникам. Настораживает, что 47% атак на промышленные предприятия были вызваны уязвимостями, которые компании-жертвы еще не успели или не смогли исправить. Это в очередной раз подчеркивает необходимость рассматривать управление уязвимостями как приоритетную задачу.

В отчете IBM Security X-Force Threat Intelligence Index 2022 очерчены новые тенденции и схемы атак, обнаруженные и проанализированные специалистами IBM Security на основе данных, собранных устройствами обнаружения инцидентов из миллиардов источников (таких как рабочие станции и сетевые устройства), опыта реагирования на инциденты, расследования атак фишинга и т. д., ¬а также информация, предоставленная компанией Intezer.

Основные выводы из отчета 2022 года:

  • группировкам киберпреступников не страшна ликвидация. По итогам 2021 года программы-вымогатели остаются самым распространенным методом атак, при этом не наблюдается никаких признаков ослабления этих группировок, несмотря на активные усилия по их ликвидации. Согласно отчету 2022 года, группировка киберпреступников существует в среднем 17 месяцев, прежде чем она прекратит свою деятельность или будет переименована;
  • уязвимости — самое большое зло для бизнеса. Доклад X-Force свидетельствует, что в 2021 году причиной 50% атак на предприятия Европы, Ближнего Востока и Африки стали неисправленные уязвимости. Это лишь подтверждает, что исправление уязвимостей — сложнейшая задача для предприятий;
  • тревожные признаки киберкризиса в облаке. Киберпреступники закладывают основу для проведения атак на облачные среды: отчет 2022 года демонстрирует рост объема нового кода для атак на Linux на 146% и смещение вектора атак в сторону Docker, что может упростить использование облачных сред для совершения вредоносных действий.

«Киберпреступники обычно гонятся за деньгами. Теперь их целью является шантаж с помощью программ-вымогателей, — отметил Чарльз Хендерсон, руководитель подразделения IBM X-Force. — Компании должны осознать, что уязвимости загоняют их в тупик, поскольку мошенники могут использовать эти уязвимости в своих интересах. Эта проблема выходит за рамки общепринятой системы угроз. На фоне постоянного увеличения периметра атак предприятия должны исходить из предположения наличия новых угроз вместо того, чтобы полагаться на исправление уже известных уязвимостей в своих средах, а также внедрять стратегию нулевого доверия для более эффективного управления уязвимостями».

В ответ на активизацию работы правоохранительных органов по ликвидации хакерских группировок киберпреступники могут реализовать собственные планы по возобновлению деятельности. Анализ X-Force показывает, что средняя продолжительность существования группировок киберпреступников, прежде чем они будут ликвидированы или переименованы, составляет 17 месяцев. Например, хакерская группировка REvil, ответственная за 37% всех атак программ-вымогателей в 2021 году, просуществовала четыре года благодаря «ребрендингу», поэтому нельзя исключать вероятность ее повторного появления, несмотря на ликвидацию усилиями нескольких стран в середине 2021 года.

Замедление преступной деятельности благодаря правоохранительным органам также увеличивает расходы злоумышленников на «ребрендинг» или восстановление инфраструктуры. Для адаптации к новым «правилам игры» организациям нужно помнить о важности модернизации инфраструктуры для безопасного хранения данных — будь то локальные или облачные среды. Это поможет предприятиям упростить процессы управления, контроля и защиты приложений и данных, а также устранить рычаги влияния злоумышленников в случае взлома систем, усложнив доступ к важнейшим данным в гибридных облачных средах.

В отчете X-Force отмечается, что в 2021 году было зафиксировано рекордно высокое количество уязвимостей, при этом в системах управления производственными процессами их число ежегодно растет на 50%. Несмотря на то, что за последнее десятилетие было обнаружено более 146 тыс. уязвимостей, темпы цифровой трансформации организаций ускорились совсем недавно, главным образом в связи с пандемией. Это говорит о том, что проблемы в сфере управления уязвимостями еще не достигли своего пика.

В то же время все большую популярность набирает метод проведения атак, основанный на эксплуатации уязвимостей. Специалисты X-Force выяснили, что за предыдущий год число таких атак выросло на 33%. Среди наиболее часто используемых уязвимостей — две уязвимости, обнаруженные в популярных корпоративных приложениях (Microsoft Exchange, Apache Log4J Library). Масштабирование цифровых инфраструктур может обострить проблему управления уязвимостями для предприятий. А такие компании могут оказаться не в состоянии справиться с обеспечением соответствия требованиям аудита и регуляторов, поэтому так важно исходить из предположения наличия новых угроз и внедрять стратегию нулевого доверия для защиты корпоративной архитектуры.

В 2021 году специалисты X-Force обнаружили, что злоумышленники все чаще смещают вектор атак в сторону контейнеров, таких как Docker — самой распространенной среды исполняемой среды контейнеров (по данным Red Hat). Злоумышленникам известно, что контейнеры пользуются популярностью в организациях, поэтому они прилагают еще большие усилия для разработки вредоносных программ, которые охватывают сразу несколько платформ и могут использоваться в качестве стартовой площадки для взлома других компонентов инфраструктуры.

В отчете 2022 года также озвучено предостережение касательно постоянного притока инвестиций со стороны киберпреступников в уникальные, ранее неизвестные вредоносные программы для атак на Linux. Данные, предоставленные компанией Intezer, демонстрируют рост числа программ-вымогателей для Linux, содержащих новый код, на 146%. Поскольку злоумышленники неуклонно ищут способы расширения масштаба атак за счет облачных сред, предприятия должны сосредоточиться на повышении прозрачности своей гибридной инфраструктуры. Гибридные облачные среды, в основе которых лежат принципы взаимодействия и открытые стандарты, могут помочь организациям обнаружить «слепые зоны», а также ускорить и автоматизировать ответные действия системы обеспечения безопасности.

Дополнительные выводы, содержащиеся в отчете 2022 года:

  • Азия лидирует по числу атак — в 2021 году более 25% атак, обнаруженных IBM, были направлены на страны Азии. Это больше, чем в любом другом регионе мира. Объектом 60% атак в Азии стали финансовые учреждения и промышленные предприятия;
  • интернет-мошенники на связи — фишинг стал самой популярной разновидностью кибератак в 2021 году. В ходе тестирования защиты экспертами X-Force Red было установлено, что эффективность фишинговых кампаний в сочетании с телефонными звонками выросла в три раза.