Ни одна страна не защищена от кибератак, сообщил представитель компании "Kaspersky" в эксклюзивном интервью Arabian Business.
"Мы видим, что кибератаки происходят повсюду, и мы видим, что киберпреступники есть везде. Гарантий безопасности не существует, однако для каждой организации они разные, как и для каждого юзера, поскольку у каждой организации свой враг", - говорит д-р Амин Хасбини (Amin Hasbini), руководитель исследовательского центра META (Ближний Восток, Турция, Африка) и глава глобальной группы исследований и анализа (GReAT) компании "Kaspersky".
Комментарии Хасбини прозвучали в кулуарах 2024-го по счету "Уикенда кибербезопасности Касперского", в Малайзии.
Более 30 миллионов угроз было предотвращено в ОАЭ
Лишь за прошлый год "Kaspersky" заблокировал более 30 миллионов угроз в ОАЭ, сообщил Хасбини, добавив, что 71 процент атак имеет финансовую подоплеку, а число программ-вымогателей, в частности, растет.
"У каждой страны свои враги, и для их выявления требуется так называемое моделирование угроз, которое представляет собой науку, позволяющую выявить этих врагов. Программы-вымогатели становятся самым популярным видом атак, но не по количеству, а именно по эффекту", - сказал он.
По словам Хасбини, объектами атак часто становятся очень крупные организации, оцениваемые в миллиарды долларов, а также правительственные учреждения и министерства, поскольку в них хранятся "особые и конфиденциальные" данные.
"Все они оказываются под угрозой, когда происходит атака программ-вымогателей, однако существует множество контрмер, позволяющих повысить уровень безопасности. Тем не менее злоумышленники совершенствуются и приспосабливаются к этому и по-прежнему находят способы проникнуть в эти организации".
Банды разработчиков вымогательского ПО уже нацелились на регион META. В 2023 и 2024 годах, по данным "Касперского", наибольшую угрозу для ОАЭ и Саудовской Аравии представляло ПО LockBit, которое было нацелено на строительный и спортивно-оздоровительный секторы этих стран соответственно.
LockBit - группа разработчиков вымогательского ПО, которая берет свое начало в России и была впервые обнаружена в 2019 году. Группа получила известность благодаря своему варианту программы-вымогателя, также называемому LockBit, который использует схему Ransomware-as-a-Service (RaaS). Согласно этой модели, LockBit лицензирует свое программное обеспечение для выкупа аффилированным киберпреступникам, которые, в свою очередь, выплачивают часть полученных выкупов группировке.
В результате атаки LockBit на Саудовскую Аравию и ОАЭ размер ущерба составил $200 млн и $20 млн в прошлом и нынешнем году. Ущерб был нанесен утечкой финансовых данных, операционных данных, данных клиентов, данных сотрудников и PII (Personal Identifiable Information).
Полиция Дубая, Emirates Post - фишинг
На вопрос о продолжающейся фишинговой афере, которая выдает себя за представителей таких органов власти, как полиция Дубая и Emirates Post, Хасбини ответил, что, хотя сами органы власти не были скомпрометированы, использование их имени стало целью из-за их авторитета.
"Они [злоумышленники] часто используют эти органы власти для получения личных данных, потому что их авторитет не оспаривается, и люди доверяют этим организациям. Это называется социальной инженерией. Однако существует множество способов обнаружить и блокировать подобные атаки. Начнем с использования антифишинговых технологий, которые анализируют текст, изображения внутри имейлов, источник IP-адреса и многое другое", - рассказал он.
Хасбини также рассказал, что в прошлом году пик фишинговых афер с электронной почтой пришелся на 19, 25 и 30 октября в сезон Хэллоуина, а затем на распродажи "Черной пятницы" и зимний сезон отпусков.
Передовые угрозы становятся популярными во всем мире
По словам Хасбини, еще одной тенденцией является атака APT (Advanced Persistent Threat), которая является более "изощренной".
"Эти атаки используют более совершенные технологии и разрабатываются теми, у кого больше бюджет. Однако они не грозят каждому. Они используются против конкретных организаций или конкретных людей, которые интересны злоумышленнику".
Отвечая на вопрос о нескольких крупных киберпреступных группировках, осуществляющих эти атаки, Хасбини сказал, что существует два типа APT-атак - криминальные и продвинутые.
"Криминальные атаки менее сложны и изощренны, чем продвинутые, и мы видим, что сегодня становятся популярными специализированные группы. Некоторые из них специализируются на распространении некоторых видов вредоносного ПО с ограниченным функционалом для сбора базовой информации. Затем они передают эту информацию другим группам, которые распространяют ее по всей организации-жертве".
"Продвинутые группы часто устанавливают вредоносное ПО или продают доступ кому-то заинтересованному, а затем передают его другой группе для проведения атаки с целью выкупа, кражи данных, возможно, утечки их в тень, шантажа жертвы или передачи другой группе, которая опубликует данные и проведет аферу", - пояснил Хасбини, добавив, что очень ярким примером таких атак является группа BlackCat/ ALPHV, за которую Государственный департамент США назначил вознаграждение в 15 миллионов долларов.
К наиболее целевым отраслям относятся правительства и дипломатические учреждения, поскольку они составляют "становой хребет" страны, затем телекоммуникационный и финансовый сектор, а также промышленный сектор.
Kaspersky раскрывает уязвимость APT в “айфонах”
Хасбини также объяснил, что историей года в сфере APT стала триангуляция iOS.
Команда GReAT Касперского обнаружила уязвимость в системе на самом чипе (SoC) Apple, которая использовалась в недавних атаках на iPhone под названием Operation Triangulation.
Уязвимость позволяла злоумышленникам обойти аппаратную защиту памяти на iPhone, работающих под управлением iOS версий до iOS 16.6.
Функция, использованная злоумышленниками, не была публично задокументирована, что затрудняло ее обнаружение и анализ, однако исследователи "Касперского" провели обширный реверс-инжиниринг аппаратной и программной интеграции iPhone, чтобы выявить уязвимость.
Apple устранила проблему в виде CVE-2023-38606. Это открытие подчеркивает потенциальную неэффективность передовых аппаратных средств защиты от изощренных злоумышленников.
Уязвимость была частью APT-кампании, направленной на iOS-устройства, Apple пришлось выпустить обновления безопасности для устранения выявленных уязвимостей.
Что касается атак на технологии "умного города", Хасбини отметил: "В то время как мы повсеместно внедряем технологии "умного города", к сожалению, мы также изобретаем возможность контролировать "умную сеть", и это может привести к атакам на критически важную инфраструктуру, вплоть до отключения электричества в некоторых городах или остановки объектов - будь то ядерные или химические. Это может привести к взрывам и изменениям в поведении людей, однако гораздо проще сделать это удаленно, когда все находится в режиме онлайн".
Что же могут предпринять умные города и организации, чтобы оставаться в безопасности?
"Одна из стратегий - стратегия нулевого доверия, которая восходит к использованию нетрадиционных технологий или фреймворков. Среда нулевого доверия - это другая форма Интернета, где ни одно соединение не устанавливается без проверки или подтверждения", - говорит Хасбини, рассказывая о еще четырех шагах, которые необходимо предпринять организациям, чтобы обезопасить себя от атак на их бизнес:
- Высококвалифицированные сотрудники, осведомленность о безопасности и осведомленность о новейших методах атак
- Инвестиции в передовые технологии, такие как APT-аналитика, каналы угроз, SOC, SIEM, EDR, AEP, Attribution Engine, DFIR.
- Передовые средства контроля, такие как отслеживание уязвимостей, тестирование на проникновение, классификация и оценка данных в центре внимания.
- Расширенное соответствие требованиям, таким как управление, законы и правила, процедуры, участие руководства и многое другое.
На что следует обратить внимание ведущим организациям в 2024 году?
"В 2024 году может произойти увеличение количества вымогательских программ, и это становится серьезной угрозой для многих организаций", - говорит Хасбини.
Среди других тенденций развития преступного ПО - внедрение новых технических возможностей, таких как кросс-платформенные вымогательские программы, которые должны быть максимально адаптивными или иметь возможность самораспространения, заимствование кода из других семейств для привлечения большего числа аффилированных лиц и использование эксплойтов "нулевого дня".
Эксплойты нулевого дня могут быть доступны для криминальных атак, однако обычно их используют только субъекты APT, пояснил Хасбини.
"Это вызывает беспокойство, потому что если злоумышленникам удастся выполнить свою работу в условиях безопасности, они без колебаний приступят к новым атакам", - заключил он.
Наш Telegram - t.me/AB_Russian