previous up index search

Previous: 10.28.16 2021 год. Обзор по материалам ведущих фирм, работающих в сфере ИТ    UP: 10.28 События. Обзоры компаний Symantec, McAfee, Sophos, лаб Касперского, Cenzic, IBM, Sunbelt и др. об угрозах безопасности с 2006 до наших дней

10.28.17 2022 год. Обзор по материалам ведущих фирм, работающих в сфере ИТ
Семенов Ю.А. (ГНЦ ИТЭФ)

Hi-Tech Crime Trands 2021/2022. Group-IB. Corporansome

2022

Желаю счастья, удачи, здоровья и ни каких рогатых вирусов всем читателям сайта в 2022 году! Надеюсь, что этот год порадует нас позитивными новостями.

Просматривая ИТ-новости, с удивлением выяснил, что ничего важнее и привлекательнее Covid-19 на свете нет. А ведь 2019, год рождения этого вируса давно позади. Заметки на эту тему даже накануне Нового года пишут не только эксперты, но и люди далекие от медицины. Думаю, а не написать ли и мне что-нибудь на эту тему....? Почему бы и нет, ведь я также ничего в этом не понимаю.

С 2004 года по 2018 ущерб от DDoS и ransomware вырос с 13$ до 240 млн.$ (см. "Hi-Tech Crime Trands 2021/2022", Group-IB. Corporansome). Анализ Group-IB за первые 11 месяцев 2021 года показал, что 60% сетевых инцидентов было сопряжено с ransomware. Первые случаи применения ransomware относятся к 1989 году. Первые попытки реализации RAAS относятся к 2009 году. Примерно 30% компаний, подвергшихся ransomware-атаке платят выкуп. Число новых программ увеличилось на 23% с 17 во втором квартале 2019 до 21 в первом квартале 2020 года. Среди жертв атак на первом месте находится США (49,3%), далее следуют Канада, Франция и Великобритания. Число жертв, чья критически важная информация оказалась опубликована, выросло на 935% с 229 во втором квартале 2019 до 2371 во втором кв. 2020-го. В данной активности наиболее значимы группы хакеров: Conti (16.5%), Lockbit (11.5%), и Avaddon (7.5%). Только 10% украденных данных публикуются.

Для шифрования ransomware-атакеры чаще всего применяют PGP-кодировщики, предлагаемые несколькими компаниями. В 2006 году появилась вредоносная программа Cryzip, где применен упрощенный алгоритм шифрования. Эта программа оказалась достаточно популярной среди хакеров.

C 2005 года хакерами стали часто использоваться программы блокировщики, например, троян Krotten. Эти программы блокируют работу ОС (Winlock) в машине жертвы. На рис.1 представлено распределение упоминаний случаев ransom-атак типа блокировщиков в период 2002-2015гг.

Рис. 1. Распределение упоминаний случаев ransom-атак типа блокировщиков в период 2002-2015гг

Серьезные атаки были предприняты в 2009 году в России, максимум активности приходится на 2012 год, далее следует плавный спад. Этот вид атаки ransom продолжает доминировать, но программы шифровальщики быстро распространяются по миру (напр., VaZoNeZ или CryptoLocker). Выкуп чаще всего предлагается платить в bitcoin. В 2013 году было заражено более 200000 компьютеров. Хакеры широко используют технологию RaaS. Сформировались группы, которые целенаправленно ищут пути проникновения в сети крупных компаний с целью последующей перепродажи хакерской группе. На рис. 2 показано временное распределение числа новых программ на подпольных форумах.

Рис. 2. Временное распределение числа новых программ на подпольных форумах

На рис 3 показано распределение различных RaaS на 15 подпольных форумах в 2019-20гг.

Рис. 3. Распределение различных RaaS на подпольных форумах

Появился новый вид вымогательства - угроза публикации украденных конфиденциальных или компрометирующих данных на серверах (DLS) в Интернет (Snatch). На рис. 4 представлено временное распределение краж корпоративной и персональной информации.

Рис. 4. Распределение краж корпоративной и персональной информации по годам 2019-21.

За анализируемый период 2020-21гг 2371 компания потеряли свои конфиденциальные данные, это на 935%больше, чем за предыдущий аналогичный интервал времени. В 2021 году от таких атак пострадали 1966 жертв. На рис. 5 показано распределение атак по используемым ими технологиям.

Рис. 5. Распределение атак по используемым ими технологиям

На рис. 6 показано распределение программных средств по популярности, согласно данным Group-IB.

Рис. 6. Распределение программных средств по популярности, согласно данным Group-IB

В последнее время появилась группа SunCrypt, вовлеченная в технологию ransomware. На рис. 7 представлена статистика атак SunCrypt. Данные получены Group-IB с привлечением более 600 экспертов.

Рис. 7. Статистика атак SunCrypt


07 января 2022 года

За последние 18 месяцев многие компании были вынуждены адаптироваться к новым условиям, когда заметная часть их сотрудников работает удаленно (см. "IDC FutureScape: Worldwide Future of Connectedness 2022 Predictions", Paul Hughes etc, IDC International Data Corporation). Проблемы возникали из-за того, что ко многим критически важным системам нужно было обеспечить доступ сотрудникам и клиентам из неконтролируемой , небезопасной среды. Компания IDC определяет будущую систему подключения, как систему взаимодействия людей, объектов, приложений и процессов через разные физические среды. Данное исследование касается будущих прогнозов компании IDC для 2022-2025гг. Ниже сформулированы некоторые прогнозы:

Рис. 8. IDC FutureScape. 10 главных предсказаний

08 января 2022 года

Фишинг остается одним из основных видов кибермошенничества (см. "Hi-Tech Crime Trands 2021/2022", Group-IB. Scam & Phishing. Русский перевод). Компания Group-IB за последние два года заблокировала 14000 фишинг-ресурсов. На рис. 9 представлена динамика блокировок фишинговых ресурсов компанией Group-IB в 2019-21гг.

Рис. 9. Динамика блокировок фишинговых ресурсов компанией Group-IB

В последние несколько лет различные виды программ-вымогателей стали крайне популярными (см. "Hi-Tech Crime Trands 2021/2022", Group-IB. Киберимперия шифровальщиков. Русский перевод). За неполный 2021 год 60% всех расследованных Group-IB инциденов приходится на ransomware шифровальщики (например, Cryptolocker). В 2016-17гг по миру прокатилась волна атак WannaCry и NotPetya. За год после 2-го квартала появилась 21 группа партнерских программ и начали функционировать 28 DLS, где были опубликованы данные 2371 компаний-жертв.

Рис. 10. Появление новых IDS в 2019-21 годах

10 января 2022 года

Если 2020 год был годом обеспечения потребителей всем необходимым в в материальной сфере, то в 2021 внимание сместилось в область программного обеспечения (см. "2022: The year of software supply chain security", Scott McCarty, InfoWorld, JAN 4, 2022). С этим были связаны в частности атаки SolarWinds различных компаний и государственных учреждений, а также атаки уязвимости Lo4j. Можно ожидать, что 2022 год станет годом безопасности ПО и цепочек его поставки.

12 января 2022 года

Во втором полугодии 2021 года число атак типа ransomware в различных обличиях продолжало увеличиваться (см. "10 of the biggest ransomware attacks in the second half of 2021", Arielle Waldman, 28 Dec 2021). Проанализированы 10 разновидностей таких атак:

  1. Kaseya - атака объектов цепочки обеспечения. Для внедрения на компьютеры жертв используются атаки нулевого дня, которые позволяют удаленно исполнять любые команды на компьютере. Данная атака оказала влияние на деятельность 1500 компаний.
  2. Accenture Консалтинговая компания Accenture пострадала от подобной атаки в августе. Операторы LockBit уведомили жертв о возможности публикации украденных данных, если не будет уплачен выкуп. Компания Accenture полностью восстановила работу всех своих систем.
  3. Компания Ferrara Candy Company подверглась атаке в первой половине октября. Тип вредоносной программы не анонсирован, не сообщено также, был ли уплачен выкуп.
  4. 16-го октября поступила информация об атаке против компании Sinclair Broadcast Group. Произошла утечка информации. Пострадали сети нескольких офисов.
  5. Eberspacher Group - Пострадала разветвленная международная компания поставок. Несколько фирм из названной группы заплатили выкуп.
  6. National Rifle Association (NRA). В конце октября NRA стала жертвой ransom-атаки, хотя официального подтверждения утечки данных не получено.
  7. BTC-Alpha. Данная криптовалютная платформа стала жертвой rensomware- атаки в ноябре. Пострадал WEB-сайт, а также некоторые приложения.
  8. MediaMarkt является крупной торговой компанией и включает в себя более 1000 магазинов электроники, где работает более 50000 сотрудников. Данная фирма подверглась атаке ransomware. Хакеры (группа Hive). потребовали выкуп в 240 млн долларов. По данным компании Group-IB эта хакерская группа атаковала много других компаний.
  9. Superior Plus является поставщиком природного газа. Компания подтвердила, что12-го декабря стала жертвой сетевой атаки, в результате которой перестали работать некоторые вычислительные системы. Информационного ущерба не выявлено.
  10. Kronos 11-го декабря компания детектировала необычную активность в частном облаке, в результате которой прекратили функционировать 18000 систем. Далее последовало требование выкупа.

13 января 2022 года

Хотя квантовые комптютеры (КК) пока имеют ограниченную мощность, подошло время, когда нужно оценить все плюсы и минусы их появления и применения (см. "Is quantum computing ready to disrupt cybersecurity?", Kyle Johnson). Следует понимать, что квантовые компьютеры никогда не заменят традиционные, кремниевые, они лишь позволят на порядки ускорить некоторые алгоритмы. Согласно докладу Gartner (2021г) квантовые компьютеры начнут оказывать влияние на рынок вычислений после 2026 года, а уровень квантового превосходства будет достигнут в 2029 году. Пока КК являются объектами исследования. В ноябре 2021г компания IBM анонсировала создание 127-кубитного КК, а QuEra Computing - 256-кубитного. Предполагается, что для достижения квантового превосходства нужен 300-кубитовый КК. В области криптобезопасности эксперты ставят на первое место технику криптографии на решетках. Пока же предлагается в традиционной криптографии перейти с 256-битовых на 512-битовые.

14 января 2022 года

Наиболее мощная квантовая система Eagle создана компанией IBM и имеет 127 кубит (см. "Recent quantum computing advances point to brighter future", Ed Scannell, 10 Dec 2021). Эта система базируется на новом наборе чипов и использует новую систему охлаждения (Bluefors' cryogenics), что способствовало большей стабильности. Дальнейшим развитием проекта станет создание Cindor'а - 1121-кубитного КК, котрый планируется к запуску в 2023 году. Компьютер будет характеризовался квантовым объемом 1024. На этом КК будут исследованы возможности алгоритмов RSA м AES. На рис. 11 проводится сравнение возможностей КК и классических компьютеров.

Рис. 11. Сопоставление квантовых компьютеров с традиционными

Разрабатываются новые технологии и в смежных областях. Компанией IonQ исследуется возможность использования ионов бария для реализации кубитов при пониженной вероятности ошибок. Предполагается, что эта технология позволит создать 2000-100000- кубитные системы. На текущий момент по проблематике квантовых компьютеров работает 241 компания. В Китае в этой отрасли трудятся 8 крупных компаний. В США сотрудничество с этими компаниями оказалось под запретом.

Previous: 10.28.16 2021 год. Обзор по материалам ведущих фирм, работающих в сфере ИТ    UP: 10.28 События. Обзоры компаний Symantec, McAfee, Sophos, лаб Касперского, Cenzic, IBM, Sunbelt и др. об угрозах безопасности с 2006 до наших дней