Когда SecurityWeek спросил Стива Каца, первый в мире директор по информационной безопасности, какие будущие угрозы беспокоили его больше всего, он ответил: «Самая большая угроза — это постоянно растущий опыт хакеров».
Это результат основной механики: «Когда один объект воздействует на второй объект, второй объект оказывает на первый силу, равную по величине и противоположную по направлению». В киберпространстве это означает, что когда защита становится сильнее, злоумышленники становятся более изощренными; и когда злоумышленники становятся более изощренными, защита становится сильнее. Это действие против реакции до бесконечности — киберпреступники в настоящее время удерживают господствующее положение.
(Мы исключаем из этого обсуждения враждебную деятельность национальных государств. См. Cyber Insights 2022: национальные государства для информации об угрозе нации. Однако стоит отметить, что разграничение между киберпреступниками и национальными государственными субъектами не всегда просто, и некоторые субъекты принадлежат к обоим лагерям.)
На протяжении всего 2021 года злоумышленники доминировали. Это будет продолжаться как минимум в первой половине 2022 года. Основные причины — лучшая, более профессиональная организация и гораздо больше ресурсов. Преступные банды просто-напросто стали очень богатыми.
«Теперь стало реальностью, что банды киберпреступников так же ценны, как и компании-единороги», — говорит Микко Хиппонен, исследователь F-Secure. «Наш враг становится все сильнее и богаче».
Он называет две причины этого. Во-первых, доходы от преступлений резко возросли из-за мошенничества с BEC, распространения программ-вымогателей и вымогательства отказа в обслуживании. Во-вторых, преступники предпочитают хранить свои средства в криптовалюте. «Пять лет назад, — говорит Хиппёнен, — они владели состоянием около 10 миллионов долларов или около того. За эти 5 лет стоимость биткойна увеличилась с 500 до 50,000 XNUMX долларов, так что наступила эра банд киберпреступников-единорогов».
Результатом этого увеличения богатства стала эволюция профессионально организованных киберпреступных предприятий, обладающих достаточным состоянием, чтобы покупать нулевые дни на открытом рынке, конкурируя с национальными государствами, и достаточными деньгами для финансирования собственных исследований и разработок в области новых технологий, таких как ИИ. «По мере роста стоимости биткойнов и других криптовалют злоумышленники будут вкладывать средства в более высокие степени автоматизации и более сложные методы проникновения в цели», — добавляет Майк Эреди, вице-президент XM Cyber по странам Европы, Ближнего Востока и Африки и Азиатско-Тихоокеанского региона.
Движущие силы киберпреступности в 2022 году
Слава
Первые хакеры не гнались за деньгами. Они были, как указывает первоначальное значение этого слова, любопытными людьми, которые любили разбирать вещи. Престижность «ломать» вещи была основной мотивацией — и дух, хотя и измененный, живет.
«В течение многих лет геймеры и стримеры были растущей тенденцией в социальных сетях, и зрители хотели знать их секретные методы, позволяющие им перейти на следующий уровень», — комментирует он. Джозеф Карсон, главный специалист по безопасности в ThycoticCentrify.
«В настоящее время хакерство идет по тому же пути: лучшие хакеры мира транслируют свои хакерские навыки в Интернете, демонстрируя новые приемы и методы обхода системы безопасности и получения первоначального плацдарма, а затем повышая привилегии. Хакерские платформы для геймификации также находятся на подъеме, поскольку хакерские команды соревнуются за статус L33T и место в верхней части таблицы лидеров. Эта новая тенденция сохранится и в 2022 году, и мы увидим, как хакерство станет EL3T3 Sport, а зрители будут платить за то, чтобы смотреть, как хакеры действуют вживую».
Этика
Термин «хактивист» используется для описания хакера, движимого его или ее собственным взглядом на правильное и неправильное, а не прямым желанием заработать деньги. Вначале он был в основном сосредоточен на веб-дефейсах, оставляющих такие сообщения, как «Освободите Джулиана Ассанжа!»
Это превратилось в нечто менее невинное, с нападениями борцов за права животных на компании, проводящие эксперименты на животных, и нападениями антиядерных активистов на компании атомной промышленности. Это во многом обусловлено величайшими моральными проблемами любого периода, поэтому экологический хактивизм, вероятно, усилится в 2022 году.
Но он также увеличился в масштабах и остроте, вплоть до национальной геополитической активности. Можно утверждать, что дезинформация и кампании по дезинформации и даже прямое вмешательство в выборы можно охарактеризовать как форму хактивизма. Путин, как известно, назвал вмешательство России в выборы делом патриотов (а не российского государства!), которые, возможно, просто пытались помочь своей стране. Такой «хактивизм», скорее всего, вернется в год промежуточных выборов.
Майк Сентонас, технический директор CrowdStrike, считает, что зимние Олимпийские игры 2022 года в Китае также могут послужить катализатором. «Зимние Олимпийские игры 2022 года в Пекине вполне могут стать пороховой бочкой киберактивности национальных государств», — говорит он. «Вероятно, мы даже увидим, как хактивисты выйдут из-под контроля, чтобы участвовать в дезинформационных кампаниях».
Деньги
Деньги, безусловно, являются самой важной мотивацией киберпреступной деятельности. В попытке заработать больше денег (и защитить отдельных лиц) группы киберпреступников стали лучше организованы и стали более деловыми.
Единственным наиболее важным событием является появление «киберпреступности как услуги» и сопутствующее разделение ролей.
Это началось как широкое определение «вредоносное ПО как услуга». Вместо того, чтобы использовать свое вредоносное ПО самостоятельно, разработчики начали «сдавать» свой продукт в аренду другим, зачастую менее квалифицированным преступникам. енот, Тихая ночь и Легион Загрузчик несколько примеров. Вскоре появились более специфические сервисы, и исследователи признали программу-вымогатель как услугу (например, DarkSide и Revil) и «фишинг как услуга» как категории внутри жанра. Рост криминального ПО как услуги будет увеличиваться в течение 2022 года.
«Банды вымогателей будут конкурировать с предприятиями по сложности», — предупреждает Даррен Уильямс, генеральный директор и основатель BlackFog. «В прошлом году мы уже видели, как банды вымогателей превращаются в опытные предприятия со сложной организационной структурой, причем одна из них зашла так далеко, что создала поддельную компанию для найма талантов. В 2022 году мы увидим, что эта тенденция продолжит набирать обороты, с большей координацией между бандами, двойным вымогательством, переходящим в тройное вымогательство, и стремительным ростом схем коротких продаж».
Основными преимуществами для преступников являются разделение ролей (что делает весь процесс более деловым и эффективным) и позволяет преступным вдохновителям оставаться в тени, и их потенциально труднее идентифицировать.
Разделение ролей не ограничивается простой разработкой вредоносных программ. Существуют отдельные брокеры доступа, которые могут продавать готовый доступ к разным целям, и агенты по продажам, которые могут продавать украденные учетные данные. Общий эффект заключается в том, что менее квалифицированные хакеры-подражатели привлекаются к киберпреступности и могут проводить изощренные атаки в масштабе. В результате к 2022 году объем кибератак увеличится.
«Окупаемость взломов и атак программ-вымогателей за последние два года», — говорит Мэтт Рахман, главный операционный директор IOActive, «превратил плохих актеров в профессионалов бизнеса. Когда вы управляете бизнесом, профессионализм, обслуживание клиентов и отличный продукт повышают спрос на ваши услуги».
Трой Гилл, старший менеджер по анализу угроз в Zix/App River, добавляет: «Вот почему в 2022 году мы увидим, как киберпреступники установят еще более прочные рабочие отношения, чтобы способствовать их дальнейшему успеху».
Правоприменение
Киберпреступность прочно занимает господствующее положение, и закон действия и противодействия означает, что защитники должны реагировать. Увеличение бюджетов на безопасность, более совершенные продукты для обеспечения безопасности и постоянные призывы к отрасли внедрить хотя бы основы кибербезопасности не остановили рост киберпреступности. Правительства наконец осознали, что им необходимо занять более активную позицию в отношении киберпреступности. Это уже началось.
«Сезон охоты на единорогов идет полным ходом, и мы видим, что правоохранительные органы принимают более активные меры, уничтожая организованные преступные группировки по всему миру», — говорит Хиппёнен. «Госдепартамент США также предлагает вознаграждение в размере 10 миллионов долларов за информацию, ведущую к аресту как минимум двух разных групп вымогателей, поэтому будет интересно посмотреть, сколько единорогов киберпреступников будет в течение 2022 года».
Есть также тонкие признаки расширения международного сотрудничества правительств в борьбе с киберпреступностью. В начале декабря 2021 года SpiderLabs из Trustwave сообщила: «Сотрудничество правоохранительных органов заставляет восточноевропейских киберпреступников задаваться вопросом, существует ли больше безопасное убежище».
SpiderLabs продолжил: «Исходя из собранных нами разговоров, часть киберпреступников в настоящее время обеспокоена тем, что российские власти могут активно их выслеживать». Он цитирует сообщение от 10 ноября 2021 года, найденное в даркнете: «Кстати, недавние секретные переговоры о киберпреступности между Российской Федерацией и США».
Поворотным моментом могла стать программа-вымогатель DarkSide. атака на колониальный трубопровод. Физические атаки на критическую инфраструктуру долгое время рассматривались многими правительствами как неуместные — опасность эскалации возмездия слишком высока. Это могло быть случайным; атака, выполненная не самой DarkSide, а менее опытным франчайзи по программе-вымогателю как услуге.
То, что произошло дальше, заслуживает внимания. Байден говорил с Путиным. DarkSide потемнел. Атака была «отклонена» как более приемлемая атака на платежную ИТ-часть Colonial, а не атака на операционные технологии критической отрасли (утверждение, которое не является общепринятым). И правительство США смогло получить значительную часть выкупа в биткойнах, уплаченного Colonial (опять же, то, что не было должным образом объяснено).
[ Читать: Пять ключевых сигналов об аресте российской программы-вымогателя REvil ]
Действие и реакция
Но если правоохранительные органы станут более эффективными в борьбе с киберпреступностью, мы можем ожидать, что киберпреступники нанесут ответный удар. Это простое действие и реакция.
Эрих Крон, защитник осведомленности о безопасности в KnowBe4, комментирует: «Банды киберпреступников не собираются сидеть сложа руки, пока их одну за другой отключают от сети. В ответ на усиление координации между странами и связанные с этим аресты или разгромы эти плохие деятели начнут сопротивляться, преследуя интересы тех, кто доставляет им больше всего проблем. Хотя программы-вымогатели и киберпреступность часто связаны исключительно с деньгами, это уже не просто бизнес, а личное дело. Ожидайте увеличения количества атак, направленных на страны, которые арестовывают или разрушают инфраструктуру».
Банды киберпреступников не обязательно должны оставаться в России или Восточной Европе, где культурное сходство между Востоком и Западом облегчает общее понимание. Есть и другие страны с другой культурой и другой религией, которые могли бы быть счастливы принять антизападных преступников, таких как Иран и, возможно, Афганистан. «Усилия сверху вниз, такие как санкции Министерства финансов США, могут привести к арестам, но в конечном итоге загонят эти группы в еще большее подполье и вне досягаемости», — предполагает Джон Бамбенек, главный охотник за угрозами в Netenrich.
2022 год — переломный год действия и противодействия. Борьба с киберпреступниками со стороны правоохранительных органов уже началась. Но преступники не будут сидеть сложа руки и ничего не делать. Они будут реагировать. Все это будет происходить в течение 2022 года, и неизвестно, какая сторона одержит верх к концу года. Единственная уверенность в том, что какая бы сторона ни победила, это будет лишь временная победа. Действие и противодействие между добром и злом будет продолжаться бесконечно.
О SecurityWeek Cyber Insights 2022
Cyber Insights 2022 — это серия статей, в которых рассматривается потенциальная эволюция угроз в новом году и в последующий период. Обсуждаются шесть основных областей угроз:
• Личность
• Улучшение криминальной сложности
Хотя субъекты были разделены, атаки редко происходят изолированно. Атаки на государство и цепочку поставок часто будут связаны, как и цепочками поставок и вымогателей. Враждебный ИИ, скорее всего, будет замечен в первую очередь в атаках на идентичность; по крайней мере, в краткосрочной перспективе. А в основе всего лежит растущая изощренность и профессионализм киберпреступника.
Кевин Таунсенд - старший участник SecurityWeek. Он писал о проблемах высоких технологий еще до рождения Microsoft. Последние 15 лет специализируется на информационной безопасности; и опубликовал многие тысячи статей в десятках различных журналов - от The Times и Financial Times до современных и давно вышедших компьютерных журналов.
Теги:
