Новата година започна и това ни кара да гледаме в бъдещето. Компанията, доставяща решения и услуги за киберсигурност Trend Micro публикуваха в края на миналата година редовните си предвиждания за сцената на заплахите в областта на компютърната и интернет сигурност през 2023. От развитието на рансъмуер сцената, атаките към хибридните работни среди, през заплахите към предприятията и всички онези рискове, идващи от зависимостите от неподдържани решения с открит код, Trend Micro обрисуват една не по-малко натоварена за специалистите по киберсигурност година.
Рансъмуер сцената
През последните две години органите за сигурност най-после започнаха да имат повече успех в борбата си с киберпрестъпните групи, разпространяващи криптозаплахи. Краят на групи, като REvil и Conti е безспорен успех, но подобно на природата, киберпрестъпната сцена не търпи вакум и тяхното място се заема от хакерски колективи, като Evil Corp., Monster и др.
Според Trend Micro, хакерските групи тук ще променят своите тактики през 2023, действайки с по-голямо внимание и с по-целенасочени тактики. Докато двойния метод на изнудване да продължи да доминира (доставянето на рансъмуер и кражбата на чувствителни данни с цел откуп), то стратегиите им ще се определят от профила на жертвата – ако за жертвата приоритет се явява непрекъснатост на доставяните от тях услуги, хакерите ще изберат доставянето на рансъмуер, което да осуети нормалната работа на системите. Ако фокус на дадената компания се явява репутацията ѝ, то тогава ще се използва кражбата на данни и заплахата от тяхното публично излагане, ако не се плати откуп. Споменавайки кражбата на информация, то Trend Micro предполагат, че някои от тези групи могат да изоставят рансъмуер стратегиите си и да се ориентират напълно към кражбата на чувствителна информация с цел получаването на откуп, за да не я публикуват в Интернет. Друга тенденция, започнала през миналата година, ще продължи и през 2023 – възхода на кросплатформения рансъмуер и използването на програмни езици за неговото създаване, улесняващи лесната му доставка към различен по тип операционни системи.
Така например, две нови рансъмуер групи, като RedAlert и Monster използват такива методи. Първите създават изпълними файлове чрез специфична за Линукс версия на C, която може да атакува и ESXi хипервизора на VMware, докато Monster са избрали за това Delphi, който помага да се атакуват специфични конфигурации. Вече несъщестуващата Conti Group предлага на своите партньори и готов Линукс вариант на зловредната си програма. Друга хакерска група – тази зад рансъмуера Black Cat – избира за основа при разработката си GoLang и Rust.
Заплахите от хибридния начин на работа
Последните две години бяха белязани от COVID-19 и принудителните затваряния, които наложиха милиони да работят от физически безопасните среди на своите домове. И докато за мнозина служители това се яви една по-добра алтернатива от офиса, то екипите, които трябваше да защитават корпоративните мрежи влязоха в свой собствен кошмар. Но ако те могат да получат ясна видимост над офис мрежата и локалните системи, то те нямат такава над домашните мрежи на работещите дистанционно и техните устройства. Използването на VPN решения за свързването към офис мрежите насочи вниманието на хакерите към тях, като се отчита ръст в използването на VPN от 2000% през 2021. През 2023 това ще е и фокус на киберпрестъпниците, докато милиони се свързват чрез VPN от незащитените си домашни мрежи. Всичко това на фона на посочени над 500 известни уязвимости при VPN решенията в глобалната CVE (Common Vulnerability and Exposure) база данни. Една от тенденциите, които предприятията се очаква да следват в в тази връзка през 2023 е налагането на модела на „нулево доверие“ (Zero Trust), характерен за индустриалните и корпоративните среди. При него, идентичността на всеки потребител, устройство и приложение се счита по подразбиране за недоворена. Те трябва да бъдат включени в „кръга на доверие“ експлицитно и даже тогава на тях им се дават минимални привилегии, което максимално намалява рисковете.
Стари уязвимости, нови атаки
Помните ли WannaCry, заплахата от 2017, пленила милиони системи по цял свят? Рансъмуерът дължеше своя успех на уязвимост в остарелия мрежов протокол SMBv1. Проучване от 2021, цитирано от Trend Micro, посочва, че 92% от организациите по света продължават да разчитат на остарели протоколи (между които и SMBv1) през 2021, и то на фона на широко медийно отразяване именно на заплахи, като NotPetya и WannaCry. Скорошното разкритие на слабост в Log4j, изключително популярна софтуерна библиотека, използвана от десетки хиляди приложения, разкри рисковете от външните зависимости в софтуера и недобре поддържаните решения с открит код. Класическите атаки към веригата за доставки, каквато се явява Log4Shell и други, ще продължат да смущават специалистите по сигурност, докато киберпрестъпниците експлоатират не самите приложения толкова, а недобре защитени компоненти, чрез които те са създадени и функционират. И докато, както представители на публичния, така и на частния сектор вече работят заедно по елиминиране на рисковете тук, то киберпрестъпниците знаят къде да търсят. През миналата година вече чухме на няколко пъти за атаки към потребители и разработчици от хранилището за Python код Python Package Index (PyPI) и според Trend Micro, такива атаки само ще се увеличават – както към PyPi, така и към npm, пакетния мениджър на JavaScript, за да може зловредния код да си проправя път в приложения и среди за разработка. Пълният текст на доклада на Trend Micro може да откриете тук (pdf).
