Криптомайнери, UEFI-руткіти, злошкідливі Word-скрипти: найбільш актуальні загрози в кіберпросторі

У сфері кібербезпеки з’явилися нові, досі небачені види загроз, водночас деякі напади хакерських атак не змінюються вже багато років. Про новітні тренди в області інформаційної безпеки та усталені «традиції» хакерів розповідають Роберт Липовски (Robert Lipovsky), старший аналітик загроз лабораторії ESET, і Ріхард Цвіненберг (Righard J. Zwienenberg), головний експерт з досліджень і розробок ESET.

Роберт Липовски та Ріхард Цвіненберг

Роберт Липовски та Ріхард Цвіненберг

Кіберзлочинці в пошуку простих шляхів

В останні роки кіберзлочинці роблять головний акцент на криптоджекінг (також відомий як «злошкідливий майнінг»), а не ransomware (програми-вимагачі), оскільки перший приносить їм більший дохід. Крім того, криптоджекінг для потерпілого не такий помітний, як ransomware.

Криптоджекінг як онлайн-загроза з’явився відносно недавно. Пов’язані з цією загрозою шкідливі об’єкти ховаються на комп’ютерах або мобільних пристроях і використовують їх обчислювальні ресурси для видобутку («майнінгу») електронних грошей — криптовалюти. До речі, ця загроза є актуальною для будь-яких типів пристроїв — від настільних комп’ютерів і ноутбуків до смартфонів і навіть мережевих серверів.

Крім того, знижується обсяг шахрайств у сфері банкінгу, оскільки шкідливий майнінг для кіберзлочинців є простішим способом заробляння грошей. Річ у тому, що банки останнім часом використовують безліч інструментів протидії шахрайству, і цим вони серйозно ускладнили завдання хакерів.

Що стосується APT — цільових атак — то збільшується їх витонченість, але не технологічність. Наприклад, 10 років тому хакери досить активно застосовували руткіти, тобто шкідливий код, який діяв на низькому рівні. Зараз частота застосування руткітів знизилася, хоча в минулому році було виявлено «в дикій природі» перший UEFI-руткіт.

Разом з тим, деякі напади кіберзлочинців не змінилися. Наприклад, цільовий фішинг з використанням електронних повідомлень залишається першим етапом більшості кібератак. Алгоритм наступний: для проникнення в мережу корпорації застосовується лист-приманка, далі в процесі фішингової атаки використовуються шкідливі скрипти всередині Word- або Excel-файлу. Нагадаємо, що 20 років тому вперше було виявлено шкідливий макровірус електронної пошти на комп’ютері під назвою Melissa, який запускався при відкритті повідомлення. Зараз ситуація повторилася — ми бачимо дуже схожі способи розмноження шкідливого коду.

Крім вищеописаного способу, кіберзлочинці часто використовують комбінацію фішингу та експлойтів. Спочатку електронна пошта застосовується для доставлення шкідливого коду, який потім експлуатує уразливість для інфікування системи.

Разом з тим, «уразливості» в знаннях і поведінці користувачів зустрічаються набагато частіше, ніж уразливості в програмному забезпеченні. Для цього хакери використовують соціальну інженерію та інші способи.

Що може допомогти в захисті від соціальної інженерії? Навчання користувачів, але — лише правильне навчання. Гарна новина полягає в тому, що чимало компаній мають підрозділи ІТ-безпеки, які проводять тренінги, попереджають про можливі небезпеки і т. д. Погана новина — зазвичай подібні тренінги проводяться одноразово, в той час як набагато більш ефективно їх періодично повторювати. Взагалі правила поведінки в інтернеті повинні стати частиною навчання в школі, причому — з раннього віку.

Новинки злошкідливого ПО

Як вже згадувалося, в минулому році вперше було помічено появу UEFI-руткітів, про які спочатку говорили лише як про теоретичну можливість застосування для атаки. Проте в минулому році вони були виявлені в реальному світі — in the wild. Перший відомий UEFI-руткіт, який отримав назву LoJax, заражає прошивку UEFI (UEFI — Unified Extensible Firmware Interface, інтерфейс між операційною системою і мікропрограмами, які керують низькорівневими функціями обладнання), переписуючи її програмний код. Руткіт використовувався хакерським угрупованням під назвою Fancy Bear (також відома як APT28, Sofacy, Pawn storm, Sednit і Strontium). Ця хакерська група підозрюється в безлічі атак на урядові інтернет-ресурси різних країн і на думку багатьох фахівців кібербезпеки, пов’язана з російськими спецслужбами.

Крім того, варто згадати виникнення вірусів, що спеціально націлені на об’єкти індустріальних енергомереж і здатні викликати їх відключення. Виникнення таких вірусів, які здатні «розмовляти» з індустріальними системами на їх мові, можна назвати справді новим трендом.

Що стосується безфайлових вірусів, то про них складно говорити як про новинку. Нагадаємо, в позаминулому році безфайлові технології застосовувалися в ході двох великомасштабних кампаній по поширенню програм-вимагачів (Petya і WannaCry). Зазвичай для безфайлових атак застосовуються скрипти PowerShell, збережені в реєстрі BLOB-об’єктів.

Виявлення таких зловредів — дуже непросте завдання. Для цього використовується сканування на декількох рівнях: крім перевірки файлів на диску, антивірусний інструмент також перевіряє оперативну пам’ять і вміст реєстру. До речі, таргетовані атаки часто використовують скрипти PowerShell, тому необхідно зважено підійти до того, блокувати такі сценарії чи ні.

Віруси для мобільних гаджетів

Хоча число смартфонів у світі вже давно перевищила число ПК, однак кількість вірусів для мобільних пристроїв поки дуже невелика. Чим це можна пояснити? Роберт Липовски стверджує, що насправді число злошкідливих програм для мобільних пристроїв досить велике, проте шляхи їх поширення дійсно дещо обмежені в порівнянні з системами для ПК. Це обумовлено архітектурою операційної системи, оскільки iOS, наприклад, має свою пісочницю, а в магазині додатків всі програмні продукти проходять перевірку. Проте, час від часу з’являються фейкові додатки для банкінгу, які крадуть пароль при двофакторній аутентифікації, spyware, криптоджекери та інші. Найбільш популярний шлях поширення мобільних троянських платформ — через маркети програмних продуктів, тобто коли кіберзлочинці розміщують шкідливий додаток в магазині ПЗ і видають його за щось цікаве для користувача, причому поширюють продукт безкоштовно. В результаті користувач його завантажує, але отримує троянську програму, яка виконує абсолютно не ті дії, про які було заявлено.

Крім того, мобільні віруси також поширюються через електронну пошту, через SMS і т. д. В останньому випадку користувач завантажує через посилання, зазначене в SMS, певний додаток, який потім встановлюється на смартфон і виконує розсилку SMS з посиланням на шкідливий сайт всім абонентам зі списку контактів. Існує досить велика ймовірність того, що ці абоненти перейдуть за посиланням, адже вони отримали повідомлення від свого знайомого, якому довіряють.

Чи існує шкідливий код, який неможливо видалити?

Деякі злошкідливі програми бувають настільки руйнівні, що після їх «роботи» потрібно встановлювати заново операційну систему. Та чи бувають такі випадки інфікування, коли система в цілому працює, але її неможливо очистити від вірусу?

Тут відповідь залежить від багатьох факторів. Складність може полягати в тому, що антивірус не до кінця очистив систему, або ви знову зайшли на шкідливий сайт та інфікували комп’ютер. В корпоративних мережах зустрічається й інша проблема. Наприклад, хробак заразив всі комп’ютери в мережі, однак на більшій їх частині був встановлений антивірус з актуальними вірусними базами, який детектував і видалив шкідливий код. Разом з тим, на деяких ПК антивірус не був встановлений, оскільки системний адміністратор вирішив, що ці комп’ютери зараз не виконують важливих функцій. В результаті хробак з цих ПК постійно поширюється мережею й знову інфікує системи. Або ж якийсь користувач в мережі періодично відкриває інфікований документ і запускає інфекцію мережею.

Якщо у вас на ПК немає антивіруса, ви можете скористатися безкоштовним онлайн-сервісом типу VirusTotal для перевірки підозрілих файлів. Наприклад, коли ви отримали вкладений файл email і хочете його про всяк випадок перевірити, то VirusTotal дуже хороший інструмент, оскільки забезпечує сканування за допомогою майже 60 різних антивірусів. З іншого боку, VirusTotal не забезпечує повноцінний захист системи, а якщо ваша система інфікована безфайловим вірусом, то подібний сервіс взагалі марний.

Чи варто малим і середнім підприємствам довірити свій захист Security Operation Center?

Ріхард Цвіненберг вважає, що це цілком має сенс. Оскільки у малого бізнесу не завжди є ресурси та компетенції для оновлення захисного ПЗ в мережі, для підтримки його у робочому стані. Крім того, Security Operation Center — це більш вигідно і надійно, ніж наймати виділеного адміністратора. Адже якщо у великій корпорації для вирішення завдань інформаційної безпеки зазвичай призначається окремий фахівець або навіть цілий відділ, то в СМБ-сегменті один співробітник займається вирішенням всіх завдань, пов’язаних з ІТ та інфобезпекою.

ЧИТАЙТЕ ТАКОЖ:

Читайте также:

10 найстрашніших комп’ютерних вірусів в історії

Захист персональних даних українців залишається одним із найбільших викликів у кібервійні росії проти України

Звіт «Туман війни» від Google або як війна в Україні змінила ландшафт кіберзагроз

Штучний інтелект у дизайні та розробці ігор. Де ми зараз і що далі?