Упс! Не вдала спроба:(
Будь ласка, спробуйте ще раз.

Злом заради коштів, хмарні сервіси та ШІ: головні тренди кібербезпеки зі звіту Mandiant-Trends

Олександр Тартачний
Олександр Тартачний журналіст
8 травня 2024 7 хвилин читання

У щорічному звіті американська кібербезпекова компанія Mandiant (зараз входить до Google Cloud) проаналізувала головні тренди індустрії у 2023 році. SPEKA обрала головне зі звіту та розповідає, які виклики стоять перед компаніями у захисті даних та своєї інфраструктури. 

Топ стратегій хакерів та трендів у кібербезпеці: звіт Mandiant Топ стратегій хакерів та трендів у кібербезпеці: звіт Mandiant

Частина фінансово мотивованих зломів зростає 

Головними цілями для кіберзлочинців у 2023 році були компанії, що працюють у сферах фінансів, технологій, торгівлі, охорони здоров’я, та урядові портали. Причина у тому, що 52% атак мають головним мотивом фінансову вигоду (на 8% більше, ніж торік). Ці сектори часто володіють великою кількістю конфіденційної та цінної інформації.

Решта атак припадають на шпигунство (10%), інші мотиви (2%), а причини ще 36% зломів до кінця не відомі.

Найпоширеніші способи, якими зловмисники отримували доступ до цільової мережі, — експлойти, фішинг, попередній злом і викрадення облікових даних.

Основні групи кіберугруповань, їхнє походження та мотиви Основні групи кіберугруповань, їхнє походження та мотиви

Глобальні організації вдосконалюють свій кіберзахист

Згідно зі звітом M-Trends, середній час перебування непоміченими у мережах глобальних організацій скоротився з 16 днів у 2022 році до 10 у 2023-му. Це найнижчий рівень за понад десять років.

Це свідчить про те, що компанії вносять значні покращення у свою кібербезпеку. Але водночас це не завжди заслуга кібербезпекових команд, адже частка атак за допомогою програм-вимагачів зросла. Тобто це атаки, у яких кіберзлочинець швидко сконтактує з жертвою, щоб вимагати виплату. Найбільше скорочення часу перебування у системі помічено в Азійсько-Тихоокеанському регіоні (на 24 дні), у якому найбільше атак здійснюють через програми-вимагачі. 

Підписуйтеся на наші соцмережі

Час перебування збільшився у Європі, на Близькому Сході та в Африці. Ймовірно, через більшу кількість шпигунських операцій у регіоні, які є елементом кібервійни

Ще одним доказом того, що компанії стають кращими у виявленні кіберзагроз, є те, що Mandiant виявив, що 46% скомпрометованих організацій вперше виявили докази злому всередині себе самостійно, а не сторонньою організацією. Цей показник зріс із 37% у 2022 році.

Відсоток розслідувань загроз, ініційованих внутрішнім або зовнішнім виявленням, з 2011 по 2023 рік. Зображення: Mandiant Consulting Відсоток розслідувань загроз, ініційованих внутрішнім або зовнішнім виявленням, з 2011 по 2023 рік. Зображення: Mandiant Consulting

Кіберзлочинці більше зосереджені на використанні вразливостей, а не завантаженні шкідливого ПЗ

Кіберзлочинці дедалі частіше націлюються на периферійні пристрої та типи атак living off the land (LOTL). Це тактика, за якої зловмисники використовують вбудовані інструменти та функції операційної системи або вже встановлене програмне забезпечення. Ця стратегія дозволяє атакувати систему, мінімізуючи використання зовнішніх вразливостей або шкідливих програм, що робить виявлення атаки значно складнішим.

Зловмисники можуть використовувати такі інструменти, як скрипти PowerShell, утиліти командного рядка, планувальники завдань Windows або інші адміністративні інструменти, які вже є на комп'ютері. 

У 2023 році особливо небезпечними та популярними у хакерів були вразливості у програмі передавання файлів MOVEit та у Barracuda Email Security Gateway. 

Хмарні середовища дедалі частіше стають мішенями для хакерів

Використання хмарних технологій постійно зростає — Gartner прогнозує, що понад 50% підприємств використовуватимуть галузеві хмарні платформи до 2028 року — і тому все більше зловмисників звертають на них увагу. За даними CrowdStrike, у 2023 році кількість хмарних вторгнень зросла на 75% порівняно з 2022 роком.

Mandiant спостерігав випадки, коли зловмисники отримували доступ до хмарних середовищ через облікові дані, які не зберігалися надійно. Облікові дані були виявлені на доступному в Інтернеті сервері з конфігураціями за замовчуванням або були викрадені та з того часу не змінювалися. Вони також отримали доступ за допомогою різних методів обходу двофакторної автентифікації

Доступ до хмарних сервісів дають кіберзлочинцям певні переваги. Наприклад, можливість довше уникати виявлення в межах компанії, створювати віртуальні машини для доступу до хмари організації чи використовувати обчислювальні потужності сервісу для криптомайнінгу. 

Кіберзлочинці змінюють тактику, щоб обійти багатофакторну автентифікацію 

Коли багатофакторна автентифікація стала стандартною практикою безпеки в багатьох організаціях, зловмисники досліджують нові креативні тактики, щоб її обійти. Переважно через збільшення атак Adversary-in-the-Middle (AiTM)

Зловмисник встановлює контроль над з'єднанням між жертвою та службою (наприклад, вебсайтом). Після встановлення контролю над сеансом, зловмисник може перехоплювати, переглядати та маніпулювати даними, які передаються між сторонами. Тоді він може використовувати перехоплені дані для входу в систему, обходячи двофакторну автентифікацію. 

Інші методи для обходу MFA:

  • Атаки соціальної інженерії : наприклад, розповсюдження фішингових електронних листів, де ціль змушують розкрити свої дані для входу на підроблений сайт. 
  • Заміна SIM-картки: передбачає перенесення номера телефону цільової особи на SIM-картку, контрольовану зловмисником, щоб вони могли прийняти повідомлення та заволодіти обліковим записом. 
  • Підбір пароля: зловмисники вгадують паролі до неактивних або службових облікових записів, для яких не налаштовано двофакторну автентифікацію. 

«Червоні команди» використовують ШІ та великі мовні моделі для тестування систем на вразливості

Червоні команди (спеціалісти кіберкомпаній, які виконують завдання на проникнення в мережу. — Ред.) використовували генеративні інструменти штучного інтелекту, щоб прискорити певні дії під час перевірок. Зокрема для:

  • Створення початкових чернеток шкідливих електронних листів і цільових сторінок для фіктивних атак соціальної інженерії.
  • Розробка спеціальних інструментів для випадків, коли аналітики стикаються з незвичайними або новими програмами та системами.
  • Дослідження та створення інструментів у випадках, коли середовища не відповідають робочим нормам, які можна використовувати знову і знову.

У звіті автори припускають, як аналітики з кібербезпеки можуть використовувати ШІ у майбутньому. Червоні команди генерують значну кількість даних, які можна використовувати для навчання моделей, налаштованих на захист середовища клієнтів. Однак розробникам штучного інтелекту також доведеться знайти нові способи, щоб гарантувати, що моделі мають відповідні обмеження, водночас дозволяючи правомірне використання як інструмент кібербезпеки.

Підписуйтеся на наші соцмережі

50 UAH 150 UAH 500 UAH 1000 UAH 3000 UAH 5000 UAH
0
Прокоментувати
Інші матеріали

600 млн кібератак щодня: як зросли загрози у кіберсекторі за рік

Павло Бартос 5 годин тому

Хакери використовують файли MS Office та ZIP-архіви для крадіжки даних: що відомо про нову схему обману

Владислав Паливода 5 грудня 2024 08:16

IT Армія України паралізувала роботу великих російських компаній: деталі

Владислав Паливода 3 грудня 2024 08:14

Netflix попередив своїх користувачів про кібератаки: що відомо

Владислав Паливода 2 грудня 2024 13:28

Кіберзагрози для бізнесу: основні ризики та поради для захисту

Анна Митропан 28 листопада 2024 12:39