Тренды целевых атак

Когда мы рассказываем о достижениях наших экспертов из GReAT (Kaspersky Lab Global Research and Analysis Team), воображение рисует эдаких Шерлоков с компьютерами, которых зовут на расследование сложных и запутанных случаев. Бывает и так, однако на самом деле большая часть их работы заключается в скрупулезном изучении множества факторов, систематизации их и выявлении закономерностей.

Ведь это только кажется, что громкие APT-атаки можно пересчитать по пальцам. На самом деле на данный момент наши эксперты отслеживают более сотни групп злоумышленников и вредоносных операций более чем в 80 странах. Только за первый квартал 2017 года мы выпустили 33 отчета для подписчиков Kaspersky Intelligence Services. В них есть не только теоретическая информация об угрозе, но и индикаторы заражения, а также правила YARA, помогающие расследовать инциденты и отлавливать вредоносы.

На основе наблюдений наших экспертов мы смогли выявить определенные тренды в мире таргетированных атак в первом квартале текущего года — это может помочь бизнесу подготовиться к атакам и предотвратить финансовые и репутационные потери.

На что обратить внимание

• Группы, стоящие за APT-атаками, взяли на вооружение новый для себя инструмент — вредоносы типа wiper, способные уничтожить данные на компьютерах жертвы. Они, во-первых, служат для саботажа, намертво останавливая бизнес-процессы в компаниях жертв, а во-вторых, успешно заметают следы своего присутствия, затрудняя дальнейший экспертный анализ атаки. Характерный пример — пара вредоносных кампаний Shamoon + Stonedrill, описанная нашими исследователями в начале марта.
• Если раньше основной целью APT-атак был в основном саботаж или кибершпионаж, то теперь этот инструмент все чаще используется и непосредственно для обогащения злоумышленников. В том же Shamoon был найден модуль, способный работать вымогателем. Разумеется, это может быть просто альтернативным инструментом уничтожения данных, но не исключено, что злоумышленники могут воспользоваться им и для шантажа. Тем более что и другие группы уже активно используют шифровальщики в целевых атаках.
• В атаках на польские банки была выявлена группа BlueNoroff, связанная с Lazarus, которой ранее приписывалась атака на Sony. Однако обнаруженные злоумышленники преследуют новые цели — чисто финансовые. Они заражали банки, разместив эксплойты на сайте одного из польских финансовых регуляторов. Наши эксперты считают эту группу одной из самых опасных угроз для банков в настоящий момент.
• Все чаще в APT-атаках стали применяться бестелесные вредоносы, которые затрудняют как обнаружение атаки, так и последующее расследование инцидентов.

Полный отчет об APT-атаках можно найти на сайте Securelist.

Что делать?

Практические выводы из отчета таковы: во-первых, уязвимости по-прежнему остаются одним из основных способов проникновения злоумышленников в инфраструктуру жертвы (большая часть упомянутых в нем атак проводилась при помощи эксплойтов). В связи с чем необходимо, во-первых, своевременно устанавливать закрывающие их патчи, а во-вторых, использовать защитные решения, в которых имеется система мониторинга уязвимостей и управления установкой патчей. Такая, как в Kaspersky Endpoint Security для бизнеса.

Во-вторых, не стоит ограничиваться использованием только лишь решений для обеспечения безопасности конечных точек — в идеале для защиты от APT-атак следует применять и инструменты, которые могут выявлять аномалии во всех процессах, проходящих на всех уровнях корпоративной сети. В частности, с этой задачей может справиться Kaspersky Anti Targeted Attack, построенная на базе принципа HuMachine Intelligence, который представляет собой органичный сплав информационных потоков о новых угрозах, технологий машинного обучения и экспертных знаний человека.

Также следует искать бреши в защите предприятия превентивно, не дожидаясь момента, когда этим займутся злоумышленники. Лучше доверить это дело экспертам, которые при помощи детального исследования инфраструктуры и тестов на проникновение смогут не только обнаружить уязвимости, но и выдать рекомендации по их устранению.

Ну и, разумеется, не следует забывать, что знание — сила. Для того чтобы эффективно защищаться от APT-атак, нужно понимать современные тренды. В этом могут помочь все те же наши эксперты и их непубличные отчеты. Для того чтобы ознакомиться с APT-отчетами, доступными только по подписке, свяжитесь с нами по адресу intelreports@kaspersky.com.