Перевод статьи члена Советов Forbes Кита Бартольда «Hackers Incorporated: How Cybercrime Is Moving From The Basement To A Booming Industry»
В то время как новостные сообщения о кибератаках могут вызывать в воображении образы одинокого хакера в темном подвале, гораздо более вероятным сценарием является наличие нескольких виновных в рамках организованной операции. В последние годы хакеры организовались почти как корпорации, взаимодействуя с другими группами и диверсифицируя риски. Некоторые даже получили государственную поддержку. Их передовые инструменты включают сложные методы фишинга, взлом шифрования и автоматизированные серверы, которые загружают украденные данные и управляют вредоносным ПО.
Как человек, который работает со службами кибербезопасности компаний, обучает киберстратегии и внимательно следит за отраслью, ниже я представляю обзор того, как хакеры недавно начали организовываться и действовать. Я надеюсь, что это поможет и проинформирует вас, чтобы вы могли лучше подготовить киберстратегию и кибербезопасность своей компании.
Процветающий бизнес
Бизнес процветает, и у хакерских групп нет стимула останавливаться, поскольку они могут заработать миллионы с минимальным риском быть пойманными. Чтобы минимизировать риск, они анонимно работают в сети и размещают рекламу в даркнете. Затем они диверсифицируют свои риски путем создания сети филиалов, вымогают миллионы, используя практически не отслеживаемую цифровую валюту.
Современный хакер охотится на пользователей, пока тот не найдет того, кто невольно откроет им дверь. Тем не менее, хакеры больше не нацелены только на отдельных лиц, а на корпорации и правительства, у которых есть стимул и бюджет для выплаты крупных выкупов за возвращение своих данных. Только за последние пару лет средние выплаты выкупа почти удвоились. Согласно отчету об угрозах, опубликованному Palo Alto Networks, выплаты вымогателям выросли на 171% с 2019 по 2020 год и в среднем со $115 123 до $312 493, при этом в некоторых случаях сообщалось о превышении более $15 миллионов.
Инструменты торговли
Как и в любой растущей отрасли, их инструменты продолжают развиваться, и мы начали видеть, что сотрудники специализируются на определенных навыках, таких как методы фишинга, взлом шифрования и автоматические серверы, которые загружают украденные данные и управляют вредоносным ПО.
Основным примером эволюции взлома является рост RaaS или Ransomware as a Service, который следует многим бизнес-практикам SaaS (Software as a Service). С появлением RaaS начинающий хакер может арендовать сложный опыт работы с программами-вымогателями и программное обеспечение по подписке. Эта модель передает продвинутые программы-вымогатели в руки совершенно нового уровня злоумышленников. Провайдеры RaaS размещают рекламу в темной сети и предлагают все: от доступа к своим программам-вымогателям до пошаговой поддержки на протяжении всей атаки. Компании RaaS называют этот новый уровень «аффилированными лицами» и предлагают варианты оплаты от фиксированной ежемесячной платы до процента от успешного выкупа.
Вредоносное ПО эффективно только после получения доступа. Это привело к появлению специалистов, известных как брокеры начального доступа (англ. initial access brokers — IAB). IAB проникают в уязвимые сети, а затем продают доступ тому, кто предложит самую высокую цену. Многие проникают глубоко внутрь организации, чтобы оценить и рекламировать потенциальную ценность своей цели. Филиалы RaaS часто вступают в партнерские отношения с IAB, а затем делят выкуп. Это не только позволяет каждой организации сосредоточиться на своих областях знаний, но и диверсифицирует риски. Сегодня существует более 500 IAB, продающих доступ предприятиям, государственным учреждениям и системам критической инфраструктуры по всему миру.
Государственный заказ
Лишь некоторые из известных атак национальных государств: взлом Израилем иранской ядерной программы, атаки Северной Кореи на правительство Южной Кореи и России, а также нарушения Китаем правительственных и корпоративных систем США. Эти атаки продолжают расти благодаря экспертам, инструментам и подрядчикам.
Подобно использованию каперов во времена открытого моря, правительства развертывают частные кибербанды, а затем отрицают любую прямую связь, заявляя, что они являются одинокими организациями. Microsoft заявляет, что за один год 52% атак на национальные государства были совершены из России, но доказать, что хакеры действуют от прямого имени правительства России, очень сложно.
В России правительство не преследует киберпреступность, если жертвой не является кто-то в пределах их собственных границ. DarkSide, предположительно базирующаяся в России, была определена ФБР как группа, стоящая за атакой на Colonial Pipeline. Вредоносная программа DarkSide выполняет языковую проверку перед установкой. Если в качестве целевого языка выбран русский, белорусский или другие языки бывшего Советского Союза, вредоносная программа не установится. В отчете Trend Micro говорится, что США были главной целью DarkSide — было зафиксировано более 500 обнаружений. Кремль отрицает свою принадлежность к группе.
Масштабирование отрасли
Нельзя недооценивать масштабы роста этой отрасли и то, как она будет развиваться на протяжении всей нашей жизни. В недавнем интервью Wall Street Journal директор ФБР Кристофер Рэй выразил серьезную обеспокоенность по поводу растущих темпов атак программ-вымогателей и ущерба, который они могут нанести США. Вплоть до того, что он сравнил сотни атак, которые они расследуют, с проблемами противостояния атакам 11 сентября и сказал: «Есть много параллелей» в масштабах разрушения.
В этом новом мире киберпреступники работают как картель, а не как одинокие волки, что делает их более грозными и проворными. Компании и правительства должны работать вместе, чтобы опережать угрозы киберпреступников, которые, без сомнения, будут продолжать развиваться и расти.
Кит Бартольд — генеральный директор ведущей компании по оказанию управляемых ИТ-услуг DKBinnovative, которая предлагает безопасные и надежные решения для малого и среднего бизнеса во всем мире.