ЛК представила отчет о развитии целевых атак во втором квартале 2017

ЛК представила отчет о развитии целевых атак во втором квартале 2017

ЛК представила отчет о развитии целевых атак во втором квартале 2017

В период с апреля по июнь наиболее активно проявили себя кибершпионские группировки, говорящие на русском, английском, китайском и корейском языках, а также группы, действующие на Ближнем Востоке. Такой широкий диапазон говорит о том, что киберпреступность идет по пути глобализации, стремительно опутывая своими сетями весь мир.

Для рядовых пользователей, коммерческих компаний и некоммерческих организаций это означает только одно: кибервойны выходят на новый уровень, и все выше становится риск оказаться «сопутствующим ущербом» на поле боя.

Во втором квартале 2017 года киберпреступники применили несколько новых и усовершенствованных старых инструментов, в том числе три эксплойта нулевого дня для Windows. Их использовали в своей деятельности русскоговорящие группировки Sofacy и Turla. Sofacy, также известная как APT28 и FancyBear, применила эксплойты против целого ряда целей в Европе, включая правительственные и политические организации. Группировка также была замечена в тестировании нескольких оригинальных инструментов на основе макросов в офисных документах. Наиболее примечательным из этих тестов стала атака на члена одной из французских политических партий перед национальными выборами во Франции.

Однако борцы с киберпреступностью также добились успехов в своем деле. Одним из наиболее значительных можно считать подробное исследование Gray Lambert. Это самый продвинутый на данный момент набор инструментов кибергруппировки Lamberts, которая специализируется на шпионаже – применяемые ей методы и тактики были описаны в архиве Vault 7, опубликованном Wikileaks. В результате анализа были обнаружены два новых семейства вредоносного ПО, а исследователям удалось проследить эволюцию атак этой группы за последние 10 лет.

Кроме того, за три отчетных месяца киберпреступники провели две атаки беспрецедентных масштабов: WannaCry и ExPetr. Очень разные по сути и целям, они оказались одинаково неэффективными с точки зрения вымогательства. Экспертный анализ позволяет предположить, что вредоносная активность была начата злоумышленниками до того, как был полностью дописан код. Это, в свою очередь, наводит на мысль, что настоящей целью атак было уничтожение данных, а не получение денег. Учитывая размер ущерба, причиненного компаниям по всему миру, эксперты «Лаборатории Касперского» не исключают, что WannaCry и ExPetr станут лишь началом нового тренда в мире киберпреступности.

«Тенденции, которые мы наблюдали во втором квартале, побуждают сделать определенные прогнозы на третий. Во-первых, мотивация преступников становится все сложнее, и к чисто денежному фактору все чаще примешиваются политические мотивы. Вполне вероятно, мы будем наблюдать повышенный уровень киберпреступности в странах, где предстоят выборы.  Во-вторых, кибератаки все чаще оказываются не тем, чем кажутся поначалу, что видно на примере WannaCry и ExPetr. Возможно, это опять же связано с политической мотивацией преступников, а, возможно, это просто новый способ усложнить жизнь специалистам по кибербезопасности. Наконец, если говорить об индустриях под ударом, мы ожидаем роста числа атак на предприятия, связанные с энергетикой. Причем и сюда могут снова примешиваться политические мотивы», — прокомментировал выводы отчета Юрий Наместников, руководитель российского исследовательского центра «Лаборатории Касперского».

Каждая пятая утечка уже связана с теневым использованием ИИ

Сотрудники всё чаще отправляют рабочие данные в нейросети быстрее, чем службы ИБ успевают понять, что вообще происходит. По данным «Информзащиты», в июле 2026 года уже 20% организаций, столкнувшихся с утечками, хотя бы частично связали инциденты с несанкционированным использованием ИИ. Годом ранее таких случаев было около 12%.

И это не безобидное попросил чат-бота поправить письмо. В публичные ИИ-сервисы загружают договоры, исходный код, внутреннюю переписку, клиентские обращения и техническую документацию.

На веб-интерфейсы нейросетей приходится около 42% подобных инцидентов. Ещё 24% утечек связаны с браузерными расширениями и ИИ-помощниками.

Они получают доступ к вкладкам, истории сессий и cookie, а потом тихо делают то, на что им когда-то нажали «Разрешить». Самостоятельно подключённые API и библиотеки дают ещё 19%, инструменты для программирования — 15%.

Проблема в том, что классические средства защиты часто не видят ничего подозрительного. Домен легитимный, TLS работает, вредоносной сигнатуры нет. Только конфиденциальный документ уже уехал во внешний сервис.

Почти у трети компаний, использующих ИИ, находят хотя бы один API-ключ или секрет в небезопасном месте: конфигурациях, тестовых скриптах, рабочих станциях и Git-репозиториях. Получив такой ключ, атакующий может не только потратить чужой бюджет, но и добраться до подключённых баз данных и RAG-хранилищ.

Дороже всего здесь обходится позднее обнаружение. Инциденты с теневым ИИ в среднем увеличивают ущерб примерно на $670 тыс.

Эксперты советуют начинать не с тотальных запретов, а с инвентаризации сервисов, поиска ключей, контроля расширений и классификации данных. Потому что запретить ChatGPT приказом легко. Гораздо сложнее заметить, что сотрудник уже загрузил туда половину проекта.

RSS: Новости на портале Anti-Malware.ru