У киберпреступников новая бизнес-модель
Киберпреступность продолжает эволюционировать, переходя от единичных атак к построению целых «экономик» с четким разделением труда. Одним из ярких примеров является вредоносное ПО SocGholish, которое, по данным последних исследований, активно используется для создания глобальной экосистемы киберпреступлений через механику фальшивых обновлений.
«Разделение труда характерно практически всех видов человеческой деятельности, и было бы странно, если бы в деле киберпреступлений было иначе. На самом деле, ПО SocGholish существует с 2018 года, и его услугами воспользовались уже десятки APT-групп. В каком-то смысле это просто самый известный случай подобной бизнес-модели. Кроме этого, ведь существуют многочисленные конструкторы вредоносного ПО или магазины по организации DDoS-атак», — отметил руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.
Суть новой, изощренной схемы заключается во внедрении поддельных обновлений, которые искусно маскируются под легитимные. Это позволяет им незаметно проникать в системы пользователей и компаний. После успешной компрометации, SocGholish становится лазейкой для других, более специализированных кибергруппировок (APT-групп), которые покупают доступ к скомпрометированным системам для дальнейшего использования. Это может включать кражу учетных данных, финансовой информации, а также проведение целевых атак на критически важную инфраструктуру.
«Интересно тут другое: если софт существует так давно, и все ведущие вендоры ИБ о нем знают, то почему же сотни пользователей регулярно загружают себе этот вредоносный код? Ответов несколько, можно выбрать любой, наиболее приятный. Во-первых, для эффективной борьбы с такой комплексной угрозой нужно не просто поставить антивирус, но и соблюдать цифровую гигиену, а это, как показала практика, доступно не каждому. Или второй вариант – вы крупная компания, а у вас просто может не быть ресурсов для того, чтобы быть в курсе актуальных угроз и поставить задачу инженерам что-то с этим сделать. Да, вы можете подключиться к SOC, но это тоже требует усилий, а мотивация зачастую появляется после потери первых миллионов от взлома. С цифровой гигиеной мы ничего сделать не можем, а вот услуги SOC, таких как GSOC, сегодня доступны даже малому бизнесу, и это повод задуматься, стоят ли риски этой экономии», — заключил эксперт.