Последние достижения в области искусственного интеллекта привели к появлению больших языковых моделей (LLMs — Large Language Models), способных генерировать текст, похожий на человеческую речь. Хотя LLMs имеют большой технологический потенциал для полезного применения, их двойственная природа также делает их уязвимыми к злонамеренному использованию. Одной из серьезных проблем безопасности, связанных с LLM, является их возможное неправомерное использование киберпреступниками для масштабных атак.
Передовые LLM, такие как GPT-4, Claude и PaLM2, достигли непревзойденных возможностей в создании связного текста, ответах на сложные запросы, решении проблем, кодировании и многих других задачах, связанных с использованием естественного языка. Доступность и простота использования этих передовых LLM открыли новую эру для киберпреступников. В отличие от более ранних, менее сложных систем искусственного интеллекта, современные LLM предлагают мощный и экономически эффективный инструмент для хакеров, устраняя необходимость в большом опыте, времени и ресурсах. И эту ценность успешно используют киберпреступники.

Создание инфраструктуры для масштабных фишинговых кампаний стало дешевле и доступнее, даже для лиц с ограниченными техническими навыками. Такие инструменты, как FraudGPT и WormGPT уже активно используются киберпреступниками. Популярные форумы в даркнете теперь часто служат платформами для скоординированной разработки фишинговых электронных писем, поддельных веб-страниц, а также создания вредоносного программного обеспечения и уязвимостей, которые уже используются тысячами, чтобы избежать обнаружения. Эти LLM могут помочь преодолеть вызовы, с которыми сталкиваются киберпреступники. Стоит ожидать, что разработка и злонамеренное использование этих инструментов ускорится в 2024 году.

Доступность бесплатного программного обеспечения с открытым исходным кодом привела к появлению так называемых "Script Kiddies" — людей, которые вообще не имеют или почти не имеют технических знаний, но используют уже имеющиеся автоматизированные инструменты или скрипты для запуска кибератак. Их иногда называют неквалифицированными любителями или подражателями Блэкхета. Однако растущая доступность передовых инструментов генеративного AI и их потенциал для злонамеренного использования означает, что Script Kiddies представляют значительную угрозу для постоянно растущего рынка.

Сейчас в интернете полно инструментов, которые используют искусственный интеллект для облегчения жизни людей: создание презентаций, создание голосовых заметок, написание аргументированных статей и многое другое. Многие из самых известных инструментов, таких как ChatGPT, Bard или Perplexity AI, оснащены механизмами безопасности, которые предотвращают написание вредоносного кода. Однако это не касается всех инструментов AI, доступных на рынке, особенно тех, что разрабатываются в даркнете.

Это лишь вопрос времени, когда киберпреступники получат доступ к неограниченному генеративному AI, который сможет писать вредоносный код, создавать фальшивые видео, помогать в схемах социальной инженерии и тому подобное. Это облегчит проведение сложных масштабных атак для преступников-любителей. Кроме того, широкое использование таких инструментов для эксплуатации уязвимостей сделает анализ первопричин атак более сложной задачей для специалистов по защите. Поэтому эта сфера требует тщательного мониторинга в 2024 году.

Рост количества мошенничеств с использованием голосов, сгенерированных искусственным интеллектом, является тревожной тенденцией, которая будет расти в следующем году, создавая значительные риски для частных лиц и организаций. Эти схемы часто используют тактику социальной инженерии, когда мошенники прибегают к психологическим манипуляциям, чтобы обманом заставить людей совершить определенные действия, например, раскрыть личную информацию или осуществить финансовые транзакции. Голоса, сгенерированные искусственным интеллектом, играют в этом решающую роль, поскольку они могут вызвать у жертв доверие и ощущение срочности, делая их более уязвимыми к манипуляциям.

Последние достижения в области искусственного интеллекта значительно улучшили качество голосов, сгенерированных искусственным интеллектом. Теперь они могут точно имитировать речевые паттерны и нюансы человека, что делает все более сложной дифференциацию между настоящими и фальшивыми голосами. Кроме того, доступность и дешевизна инструментов для генерации AI-голосов демократизировали их использование. Даже люди без технических знаний могут легко использовать эти инструменты для создания убедительных искусственных голосов, что расширяет возможности мошенников.

Масштабируемость — еще один ключевой фактор. Мошенники могут использовать голоса, сгенерированные искусственным интеллектом, для автоматизации и усиления своей мошеннической деятельности. Они могут одновременно обращаться к многочисленным потенциальным жертвам с помощью персонализированных голосовых сообщений или звонков, увеличивая свой охват и эффективность. Обнаружение сгенерированных искусственным интеллектом голосов в режиме реального времени является серьезным вызовом, особенно для людей, которые не знакомы с этой технологией. Растущая аутентичность голосов искусственного интеллекта затрудняет различение настоящих и мошеннических сообщений. Кроме того, эти аферы не ограничиваются языковыми барьерами, что позволяет мошенникам выбирать жертв в разных географических регионах и с разным языковым происхождением.

Количество фишинговых и вишинговых атак растет. Логичным следующим шагом будет то, что по мере совершенствования технологии искусственного голоса злоумышленники будут использовать эти приложения для общения с жертвами в режиме реального времени, выдавая себя за легитимных лиц, чтобы повысить эффективность своих махинаций.

Решения для управляемой передачи файлов (Managed file transfer, MFT), предназначенные для безопасного обмена конфиденциальными данными между организациями, по своей сути являются сокровищницей конфиденциальной информации. Это может быть интеллектуальная собственность, данные клиентов, финансовая отчетность и многое другое. Решения MFT играют важную роль в современных бизнес-операциях, поскольку организации в значительной степени полагаются на них для обеспечения беспрепятственного обмена данными как внутри, так и извне. Любой сбой или компрометация этих систем может привести к значительным операционным простоям, запятнанной репутации и финансовым потерям. Это делает их очень привлекательными целями для злоумышленников, которые осознают, как потенциальное влияние увеличивает масштаб их требований.

Кроме того, сложность систем MFT и их интеграция во внутреннюю бизнес-сеть часто создает слабые места и уязвимости в системе безопасности, которыми могут воспользоваться киберпреступники. Только за последний месяц мы стали свидетелями того, как группа Cl0P использовала решение Go-anywhere MFT и брешь в MOVEit, превратив одну успешную атаку в большую глобальную брешь в цепочке поставок программного обеспечения. В следующем году мы ожидаем, что такие типы атак будут только увеличиваться с участием многочисленных субъектов угроз. Поэтому организациям следует тщательно пересмотреть свои решения для управляемой передачи файлов, внедрить решения DLP и зашифровать конфиденциальные данные, чтобы защитить себя.

В последнее время увеличилось использование таких языков программирования, как Golang, Nim и Rust для разработки вредоносного программного обеспечения. Хотя этот показатель все еще низкий по сравнению с другими языками, такими как C или C++, вероятно, что это изменится в будущем.

Простота и возможности параллельной работы Go сделали его любимым инструментом для создания легкого и быстрого вредоносного ПО. Nim ориентирован на производительность и выразительность, поэтому его используют для создания сложного вредоносного ПО. Функции управления памятью Rust привлекают группы вымогателей и других злоумышленников, которые озабочены эффективностью шифрования образцов вредоносных программ.

Сложность добавляет отсутствие комплексных инструментов анализа для этих языков. Относительная новизна Nim и Rust означает, что устоявшийся инструментарий безопасности для них менее распространен по сравнению с такими языками, как C или Python. Такой дефицит инструментов анализа создает значительные трудности для экспертов по кибербезопасности, которые стремятся анализировать и противодействовать вредоносному программному обеспечению, написанному на этих языках.

В последние месяцы мы уже наблюдаем рост количества вредоносных программ на языке Golang. Поэтому, можно ожидать, что в 2024 году мы увидим всплеск вредоносного ПО на Golang, Nim, Rust и подобных языках.

Поскольку группы злоумышленников преследуют прежде всего финансовые цели, неудивительно, что они находят новые способы требовать от своих жертв больше денег и давить на них, чтобы те заплатили выкуп. Мы начинаем наблюдать, как группы злоумышленников связываются с клиентами своих жертв как новый способ давления и борьбы с недавними противодействиями в отношении программ-вымогателей. Это позволяет им требовать выкуп за похищенные данные не только непосредственно у жертвы атаки, но и у клиентов жертвы, которые могут пострадать от похищенных данных.

Не новость, что группы злоумышленников находят способы использовать средства массовой информации и общественное давление на своих жертв. В 2022 году одна из крупнейших австралийских компаний медицинского страхования пострадала от утечки данных. Одновременно с требованием выкупа от страховой компании злоумышленники обнародовали значительную часть медицинских данных, что привело к давлению со стороны общественности и чиновников с требованием заплатить злоумышленникам, чтобы они удалили медицинскую информацию. Кроме того, из-за чрезвычайно частного характера данных, которые обнародовались, клиенты приходили к витринам страховой компании и предлагали заплатить за удаление их собственных данных. В 2023 году, наблюдая за подобным событием, группа злоумышленников угрожала связаться с клиентами компаний, которые они скомпрометировали, предлагая им заплатить, чтобы удалить их конфиденциальную информацию из разоблаченных данных.

Поскольку эта дополнительная форма вымогательства приобретает все большую популярность, она добавляет злоумышленникам дополнительный метод. Вероятно, что изменение ландшафта, когда группы вымогателей чаще будут искать организации, которые обрабатывают не только конфиденциальную личную информацию, но и интимные данные, которые могут быть использованы для вымогательства выкупа у клиентов. Неудивительно, что в 2024 году под удар таких групп попадут отрасли здравоохранения, социальных сетей, образования и SaaS.

Критическая угроза безопасности проведения выборов остается базовой и часто начинается с электронных писем или SMS-сообщений, когда злоумышленники активно атакуют членов избирательных комиссий, используя креативные фишинговые схемы, чтобы скомпрометировать их учетные данные. Достаточно лишь оглянуться на три года назад, когда это активно использовалось на выборах в США, чтобы сфокусироваться на ключевых чиновниках в четырех штатах, где шла борьба за власть. Ситуация не изменится и в этом избирательном цикле, если не обеспечить защиту лиц, участвующих в выборах на всех уровнях - от членов избирательных комиссий на городском и национальном уровнях до волонтеров.

Кибератаки, такие как spear-фишинг и усовершенствованная имитация, продолжают использовать электронную почту в качестве основной точки входа, поскольку ее можно очень легко настроить и сосредоточить на все более успешной эксплуатации. С приближением выборов 2024 года все, кто участвует в процессе, должны продолжать внимательно изучать электронные письма и не доверять незнакомым гиперссылкам. Они должны быть особенно осторожными в отношении высокоцелевых и изощренных атак с использованием подставных лиц, компрометации деловой электронной почты (Business Email Compromise, BEC) и spear-фишинговых кампаний. Также стоит рассмотреть возможность использования решений для обнаружения и блокировки современных вредоносных файлов и URL-адресов.

Участие в выборах расширяет права и возможности каждого человека, но эта роль также возлагает на него большую ответственность. Каждый участник должен знать о тех, кто пытается повлиять на избирательный процесс незаконным способом, и быть готовым к этому.

Инсайдерские угрозы представляют многогранный риск, который влияет на государственные и частные организации во всем мире. Такие угрозы касаются любого лица — работника, подрядчика или партнера. Это также могут быть лица с несанкционированным доступом, которые имели или имеют доступ к критически важным организационным активам, включая оборудование, информацию, сети и системы. Согласно последнему отраслевому анализу, инсайдерские угрозы выросли на 47% за последние два года, что привело к общим потерям в размере 15,38 млн долларов США на локализацию этих инцидентов.

Эта угроза подрывает конфиденциальность и целостность организации, помогая противникам собирать разведывательные данные, проводить саботажные операции и использовать методы обмана для достижения своих подлых целей. Поскольку количество подключенных устройств продолжает расти, а гибридные и удаленные рабочие группы неизменно существуют, внутренние угрозы будут только увеличиваться.

Гнущийся характер внутренних угроз является огромным вызовом для людей, процессов и технологий. Чтобы сохранить доверие стейкхолдеров, организациям необходимо идентифицировать, оценивать, выявлять и управлять этими внутренними угрозами в современном ландшафте угроз.

Рост количества фишинговых кампаний на основе QR-кодов является тревожной тенденцией. Поскольку наша повседневная жизнь все больше зависит от цифрового взаимодействия, злоумышленники адаптируют свою тактику для использования новых уязвимостей. QR-коды, изначально разработанные для удобства и эффективности, стали привлекательным инструментом для киберпреступников, который они используют как вектор атаки.

Одной из основных причин ожидаемого увеличения количества фишинговых кампаний, ориентированных на QR-коды, является их правдоподобность. Во время пандемии COVID-19 QR-коды стали необходимыми в различных аспектах повседневной жизни: от бесконтактных платежей до ресторанных меню. В результате люди привыкли сканировать QR-коды без особых раздумий, считая их безопасными. Этим чувством доверия могут воспользоваться киберпреступники, которые встраивают вредоносные ссылки или перенаправляют жертв на фальшивые веб-сайты. Вероятно, что QR-коды также будут использоваться для распространения широко известных семейств вредоносных программ.

Простота создания и распространения QR-кодов снизила барьер для входа в мир фишинга и распространения вредоносного программного обеспечения. Любой может сгенерировать QR-код и встроить в него вредоносную ссылку, что делает его недорогим, эффективным и доступным для киберпреступников методом поиска жертв. Более того, QR-коды предлагают хакерам незаметный способ доставки своей полезной нагрузки. Пользователи могут даже не догадываться, что стали жертвой фишинговой атаки, пока не станет слишком поздно. Это усложняет процесс обнаружения и предотвращения.

Обычные почтовые решения часто не способны обнаружить эти атаки, что делает их привлекательным вариантом для киберпреступников сегодня. Поскольку злоумышленники продолжают совершенствовать свою тактику и создавать убедительные фишинговые приманки, вероятность успеха таких кампаний будет расти. Чтобы противостоять растущей угрозе QR-фишинга, пользователи должны проявлять осторожность при сканировании кодов, особенно из неизвестных или подозрительных источников.

Происходят незаметные изменения в ландшафте угроз, которые сосредотачиваются на сфере периферийных устройств и часто остаются без внимания. Эти неприхотливые компоненты, включая брандмауэры, маршрутизаторы, VPN, коммутаторы, мультиплексоры и шлюзы, становятся новым рубежом для групп Advanced Persistent Threat (APT). Что отличает эту ситуацию от обычной, так это изощренность угрозы: речь идет не о легко предсказуемых уязвимостях IoT, а о менее заметных вызовах, которые возникают со стороны самих периферийных устройств.

Периферийные устройства имеют свои уникальные сложности. Однако проблема заключается в их внутренней неспособности обнаруживать вторжения. В отличие от традиционных сетевых компонентов, это не так просто, как прикрутить еще один IDS или IPS. Шлюзы в нашем цифровом мире по своей сути являются первой и последней линией защиты. Это делает их одновременно и мишенью, и слепой зоной. Тактика APT-групп постоянно эволюционирует, а в сочетании с разнообразием архитектур периферийных устройств представляет огромный вызов. Решения для таких платформ, как MIPS или ARM, все еще находятся в зачаточном состоянии, когда речь идет о надежном обнаружении вторжений. Для ландшафта угроз, который является постоянной игрой в кошки-мышки, — это область, где мыши невероятно ловкие.

По мере того, как мы продолжаем двигаться в цифровую эпоху, когда в нашей жизни появляется все больше подключенных устройств и услуг, поле кибернетической битвы не всегда находится там, где мы его ожидаем. 2024 год приносит с собой новую реальность: малоизученные уязвимости в наших шлюзах, маршрутизаторах и VPN тщательно исследуются и искусно эксплуатируются. Чтобы защитить цифровые устройства, мы должны адаптироваться и укрепить нашу защиту от изощренных, но решительных противников.

После того, как корпорация Майкрософт внедрила защитные меры для блокировки интернет-макросов в Excel по умолчанию, использование макросов злоумышленниками ожидаемо снизилось. Вместо этого они изучают альтернативные векторы атак, в частности менее известные или недостаточно используемые, такие как документы OneNote. Однако, учитывая недавнее создание и выпуск Python в Excel, вероятно, что это может стать новым потенциальным вектором для киберпреступников.
Поскольку и злоумышленники, и защитники продолжают изучать функциональность Python в Excel, гарантированно, что злоумышленники начнут использовать эту новую технологию в кибератаках. Поскольку код Python выполняется в контейнерах на Azure, он может получить доступ к локальным файлам с помощью Power Query. При создании и выпуске Python в Excel компания Microsoft учитывала вопросы безопасности и утверждает, что нет никакой связи между кодом Python и макросами Visual Basic for Applications (VBA). Кроме того, он предоставляет очень ограниченный доступ к локальной машине и Интернету, используя только часть дистрибутива Anaconda для Python.
Однако существует потенциальная возможность злоупотребления из-за уязвимости или неправильной конфигурации, если субъект угрозы найдет ее. Ограничения Microsoft сужают игровое поле, но не меняют того факта, что эта новая функциональность создает благоприятные условия для злоумышленников.

Многие недавние инциденты безопасности показали, что уязвимые драйверы представляют значительную угрозу, поскольку их можно использовать для скрытого настойчивого вывода из строя защитных решений на ранних стадиях. Во время таких атак злоумышленники сбрасывают на устройства жертв легитимные драйверы, подписанные действительным сертификатом и способные работать с привилегиями ядра. Успешная эксплуатация позволяет злоумышленникам достичь эскалации привилегий на уровне ядра, что предоставляет им самый высокий уровень доступа и контроля над системными ресурсами жертвы.
Недавно в заголовки новостей попали проект ZeroMemoryEx Blackout, инструмент The Terminator от Spyboy и инструмент AuKill — это примеры использования уязвимых драйверов для обхода средств защиты и выполнения вредоносных кодов. Существуют определенные функции и инициативы для защиты от этой атаки, такие как Vulnerable Driver Blocklist от Microsoft и проект LOL Drivers. Однако это не меняет того факта, что эти атаки легко и просто выполняются с повышенной вероятностью успешного заражения и большей доступностью уязвимых драйверов. Поэтому в 2024 году мы можем увидеть больше таких уязвимых эксплойтов на основе драйверов, и они будут иметь значительное влияние.