Останні досягнення в галузі штучного інтелекту привели до появи великих мовних моделей (LLMs — Large Language Models), здатних генерувати текст, схожий на людську мову. Хоча LLMs мають неабиякий технологічний потенціал для корисного застосування, їхня подвійна природа також робить їх вразливими до зловмисного використання. Однією з серйозних проблем безпеки, пов'язаних з LLM, є їх можливе неправомірне використання кіберзлочинцями для масштабних атак.

Передові LLM, такі як GPT-4, Claude і PaLM2, досягли неперевершених можливостей у створенні зв'язного тексту, відповідях на складні запити, розвʼязанні проблем, кодуванні та багатьох інших завданнях, пов'язаних з використанням природної мови. Доступність і простота використання цих передових LLM відкрили нову еру для кіберзлочинців. На відміну від більш ранніх, менш складних систем штучного інтелекту, сучасні LLM пропонують потужний і економічно ефективний інструмент для хакерів, усуваючи необхідність у великому досвіді, часі та ресурсах. І цю цінність успішно використовують кіберзлочинці.

Створення інфраструктури для масштабних фішингових кампаній стало дешевшим і доступнішим, навіть для осіб з обмеженими технічними навичками. Такі інструменти, як FraudGPT та WormGPT, вже активно використовуються кіберзлочинцями. Популярні форуми в даркнеті тепер часто слугують платформами для скоординованої розробки фішингових електронних листів, підроблених вебсторінок, а також створення шкідливого програмного забезпечення та вразливостей, які вже використовуються тисячами, щоб уникнути виявлення. Ці LLM можуть допомогти подолати виклики, з якими стикаються кіберзлочинці. Варто очікувати, що розробка та зловмисне використання цих інструментів прискориться у 2024 році.

Доступність безкоштовного програмного забезпечення з відкритим вихідним кодом призвела до появи так званих “Script Kiddies” — людей, які зовсім не мають або майже не мають технічних знань, але використовують вже наявні автоматизовані інструменти або скрипти для запуску кібератак. Їх іноді називають некваліфікованими аматорами або наслідувачами Блекхета. Проте чимраз більша доступність передових інструментів генеративного AI та їх потенціал для зловмисного використання означає, що Script Kiddies становлять значну загрозу для ринку, що постійно зростає.

Зараз в інтернеті повно інструментів, які використовують штучний інтелект для полегшення життя людей: створення презентацій і голосових нотаток, написання аргументованих статей та багато іншого. Багато з відомих інструментів, таких як ChatGPT, Bard або Perplexity AI, оснащені механізмами безпеки, які запобігають написанню шкідливого коду. Однак це не стосується всіх інструментів ШІ, доступних на ринку, особливо тих, що розробляються в даркнеті.

Це лише питання часу, коли кіберзлочинці отримають доступ до необмеженого генеративного AI, який зможе писати зловмисний код, створювати фальшиві відео, допомагати у схемах соціальної інженерії тощо. Це полегшить проведення складних масштабних атак для злочинців-аматорів. Крім того, широке використання таких інструментів для експлуатації вразливостей зробить аналіз першопричин атак складнішим завданням для фахівців із захисту. Тому ця сфера потребує ретельного моніторингу у 2024 році.

Зростання кількості шахрайств із використанням голосів, згенерованих штучним інтелектом, є тривожною тенденцією, яка зростатиме в наступному році, створюючи значні ризики для приватних осіб та організацій. Ці схеми часто використовують тактику соціальної інженерії, коли шахраї вдаються до психологічних маніпуляцій, щоб обманом змусити людей вчинити певні дії, наприклад, розкрити особисту інформацію або здійснити фінансові транзакції. Голоси, згенеровані штучним інтелектом, відіграють у цьому вирішальну роль, оскільки вони можуть викликати у жертв довіру і відчуття терміновості, роблячи їх більш вразливими до маніпуляцій.

Останні досягнення в галузі штучного інтелекту значно покращили якість голосів, згенерованих штучним інтелектом. Тепер вони можуть точно імітувати мовленнєві патерни та нюанси людини, що робить дедалі складнішою диференціацію між справжніми та фальшивими голосами. Крім того, доступність і дешевизна інструментів для генерації AI-голосів демократизували їх використання. Навіть люди без технічних знань можуть легко використовувати ці інструменти для створення переконливих штучних голосів, що розширює можливості шахраїв.

Масштабованість — ще один ключовий фактор. Шахраї можуть використовувати голоси, згенеровані штучним інтелектом, для автоматизації та посилення своєї шахрайської діяльності. Вони можуть одночасно звертатися до численних потенційних жертв за допомогою персоналізованих голосових повідомлень або дзвінків, збільшуючи своє охоплення та ефективність. Виявлення згенерованих штучним інтелектом голосів у режимі реального часу є серйозним викликом, особливо для людей, які не знайомі з цією технологією. Зростаюча автентичність голосів штучного інтелекту ускладнює розрізнення справжніх і шахрайських повідомлень. Крім того, ці афери не обмежуються мовними бар'єрами, що дозволяє шахраям обирати жертв у різних географічних регіонах і з різним мовним походженням.

Кількість фішингових та вішингових атак зростає. Логічним наступним кроком буде те, що в міру вдосконалення технології штучного голосу зловмисники використовуватимуть ці додатки для спілкування з жертвами в режимі реального часу, видаючи себе за легітимних осіб, щоб підвищити ефективність своїх махінацій.

Рішення для керованої передачі файлів (Managed file transfer, MFT), призначені для безпечного обміну конфіденційними даними між організаціями, за своєю суттю є скарбницею конфіденційної інформації. Це може бути інтелектуальна власність, дані клієнтів, фінансова звітність та багато іншого. Рішення MFT відіграють важливу роль у сучасних бізнес-операціях, оскільки організації значною мірою покладаються на них для забезпечення безперешкодного обміну даними як всередині, так і ззовні. Будь-який збій або компрометація цих систем може призвести до значних операційних простоїв, заплямованої репутації та фінансових втрат. Це робить їх дуже привабливими цілями для зловмисників, які усвідомлюють, як потенційний вплив може збільшити масштаби вимог хакерів.

Крім того, складність систем MFT та їх інтеграція у внутрішню бізнес-мережу часто створює слабкі місця та вразливості в системі безпеки, якими можуть скористатися кіберзлочинці. Лише за останній місяць ми стали свідками того, як група Cl0P використала рішення Go-anywhere MFT та пролом у MOVEit, перетворивши одну успішну атаку на великий глобальний пролом у ланцюжку постачання програмного забезпечення. У наступному році ми очікуємо, що такі типи атак будуть тільки збільшуватися за участю численних суб'єктів загроз. Тому організаціям слід ретельно переглянути свої рішення для керованої передачі файлів, впровадити рішення DLP та зашифрувати конфіденційні дані, щоб захистити себе.

Останнім часом збільшилося використання таких мов програмування, як Golang, Nim та Rust для розробки шкідливого програмного забезпечення. Хоча цей показник все ще низький порівняно з іншими мовами, такими як C або C++, ймовірно що це зміниться в майбутньому.

Простота та можливості паралельної роботи Go зробили його улюбленим інструментом для створення легкого та швидкого шкідливого ПЗ. Nim орієнтований на продуктивність і виразність, тому його використовують для створення складного зловмисного ПЗ. Функції керування пам'яттю Rust приваблюють групи вимагачів та інших зловмисників, які переймаються ефективністю шифрування зразків зловмисних програм.

Складності додає відсутність комплексних інструментів аналізу для цих мов. Відносна новизна Nim та Rust означає, що усталений інструментарій безпеки для них менш поширений порівняно з такими мовами, як C або Python. Такий дефіцит інструментів аналізу створює значні труднощі для експертів з кібербезпеки, які прагнуть аналізувати шкідливе програмне забезпечення, написане цими мовами, та протидіяти йому.

В останні місяці ми вже спостерігаємо зростання кількості зловмисних програм на мові Golang. Тому, можна очікувати, що у 2024 році ми побачимо бум шкідливого ПЗ на Golang, Nim, Rust та подібних мовах.

Оскільки групи зловмисників мають насамперед фінансові цілі, не дивно, що вони знаходять нові способи вимагати від своїх жертв більше грошей і тиснути на них, щоб ті заплатили викуп. Ми починаємо спостерігати, як групи зловмисників зв'язуються з клієнтами своїх жертв, - і це новий спосіб тиску та боротьби з нещодавніми протидіями щодо програм-вимагачів. Це дозволяє їм вимагати викуп за викрадені дані не лише безпосередньо у жертви атаки, але й у клієнтів жертви, які можуть постраждати від викрадення даних.

Не новина, що групи зловмисників знаходять способи використовувати засоби масової інформації та громадський тиск на своїх жертв. У 2022 році одна з найбільших австралійських компаній медичного страхування постраждала від витоку даних. Одночасно з вимогою викупу від страхової компанії зловмисники оприлюднили значну частину медичних даних, що призвело до тиску з боку громадськості та чиновників із закликами заплатити зловмисникам, щоб вони видалили медичну інформацію. Крім того, через надзвичайно приватний характер даних, що оприлюднювалися, клієнти приходили до вітрин страхової компанії й пропонували заплатити за видалення їхніх власних даних. У 2023 році, спостерігаючи за подібною подією, група зловмисників погрожувала зв'язатися з клієнтами компаній, які вони скомпрометували, пропонуючи їм заплатити, щоб хакери видалити їхню конфіденційну інформацію з викритих даних.

Оскільки ця додаткова форма вимагання набуває все більшої популярності, вона додає зловмисникам додатковий метод. Ймовірно, що зміну ландшафту, коли групи вимагачів частіше шукатимуть організації, які обробляють не лише конфіденційну особисту інформацію, але й інтимні дані, які можуть бути використані для вимагання викупу у клієнтів. Не дивно, що у 2024 році під удар таких груп потраплять галузі охорони здоров'я, соціальних мереж, освіти та SaaS.

Критична загроза безпеці проведення виборів залишається базовою і часто починається з електронних листів або SMS-повідомлень, коли зловмисники активно атакують членів виборчих комісій, використовуючи креативні фішингові схеми, щоб скомпрометувати їхні облікові дані. Достатньо лише озирнутися на три роки назад, коли це активно використовувалося на виборах в США, щоб сфокусуватися на ключових посадовцях у чотирьох штатах, де йшла боротьба за владу. Ситуація не зміниться і в цьому виборчому циклі, якщо не забезпечити захист осіб, які беруть участь у виборах на всіх рівнях — від членів виборчих комісій на міському та національному рівнях до волонтерів.

Кібератаки, такі як spear-фішинг і вдосконалена імітація, продовжують використовувати електронну пошту як основну точку входу, оскільки її можна дуже легко налаштувати та зосередити на все більш успішній експлуатації. З наближенням виборів 2024 року всі, хто бере участь у процесі, повинні продовжувати уважно вивчати електронні листи та не довіряти незнайомим гіперпосиланням. Вони повинні бути особливо обережними стосовно високоцільових і витончених атак з використанням підставних осіб, компрометації ділової електронної пошти (Business Email Compromise, BEC) і spear-фішингових кампаній. Також варто розглянути можливість використання рішень для виявлення та блокування сучасних шкідливих файлів та URL-адрес.

Участь у виборах розширює права та можливості кожної людини, але ця роль також покладає на неї велику відповідальність. Кожен учасник повинен знати про тих, хто намагається вплинути на виборчий процес у незаконний спосіб, і бути готовим до цього.

Інсайдерські загрози становлять багатогранний ризик, який впливає на державні та приватні організації в усьому світі. Такі загрози стосуються будь-якої особи - працівника, підрядника, або партнера. Це також можуть бути особи з несанкціонованим доступом, які мали або мають доступ до критично важливих організаційних активів, включно з обладнанням, інформацією, мережами та системами. Згідно з останнім галузевим аналізом, інсайдерські загрози зросли на 47% за останні два роки, що призвело до загальних втрат у розмірі 15,38 млн доларів США на локалізацію цих інцидентів.

Ця загроза підриває конфіденційність і цілісність організації, допомагаючи зловмисникам збирати розвідувальні дані, проводити саботажні операції і використовувати методи обману для досягнення своїх підлих цілей. Оскільки кількість підключених пристроїв продовжує зростати, а гібридні та віддалені робочі групи незмінно існують, внутрішні загрози тільки збільшуватимуться.

Стрімкий характер внутрішніх загроз є величезним викликом для людей, процесів і технологій. Щоб зберегти довіру стейкхолдерів, організаціям необхідно ідентифікувати, оцінювати, виявляти внутрішні загрози та керувати ними в сучасному ландшафті загроз.

Зростання кількості фішингових кампаній на основі QR-кодів є тривожною тенденцією. Оскільки наше повсякденне життя все більше залежить від цифрової взаємодії, зловмисники адаптують свою тактику для використання нових вразливостей. QR-коди, спочатку розроблені для зручності та ефективності, стали привабливим інструментом для кіберзлочинців, який вони використовують як вектор атаки.

Однією з основних причин очікуваного збільшення кількості фішингових кампаній, орієнтованих на QR-коди, є їхня правдоподібність. Під час пандемії COVID-19 QR-коди стали необхідними в різних аспектах повсякденного життя, від безконтактних платежів до ресторанних меню. В результаті люди звикли сканувати QR-коди без особливих роздумів, вважаючи їх безпечними. Цим почуттям довіри можуть скористатися кіберзлочинці, які вбудовують шкідливі посилання або перенаправляють жертв на фальшиві вебсайти. Ймовірно, що QR-коди також будуть використовуватися для розповсюдження широко відомих сімейств шкідливих програм.

Простота створення та розповсюдження QR-кодів знизила бар'єр для входу у світ фішингу та розповсюдження шкідливого програмного забезпечення. Будь-хто може згенерувати QR-код і вбудувати в нього шкідливе посилання, що робить його недорогим, ефективним і доступним для кіберзлочинців методом пошуку жертв. Більше того, QR-коди пропонують хакерам непомітний спосіб доставки свого корисного навантаження. Користувачі можуть навіть не здогадуватися, що стали жертвою фішингової атаки, поки не стане занадто пізно. Це ускладнює процес виявлення та запобігання.

Звичайні поштові рішення часто не здатні виявити ці атаки, що робить їх привабливим варіантом для кіберзлочинців сьогодні. Оскільки зловмисники продовжують вдосконалювати свою тактику і створювати переконливі фішингові приманки, ймовірність успіху таких кампаній буде зростати. Щоб протистояти все більшій загрозі QR-фішингу, користувачі повинні проявляти обережність під час сканування кодів, особливо з невідомих або підозрілих джерел.

Відбуваються непомітні зміни в ландшафті загроз, які зосереджуються на сфері периферійних пристроїв, що часто залишаються поза увагою. Ці невибагливі компоненти, включно з брандмауерами, маршрутизаторами, VPN, комутаторами, мультиплексорами та шлюзами, стають новою межею для груп Advanced Persistent Threat (APT). І відрізняє цю ситуацію від звичайної витонченість загрози: йдеться не про легко передбачувані вразливості IoT, а про менш помітні виклики, які виникають з боку самих периферійних пристроїв.

Периферійні пристрої мають свої унікальні складнощі. Однак проблема полягає в їхній внутрішній нездатності виявляти вторгнення. На відміну від традиційних мережевих компонентів, це не так просто, як прикрутити ще один IDS або IPS. Шлюзи до нашого цифрового світу за своєю суттю є першою і останньою лінією захисту. Це робить їх одночасно і мішенню, і сліпою зоною. Тактика APT-груп постійно еволюціонує, а в поєднанні з різноманітністю архітектур периферійних пристроїв є величезним викликом. Рішення для таких платформ, як MIPS або ARM, все ще перебувають у зародковому стані, коли йдеться про надійне виявлення вторгнень. Для ландшафту загроз, який є постійною грою в кішки-мишки, — це ділянка, де миші є неймовірно спритними.

У міру того, як ми продовжуємо рухатися в цифрову епоху, коли в нашому житті з'являється все більше підключених пристроїв і послуг, поле кібернетичної битви не завжди розташоване там, де ми його очікуємо. 2024 рік приносить з собою нову реальність: маловивчені вразливості в наших шлюзах, маршрутизаторах і VPN ретельно досліджуються і майстерно експлуатуються. Щоб захистити цифрові пристрої, ми повинні адаптуватися і зміцнити наш захист від витончених, але рішучих супротивників.

Після того, як корпорація Майкрософт впровадила захисні заходи для блокування інтернет-макросів в Excel за замовчуванням, використання макросів зловмисниками очікувано зменшилося. Замість цього вони вивчають альтернативні вектори атак, зокрема менш відомі або недостатньо використовувані, такі як документи OneNote. Однак, зважаючи на нещодавнє створення та випуск Python в Excel, ймовірно, що це може стати новим потенційним вектором для кіберзлочинців.
Оскільки і зловмисники, і захисники продовжують вивчати функціональність Python в Excel, гарантовано, що зловмисники почнуть використовувати цю нову технологію в кібератаках. Оскільки код Python виконується в контейнерах на Azure, він може отримати доступ до локальних файлів за допомогою Power Query. Під час створення та випуску Python в Excel компанія Microsoft враховувала питання безпеки й стверджує, що немає жодного зв'язку між кодом Python та макросами Visual Basic for Applications (VBA). Крім того, він надає дуже обмежений доступ до локальної машини та Інтернету, використовуючи лише частину дистрибутиву Anaconda для Python.
Однак існує потенційна можливість зловживання через вразливість або неправильну конфігурацію, якщо суб'єкт загрози знайде її. Обмеження Microsoft звужують ігрове поле, але не змінюють того факту, що ця нова функціональність створює сприятливі умови для зловмисників.

Багато нещодавніх інцидентів безпеки показали, що вразливі драйвери становлять значну загрозу, оскільки їх можна використовувати для прихованого наполегливого виведення з ладу захисних рішень на ранніх стадіях. Під час таких атак зловмисники скидають на пристрої жертв легітимні драйвери, підписані дійсним сертифікатом і здатні працювати з привілеями ядра. Успішна експлуатація дозволяє зловмисникам досягти ескалації привілеїв на рівні ядра, що надає їм найвищий рівень доступу та контролю над системними ресурсами жертви.
Нещодавно до заголовків новин потрапив проєкт ZeroMemoryEx Blackout, інструмент The Terminator від Spyboy та інструмент AuKill — це приклади використання вразливих драйверів для обходу засобів захисту та виконання шкідливих кодів. Існують певні функції та ініціативи для захисту від цієї атаки, такі як Vulnerable Driver Blocklist від Microsoft та проєкт LOL Drivers. Однак це не змінює того факту, що ці атаки легко і просто виконуються, з підвищеною ймовірністю успішного зараження і більшою доступністю вразливих драйверів. Тому у 2024 році ми можемо побачити більше таких вразливих експлойтів на основі драйверів, і вони матимуть значний вплив.