Киберпреступники активно эксплуатируют тему коронавируса. В феврале эксперты Softline зафиксировали рост числа фишинговых рассылок с предложениями купить еще несуществующую вакцину или пройти экспресс-тест на наличие заболевания. Мошенники пользуются обеспокоенностью людей, и даже письма с новостями о коронавирусе содержат угрозу, говорит руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев: «Открыв вредоносное вложение или кликнув на ссылку, человек запускает на компьютере вирус, направленный на сбор информации, кражу конфиденциальных данных компании, персональных данных или распространение зловредных программ».
Выявлено, в частности, вредоносное программное обеспечение Remcos RAT, встроенное в PDF-документ о статистике заражений COVID-19. Фрагмент кода вносил изменения в реестр ПК, фиксировал нажатия клавиш (в том числе информацию о логинах и паролях) и передавал эти сведения на серверы злоумышленников, рассказывает технический эксперт Factor group Дмитрий Гончаров.
Злоумышленники рассылают лжеизвещения о штрафах или, наоборот, предложения материальной помощи и таким образом собирают персональные данные и реквизиты банковских карт, отмечает заместитель гендиректора ГК «Программный продукт», заместитель председателя комиссии по цифровым финансовым технологиям Торгово-промышленной палаты РФ Тимур Аитов.
До сих пор идет активная регистрация доменов, явно предназначенных для мошеннических схем, отмечает руководитель отдела технологической экспертизы управления информационной безопасности (ИБ) компании Softline Дмитрий Ковалев. Речь в том числе об интернет-магазинах для приобретения «дефицитных» товаров, сайтах с видеоконтентом, а также «юридической помощью» в получении выплат и компенсаций.
По данным «Лаборатории Касперского», в первом квартале 2020 года число скам-ресурсов (мошеннических) увеличилось в два раза по сравнению с аналогичным периодом прошлого года: эксперты нашли почти 10 тыс. подозрительных веб-страниц. Количество попыток перехода пользователей на подобные сайты выросло примерно в десять раз, почти до 15 млн. Число жертв целевых атак в марте 2020 года выросло на 6%, а количество заблокированных атак — на 35% по сравнению с февралем. В апреле и мае этот уровень сохранился.
Число утечек, спровоцированных фишинговыми атаками, в январе—мае 2020 года, по данным InfoWatch, увеличилось в два раза по сравнению с аналогичным периодом прошлого года. Такая же динамика утечек характерна для распространения вирусов-шифровальщиков.
Небезопасный офис
Хакерские группировки Maze, REvil и другие используют вирусы-шифровальщики для блокирования и шифрования захваченных в ходе атаки данных в целях получения выкупа от компании-жертвы, говорит Андрей Арсентьев. Защититься от шифровальщиков позволяют специализированные решения, а также тестирование на уязвимости в корпоративном ПО, система защиты сети от вторжений, решения по защите рабочих станций и система контроля облачной инфраструктуры, уточняет эксперт.
Но в связи со срочным переходом сотрудников на удаленку инфраструктура многих организаций оказалась уязвимой. «В домашней обстановке люди теряют бдительность; кроме того, растет число внутрикорпоративных рассылок, что повышает риск перехода на небезопасные ресурсы», — считает Дмитрий Ковалев.
Претерпели изменения атаки класса deep fake, говорит Тимур Аитов: «Вместо подделки видеообраза жертвы злоумышленники стали синтезировать голос владельца». По сообщению WSJ, по устному указанию босса из Германии сотрудник британского филиала перевел €220 тыс. на счета злоумышленников. «Подобные атаки могут повториться и у нас», — опасается Тимур Аитов.
В апреле «Лаборатория Касперского» выявила в России более 18 млн атак методом перебора паролей на устройства, поддерживающие протокол удаленного подключения к компьютеру, — в четыре-пять раз больше, чем месяцем ранее.
Злоумышленники адресно атаковали удаленных сотрудников, заражая их компьютеры, через которые потом получали доступ в корпоративную сеть, говорят в Group-IB.
Правительства и органы исполнительной власти тоже в условиях пандемии теряют бдительность и становятся жертвами хакерских атак, отмечает заместитель генерального директора по технологиям и развитию группы компаний Angara Дмитрий Пудов: «Показателен пример США, где мошенникам были выплачены сотни миллионов долларов пособий по безработице».
Интересно, что часть хакеров отказались от атак на медучреждения, чтобы не мешать помощи заболевшим, отмечают в Factor Group. Но другим, например группировке Ryuk, это не мешало фокусироваться на организациях здравоохранения. По данным Angara, в марте кибератаке подверглась одна из крупнейших больниц Чехии, что задержало процесс тестирования на коронавирус. DDoS- и другим атакам на веб-ресурсы подверглись подразделения Всемирной организации здравоохранения в разных странах. В мае объектами атак стали израильские исследовательские центры. По сообщениям Национального центра кибербезопасности Великобритании и американского Агентства по кибербезопасности и охране инфраструктуры, неустановленные злоумышленники атаковали фармацевтические компании, занятые разработкой вакцин.
Капсула для защиты
На удаленке многие компании разрешили сотрудникам использовать личные персональные компьютеры и мобильные устройства в рабочих целях, отмечает Дмитрий Гончаров: «Но гаджеты не были заранее настроены и подготовлены в соответствии с политиками информационной безопасности».
На домашние устройства невозможно распространить полный набор корпоративных средств защиты информации, считает Дмитрий Ковалев. При переходе на дистанционный режим работы, по его словам, необходимо настроить правила межсетевого экранирования и доступа к корпоративным ресурсам, а также применить решения для защиты удаленных подключений. Усилит защиту двухфакторная идентификация для доступа к бизнес-приложениям и изолирование корпоративных приложений в капсуле — специальной шифрованной области в памяти смартфона с установленным по необходимости запретом на скриншоты, копирование, передачу файлов, говорит Дмитрий Ковалев.
В связи с ростом риска DDOS-атак на интернет-ресурсы компаниям, непрерывность работы которых связана со стабильностью функционирования онлайн-площадок, необходимы специализированные защитные сервисы, считает он.
Эксперты Group-IB рекомендуют использовать систему раннего предупреждения кибератак, основанную на технологиях слежения за киберпреступниками.
Чтобы предотвратить бреши в виде открытых портов VPN-соединений, эксперты рекомендуют проверять правильность и актуальность настроек внешних корпоративных ресурсов с помощью специализированных средств, а также применять комбинированные решения для обеспечения ИБ.
Важно повышать грамотность персонала в вопросах цифровой гигиены, говорит ведущий эксперт «Лаборатории Касперского» Сергей Голованов: «Сотрудникам необходимо регулярно обновлять ПО, не переходить по сомнительным ссылкам и не использовать корпоративное устройство для скачивания файлов с торрент-трекеров или сетевых игр».
Опасение экспертов Group-IB вызывает продолжающийся активный рекрутинг в преступные сообщества новых участников. Вербовка идет через Telegram-каналы и хакерские форумы с последующим обучением и вступительными бонусами. Информационная безопасность должна быть неотъемлемой частью проектирования или модернизации новых сервисов и информационных систем, отмечает Дмитрий Пудов. Последствия же коронавируса для ИБ-систем организаций еще предстоит оценить в будущем, считает он: «В руки злоумышленников уже могла попасть чувствительная информация».
