Рост киберпреступности отмечается в большинстве стран, в том числе и в России. Согласно данным исследования компании «Ростелеком-Солар», во втором квартале командой Solar JSOC было зафиксировано более 236 тыс. событий, связанных с информационной безопасностью (ИБ) российских компаний, что на 31% превышает показатель за аналогичный период прошлого года. В целом в первом полугодии 2022 года количество ИБ-инцидентов выросло практически на четверть.
Несомненно, геополитические обстоятельства привели к изменениям и в ландшафте киберугроз — прежде всего резко возросло их количество, отмечает руководитель службы исследований, кибераналитики и развития Группы Т1 Александр Новиков. Во втором квартале 2022 года, по его словам, значительно усилилась активность хактивистских групп. В результате их атак была нарушена работа многих российских онлайн-сервисов, в том числе критических, оказались скомпрометированы данные нескольких крупных российских компаний. Аналитики российского сервиса разведки утечек данных и мониторинга даркнета DLBI, проанализировав наиболее резонансные истории 2022 года, связанные с попаданием в открытый доступ баз данных компаний «Яндекс.Еда», СДЭК, «Гемотест», и ряд других инцидентов, пришли к выводу, что основным источником утечек стал взлом злоумышленниками серверов баз данных. На него приходится 68% в общем объеме утечек, при том что в прежние годы утечки были в основном инсайдерскими — связанными с действиями недобросовестных сотрудников. «Утечка данных наносит ощутимый удар по репутации и финансовому состоянию любой организации и потому является одной из самых опасных угроз в киберпространстве», — отмечает Александр Новиков.
Бьют в цель
Эксперты отмечают смену вектора кибератак с массовых на целевые. «С начала года мы заметили всплеск сложных целенаправленных атак APT-группировок (от англ. advanced persistent threat — постоянная серьезная угроза. — РБК+)», — говорит руководитель исследовательской группы департамента аналитики ИБ компании Positive Technologies Екатерина Килюшева. Общее количество целевых атак в мире, по словам Александра Новикова, во втором квартале 2022 года в мире увеличилось на 16% год к году, в России — на 10%. Хотя Екатерина Килюшева уточняет, что все же основной рост киберпреступности в основном пока происходит за счет массовых «простых» атак.
Злоумышленников, организующих целевые атаки, интересует конкретная компания, государственная или военная организация, а иногда и целая отрасль. «Подобные атаки обычно хорошо спланированы и включают несколько этапов — от разведки и внедрения до сокрытия следов присутствия. Как правило, в результате целенаправленной атаки злоумышленники закрепляются в инфраструктуре жертвы и остаются незамеченными в течение продолжительного времени», — поясняет Александр Новиков. По его словам, был отмечен резкий рост использования политической тематики при распространении фишинговых писем APT-группировками. В одной из атак APT-группировка, к примеру, использовала сайт, содержание которого имитировало ресурс Минздрава России. Также выявлены APT-атаки на компании финансового сектора, организованные известными преступными группами FIN7, Evilnum, Mummy Spider и RedCurl.
Как показывает статистика инцидентов от SOC (security operations center) компании КРОК, в последние месяцы хакеры стали все больше обращать внимание на средний бизнес, где уровень информационной безопасности, как правило, ниже, чем в крупных компаниях. «При этом основной целью злоумышленников становятся не финансовые подразделения организаций, а отделы закупок, производства», — поясняет руководитель центра мониторинга кибербезопасности КРОК Евгений Ляпушкин.
Директор по развитию облачных и инфраструктурных решений компании «МегаФон» Александр Осипов отмечает также изменение географии киберпреступности. «В части анти-DDoS, к примеру, мы можем отслеживать, с каких IP происходят запросы со зловредным трафиком. И если до февраля—марта атаки шли в подавляющем большинстве случаев из-за границы — Латинской Америки, Азии, Восточной Европы, то сейчас хакеры поняли, что мы научились достаточно легко шейпить (ограничивать пропускную способность каналов. — РБК+) иностранный трафик, фильтровать его по геопризнаку. Поэтому они начали поднимать сеть ботнетов внутри России», — делится информацией эксперт.
На выдумки хитры
Одними из наиболее распространенных киберпреступлений являются распределенные DDoS-атаки на онлайн-сервисы и сайты частных и государственных организаций, имеющие целью перегрузить ресурсы запросами, чтобы они «упали». Согласно данным Cloudflare, наибольшее количество DDoS-атак в мире пришлось на авиационную и аэрокосмическую отрасль. Следом идут интернет-провайдеры, BFSI (банки, финансы и страхование), на четвертом месте — игровая индустрия. В России 45% DDoS-атак пришлись на банки, финансовые учреждения и страховые компании, второй по величине мишенью стала криптовалютная индустрия, за которой следуют СМИ.
Александр Новиков также отмечает усиление активности в отношении российских компаний со стороны шифровальщиков — вредоносного программного обеспечения, предназначенного для вымогательства после шифрования файлов в системе. Причем их целью, как говорит эксперт, далеко не всегда выступает непосредственная нажива, во многих случаях это стремление помешать работе бизнеса. По-прежнему в тренде у злоумышленников атаки класса supply chain (кибератака на цепочку поставок) и trusted relationship (использование расширенных прав доверенной компании, например подрядчика, партнера, интегратора, для доступа к инфраструктуре жертвы), продолжает Александр Новиков: «Привлекательной мишенью для них являются компании, занимающиеся разработкой ПО. Компрометация инфраструктуры такой организации создает угрозу проникновения в корпоративные сети множества клиентов».
В апреле—июне 2022 года был замечен ряд атак с использованием различных вредоносных библиотек с именами, схожими с легитимными популярными пакетами, рассказывает Александр Новиков: «Злоумышленники размещают их в официальных репозиториях и рассчитывают на невнимательность разработчиков, которые по ошибке могут добавить их в свои проекты». Также, по его словам, во втором квартале по отношению к январю—марту отмечено увеличение объема фишинга — остаются актуальными темы мошенничества, связанного с опросами, выплатами, поддельными сайтами, рассылками. Общее число выявленных подозрительных сайтов во втором квартале составило более 4 млн ресурсов, при том что количество новых проверенных доменов увеличилось по сравнению с первым кварталом на 8700%. При этом ресурсов с реально выявленным фишинговым контентом стало больше вдвое — 514 тыс. против 270 тыс. в январе—марте. Лидерами по популярности среди хостинг-провайдеров являются Reg-RU и Beget, отмечает представитель Т1.
Ошибки в обороне
В целом уровень защищенности российских организаций от кибератак пока оставляет желать лучшего, говорят эксперты. «Например, в 2021 году во всех компаниях, где мы проводили проверки, исследователь мог взломать сетевой периметр, получить доступ к корпоративным ресурсам и полный контроль над инфраструктурой, — рассказывает Екатерина Килюшева. — Более того, когда перед нами стояла задача проверить возможность осуществления событий, которые крайне нежелательны для деятельности компании, например протестировать возможность кражи определенной суммы денег, проведения мошеннических операций, компрометации данных клиентов, в 71% случаев это удавалось сделать». В 2022 году ситуация не улучшилась, ссылается эксперт на оценки аналитиков Positive Technologies.
Как говорит директор департамента управления рисками компании ДРТ (ранее российский офис «Делойт») Алексей Яковлев, многие компании в ходе массового ускоренного внедрения разносторонних продуктов в цифре зачастую игнорируют базовые правила кибербезопасности. «С другой стороны, при внедрении экспериментальных прототипов и использовании новых технологий возникают дополнительные угрозы, в отношении которых в компаниях еще не выработаны меры противодействия. В ряде случаев это становится препятствием для реализации проектов цифровизации», — уточняет эксперт. Даже в крупных компаниях, по его словам, всегда актуален вопрос обоснования затрат на ИБ, поэтому профильные подразделения зачастую идут по пути наименьшего сопротивления, направляя усилия в понятные технические и прикладные меры. «В итоге мы часто видим, что оценка влияния рисков ИБ на деятельность бизнеса не происходит или происходит в ограниченном масштабе, отсутствует связь с целями компании, со стратегией развития и т.д.», — говорит Алексей Яковлев.
Екатерина Килюшева, впрочем, отмечает, что в последнее время в РФ наблюдается повышенный спрос на продукты, решения и услуги по киберзащите. Прежде всего бизнес интересуют решения для анализа сетевого трафика, мониторинга событий в инфраструктуре и выявления инцидентов, решения для защиты веб-приложений.
