Кибератаки
Кибератаки могут воздействовать на информационное пространство компьютера, в котором находятся сведения, хранятся материалы физического или виртуального устройства. Атака, обычно, поражает носитель данных, специально предназначенный для их хранения, обработки и передачи личной информации пользователя.
Число кибератак в России и в мире
Основная статья: Число кибератак в России и в мире
Атаки в кибервойнах между странами
Часть сообщений о кибератаках является частью пропаганды стран в рамках кибервойн и не имеют за собой никаких доказательств.
- Кибервойны
- Кибервойна России и США
- Кибервойна России и Великобритании
- Кибервойна России и Украины
- Кибератаки в конфликте Израиля и Палестины
Модели кибератак
Цели атак
- APT - Таргетированные или целевые атаки
- Атаки на DNS-сервера
- DoS-атаки на сети доставки контента, CDN Content Delivery Network
Кибератаки на автомобили
Основная статья: Кибератаки на автомобили
Инструменты атак
- Фишинг
- Троян
- DDoS-атака
- Ботнет
- Backdoor
- Черви
- Классические файловые вирусы
- Вирусы-вымогатели (шифровальщики) Ransomware
- Вредоносная программа (зловред)
- Руткит
- Фрод
- Флуд (Flood)
- Угрозы безопасности общения в мобильной сети
- Социальная инженерия
Кибератаки в ключевых отраслях
- Безопасность критической информационной инфраструктуры РФ
- Информационная безопасность в банках
- Информационная безопасность в ритейле
- Информационная безопасность в электронной коммерции
- Информационная безопасность в логистике и на транспорте
- Информационная безопасность в медицине
- Информационная безопасность в судах
Защита компании от кибератак
Основная статья: Информационная безопасность в компании
Хроника событий
2024
Обнаружена волна кибератак с использованием фальшивых тестов CAPTCHA
«Лаборатория Касперского» обнаружила волну атак с помощью фальшивых «капчей» — тестов, позволяющих отличить человека от бота, а также сообщений об ошибке в браузере, стилизованных под Google Chrome. Об этом компания сообщила 29 октября 2024 года.
Сначала пользователь ПК кликает на полупрозрачный рекламный баннер на сайте, незаметно растянутый на весь экран. После он попадает на вредоносную страницу, где его просят выполнить несколько шагов якобы для проверки защиты от роботов или устранить проблему в работе браузера. В результате действий «по инструкции» на компьютер пользователя загружается стилер — вредоносное ПО для кражи данных. Больше всего подобных атак обнаружено в России, Бразилии, Испании и Италии.Как Threat Intelligence помогает бизнесу бороться с таргетированными кибератаками
Схема та же — инструменты новые. Ранее в 2024 году уже сообщалось о подобных кибератаках с использованием стилера Lumma. Тогда основной целью злоумышленников были геймеры: вредоносные рекламные баннеры отображались на сайтах с пиратскими играми. Теперь же вредоносы распространяются и другими способами, например через букмекерские сайты, ресурсы с контентом для взрослых, аниме-сообщества.
Кроме того, атакующие стали использовать не только стилер Lumma, но и троянец Amadey. Как и Lumma, он позволяет красть логины и пароли из браузеров и криптокошельков, а также выполнять другие действия, например делать скриншоты или загружать на устройство жертвы инструменты для удалённого доступа к компьютеру, что позволяет злоумышленникам получить полный контроль над устройством.
Само заражение происходит так: пользователь должен выполнить по инструкции несколько шагов, например последовательно нажать определённые комбинации клавиш. В результате на устройстве запускается вредоносный скрипт PowerShell, который загружает на него зловред.
Присвоив данные пользователя, зловред также начинает активно «посещать» различные рекламные адреса: вероятно, таким образом злоумышленники получают дополнительную прибыль, накручивая просмотры с заражённого устройства подобно рекламному ПО.
Покупка рекламных мест под баннеры, которые ведут пользователей на вредоносные страницы, — распространённый метод среди злоумышленников. Однако в этой кампании они существенно расширили свой охват, размещая вредоносную рекламу на сайтах разной тематики, а также использовали новый сценарий с фальшивыми ошибками в браузерах. Это ещё раз напоминает о том, что злоумышленники не стоят на месте, и постоянно совершенствуют свои методы. Чтобы не попасться на их уловки, компаниям и пользователям рекомендуется критически относиться к любой подозрительной информации, которую они видят в сети, — сказал Василий Колесников, эксперт по кибербезопасности «Лаборатории Касперского». |
Группировка, известная кибератаками на Латинскую Америку, добралась до России
Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили серию атак по всему миру. Особый «почерк» злоумышленников позволяет экспертам утверждать, что вероятнее всего эти атаки связаны с группировкой TA558. Хакерская группировка, замеченная с 2018 года в странах Латинской Америки, расширяет географию: в топ-10 жертв попали компании из Турции, Румынии и России. Об этом Positive Technologies сообщили 15 апреля 2024 года.
В исследованных нами атаках группа активно использовала технику стеганографии: файлы полезной нагрузки передавались внутри картинок. Помимо стеганографии, группа таким же образом использовала текстовые сервисы. Интересно, что в цепочках одновременно использовались сразу оба метода для лучшей защиты от обнаружения, – сказал Александр Бадаев, специалист отдела исследования угроз информационной безопасности экспертного центра безопасности Positive Technologies. – Большинство названий вредоносных файлов содержали слово "любовь" (love), поэтому мы назвали эту операцию SteganoAmor. Все это помогло нам обнаружить связи между различными элементами атаки и установить, что они относятся к одной и той же группе. |
По данным отчета, группировка использует легитимные сервисы для хранения строчек вредоносного ПО и картинок с вредоносным кодом. В атаках хакеры применяли известное ПО, среди которого Agent Tesla, FormBook, Remcos, LokiBot, GuLoader, Snake Keylogger, XWorm.
Изучив все детали и существующие исследования, специалисты PT ESC связали эти атаки с группировкой TA558, известной своим интересом к компаниям из стран Латинской Америки (в основном туристического и гостиничного бизнеса). В ходе анализа было обнаружено множество семплов, направленных на различные секторы и страны. К экспертам попало несколько сотен фишинговых писем, отправленных разным компаниям. Более 50 атак предназначалась российским, румынским и турецким компаниям.
Всего в ходе исследования специалисты Positive Technologies выявили более 320 атак, направленных на компании из 31 страны, в том числе из США, Германии, Индии. Среди наиболее пострадавших отраслей — промышленность (21%), сфера услуг (16%), государственный сектор (16%), электроэнергетика (8%) и строительство (8%).
По информации Positive Technologies, обнаружить подобные атаки можно с помощью специализированных средств защиты, а для анализа атак и их предотвращения необходимо привлекать профессионалов в расследовании киберинцидентов.
Кибератак на средний и малый бизнес станет существенно больше
Центр противодействия киберугрозам Innostage CyberART провел исследование киберугроз, с которыми столкнулись российские компании в 2023 году. Аналитики Центра собрали статистику по DDoS-атакам и утечкам персональных данных по всей России, а также проанализировали выборку российских компаний инструментами киберразведки по открытым данным (OSINT). Об этом InnoSTage сообщил 22 января 2024 года.
На основе проделанной работы аналитики выделили ключевые тренды в области кибербезопасности, актуальные в начале 2024 года.
Тренд 1. Сохранение фокуса хакеров на среднем и малом бизнесе. В частности, в 2023 году 43% утечек произошло у среднего бизнеса, 38% — у малого, 19% — у крупного.
Тренд 2. Количество атак на отечественных разработчиков ПО и их партнеров в 2023 году выросло в полтора раза. Цепочки поставок ПО, услуг, сервисов подрядными организациями становятся точкой проникновения в ИТ-инфраструктуру и причиной инцидентов ИБ даже у крупных и хорошо защищенных компаний. Реализовав инцидент у ИТ-подрядчика, злоумышленники будут предпринимать попытки дотянуться до его клиентов.
Тренд 3. Telegram становится ключевой площадкой для публикации фрагментов украденных данных и сообщений о реализованных инцидентах, а также основным средством коммуникации хакеров.
Тренд 4. Руководствуясь политическими мотивами и желая привлечь к себе больше внимания, хакеры публикуют сообщения об утечках в открытых источниках перед государственными праздниками и важными историческими датами. Сами взломы, как правило, проводятся за одну-две недели до момента публичного оповещения о них.
Тренд 5. Сокращение случаев размещения полных файлов утечек в общедоступных источниках. Украденные сведения публикуют частями, чтобы было трудно оценить ущерб и скомпрометированные ресурсы.
Аналитики группы OSINT рассмотрели более 2000 инцидентов и классифицировали их по нескольким видам. 45% инцидентов связано с утечкой конфиденциальных данных, упоминания которых были обнаружены на публичных форумах и репозиториях. Помимо этого, аналитики группы OSINT обнаружили данные компаний в «глубоком интернете» (DeepWeb), доступ к которому можно получить только при помощи особых программ, сохраняющих анонимность пользователя и шифрующих трафик. Такие инциденты составили около 2% в выборке.
Еще 27% инцидентов связаны с фишинговыми доменами, фактами выявления страниц, содержимое или доменное имя которых имитирует домены атакуемой компании.
24% - подозрения на инциденты, связанные с уязвимостями и ошибками на внешнем сетевом периметре. В статистику наряду с ошибками администраторов, вредоносной активностью и компрометацией сервиса попадают условно легитимные изменения, которые направляются на подтверждение со стороны заказчика.
Среди других видов выявленных инцидентов – публикация сведений об трендовых угрозах и ZeroDay, подмена страниц сайтов (дефейс), раскрытие данных об инфраструктуре. Так как заказчики чаще подключаются комплексно, и сервисы OSINT - лишь малая часть комплекса, уведомление о большинстве уязвимостей происходят гораздо раньше. Группа OSINT находит самые различные уязвимости, информацию о которых можно получить из открытых источников. Например, устаревшая версия ПО, содержащая актуальные уязвимости, избыточная индексация ресурсов, ошибки конфигурации ПО или стандартные пароли.
В рамках исследования аналитики также выявили в России 4,1 тыс. доменов и 23,8 тыс. уникальных IP, подвергшихся единичным или серийным DDoS-атакам. Среди опубликованных персональных данных они нашли 45 млн уникальных почтовых адресов — в течение года количество записей в утечках выросло на 14%.
Из года в год прослеживается динамика роста числа и мощности атак на государственные и коммерческие компании, появляются новые техники и тактики злоумышленников. Наиболее уязвимыми по-прежнему остаются предприятия малого и среднего бизнеса. Отсутствие киберустойчивой ИТ-инфраструктуры и квалифицированных специалистов по ИБ в штате компании делают ее легкодоступной мишенью. Это ставит под удар также клиентов и бизнес-партнеров атакованной организации, ― отметил Максим Акимов, руководитель Центр противодействия киберугрозам Innostage СyberART. |
2023
В Positive раскрыли статистику результативных атак. Данные сильно отличаются от статистики угроз
Компания Positive Technologies в середине ноября в рамках SOC Forum 2023 поделилась результатами анализа своих расследований последствий кибератак, проведенных с начала 2021 по третий квартал 2023 года. Оказалось, что статистика по успешным атакам сильно отличается от статистики по угрозам, которую публиковала ранее та же Positive Technologies.
В частности, в данном исследовании основными векторами проникновения хакеров стали веб-приложения, расположенные на периметре – 63% успешных атак. Наиболее популярными веб-приложениями для атаки стали Microsoft Exchange (50% всех атак, где в качестве исходного вектора проникновения были уязвимые веб-приложения), веб-сервер «Битрикс24» (13%) и продукты компании Atlassian (7%), например Confluence и Jira. Причем по словам Дениса Гойденко, руководителя отдела реагирования на угрозы ИБ PT ESC, достаточно часто для проникновения используются эксплойты очень старых уязвимостей, которые жертвы их почему-то до сих пор не устранили.
Собственно, эксплойты неизвестных уязвимостей использовались только в 2% случаев – это минимальный из приведенных векторов атак. На втором месте по результативности находится фишинг (17% расследований), а на третьем – утечки учетных данных (10%).
Фактически, настройка процесса обновления приложений, особенно расположенных на периметре предприятия, позволит компаниям сильно сократить вероятность проникновения в их инфраструктуру. Кроме того, для государственных компаний и промышленных предприятий можно само веб-приложение перенести в облако провайдера, а контролировать максимально подробно только коммуникации между ним и корпоративной инфраструктурой.
Однако статистика по угрозам той же компании несколько другая: 64% атак направлено на использование вредоносного ПО, как правило, за счет фишинга, и еще 50% - социальная инженерия, которая ставит целью как на выманиванием учетных данных пользователей, так и на запуск вредоносов. Впрочем, отдельно в угрозах есть и компрометация учетных данных - еще 22% атак. В диаграмме же по успешным атакам, которая приведена выше, фишинг составляет всего 17% результативных инцидентов, а вход под украденными учетными данными - 10%. В то же время угрозы с эксплуатацией уязвимостей составляют всего 24% атак, но результативность этого метода проникновения, как было отмечено ранее, сильно выше.
Всего за прошедшие 2,5 года специалистами Positive Technologies было расследовано более сотни случаев атак на российские предприятия, причем в 2022 году случаев обращения за расследованием кибератак было на 50% больше, чем в 2021, а за первые три квартала этого года рост составил 76%. При этом больше всего в выборке оказалось государственных предприятий (25%) и промышленности (24%). Даже финансовые учреждения, которые ранее были основной целью хакеров, сейчас попадают в статистику взломов в два раза меньше – их доля в выборке составляет 12%. Меньше всего случаев успешных атак в телекоме и научных (учебных) заведениях – по 3%.
Можно сделать вывод, что наведение порядка с кибербезопасностью государственных ресурсов и промышленных объектов, на что нацелен в том числе и закон №187-ФЗ `О безопасности критической информационной инфраструктуры РФ`, может сильно сократить общее количество успешных атак.
По данным, приведенным в исследовании, только 40% инцидентов связаны с известными хакерскими кибергруппировками. В отчете приводятся такие имена как Lazarus, Cobalt, DarkRiver, и множество других. Однако доля неизвестных группировок сильно больше. Денис Гойденко на пресс-конференции, где был презентован доклад, пообещал, что компания будет раскрывать имена и подробности действий хакеров на территории России.
Атрибуция злоумышленников, ответственных за кибератаку, — это сложный процесс, который не всегда завершается успешно, — пояснил он в своем выступлении. — За последние три года наши эксперты выявили инциденты с участием 15 APT-группировок, известных и идентифицируемых на основании используемого инструментария, сетевой инфраструктуры и используемых ими тактик проникновения. Как правило, APT-группировки используют уникальное вредоносное ПО, которое отвечает за обеспечение доступа злоумышленников в инфраструктуру компании после осуществления первичной компрометации. Тем не менее как APT-группами, так и более низкоквалифицированными злоумышленниками используется вспомогательное ПО, в подавляющем большинстве случаев публично доступное в интернете |
При этом в 21% случаев были зафиксированы атаки шифровальщиков, и это самый популярный в последнее время тип атак. Причем хакеры сначала выводят из компании все ценные данные, потом шифруют ее инфраструктуру и требуют выкуп как за расшифровку данных, так и за непубликацию конфиденциальной информации. По словам Денис Гойденко расшифровать удавалось в единичных случаях, когда атакующие совершали ошибку. В большинстве же случаев сделать ничего не получается, и даже расследовать такие инциденты достаточно сложно.
Именно шифровальщики сейчас становятся основным способом выведения компании или организации из строя, поэтому для защиты от этих инструментов и нужно предусмотреть возможные инструменты защиты. В большинстве случаев для шифрования используются специализированные вредоносные программы, которые распознаются антивирусными продуктами, однако в некоторых случаях применялись и встроенный в Windows BitLocker, и инструмент с открытыми кодами DiskCryptor. Для защиты от шифрования нужны инструменты, которые контролируют поведение соответствующих программ и могут заблокировать несанкционированное шифрование дисков и отдельных файлов.
В работе АЗС в Иране произошел сбой после масштабной кибератаки
В конце октября 2021 года власти Ирана обвинили хакеров в нарушении работы автозаправочных станций по всей стране. В какой форме была осуществлена кибератака, не уточняется, и ни одна группа не взяла на себя ответственность. Подробнее здесь.
Количество кибердиверсий в России за год выросло на 140%
20 октября 2023 года лаборатория цифровой криминалистики компании F.A.С.С.T. сообщила о том, что исследовала высокотехнологичные преступления 2023 года на основе проведенных реагирований на инциденты в российских компаниях. Количество атак программ-вымогателей за 9 месяцев 2023 года выросло на 75% по сравнению с аналогичным периодом 2022 года, а средняя сумма первоначального выкупа за расшифровку данных превысила 37 млн рублей. Еще стремительнее росло количество политически мотивированных кибератак, целью которых было хищение конфиденциальных данных или полное разрушение IT-инфраструктуры — рост к 2022 году составил 140%.
Самым популярным типом киберугроз, с которыми столкнулись во время реагирований на инциденты криминалисты F.A.С.С.T., стали атаки с использованием программ-вымогателей. Жертвами шифровальщиков чаще всего становились российские ритейлеры, производственные, строительные, туристические и страховые компании. Среднее время простоя атакованной компании составило 14—18 дней.
Наиболее агрессивными преступными группами в России в 2023 году оказались Shadow и Twelve. Несмотря на то, что на радарах у исследователей они возникли лишь в начале 2023 года, хакеры успели отметиться серией громких атак. Вымогатели из Shadow похищают и шифруют данные, требуя от жертвы крупный выкуп — обычно в размере 5—10% от годового дохода компании — за расшифровку и не публикацию похищенной конфиденциальной информации.
Twelve же, напротив, работают не за деньги: сначала злоумышленники похищают конфиденциальные данные жертвы, а на финальном этапе атаки уничтожают ИТ-инфраструктуру, стирая и шифруя данные без возможности их восстановления. Именно эта группа весной 2023 года взяла на себя ответственность за атаку на федеральную таможенную службу РФ, а в мае — на российского производителя гидравлического оборудования и др.
После публикации исследования экспертов компании F.A.C.C.T. о том, что Shadow и Twelve — это одна хак-группа с общими инструментами, техниками, а в нескольких атаках — и с общей сетевой инфраструктурой, вымогатели из Shadow провели ребрендинг и стали использовать в своих атаках теперь название — Comet (C0met).
В целом, в России средняя сумма первоначального выкупа, которую требуют вымогатели у жертвы, в 2023 году составила 37 млн рублей. Рекорд установили вымогатели из группы Shadow, потребовавшие за расшифровку данных 200 млн рублей. Правда, это в пять раз меньше, чем в 2022 году просили вымогатели OldGremlin у одной из жертвы — тогда сумма выкупа достигала 1 млрд рублей.
Наиболее распространенными шифровальщиками, которые преступники используют для атак на российские компании, стали LockBit, Conti и Babuk — причина в появлении в публичном пространстве их исходных кодов.
Наиболее популярной техникой, используемой для получения первоначального доступа в корпоративные сети, в 2023 году, стала компрометация служб удаленного доступа, в особенности RDP и VPN. Наряду с этим отмечается и рост атак с доступом в инфраструктуру в результате компрометации IT-партнеров, IT-партнёров, услугами которых пользовались организации-жертвы. В 2022 году основными векторами атак для большинства банд вымогателей являлись эксплуатация уязвимостей публично доступных приложений и фишинг.
Более активно, чем с киберкриминал, российские компании атаковали прогосударственные хакеры и хактивисты — рост количества атак по сравнению с 2022 годом составил 140%. Целями политически-мотивированных атакующих чаще других становились предприятия, связанные с критической инфраструктурой, госсектором или оборонной промышленностью. Наряду с гигантами в группе риска оказались IT-компании из сегмента малого и среднего бизнеса — интернет-ритейлеры, интеграторы, разработчики ПО, атаки на которых позволяют атакующим получить доступ не только к клиентским базам данных, но и аутентификационным данным к инфраструктуре заказчиков, более крупных игроков рынка.
За первую половину 2023 г. F.A.C.C.T. зафиксировала 114 утечек из российских коммерческих компаний и госорганизаций, число утекших строк пользовательских данных по сравнению с предыдущим периодом 2022 года выросло более чем в 11 раз – до 62,1 млн. Большинство похищенных баз данных преступники выкладывали в публичный доступ бесплатно, но часть утечек злоумышленники не публиковали в открытом доступе — продавали или использовали в последующих атаках.
Уже четвертый год подряд программы-вымогатели остаются одной из главных киберугроз, с которой имеют дело российские компании. Начиная с 2022 года у киберпреступников заметно изменился мотив — не столько заработать, сколько нанести наибольший ущерб компаниям и их клиентам. В 2023 году рост подобных атак был особенно заметным. Утекшие данные атакующие сразу не публикуют, а используют для проведения каскадных атак на крупных игроков как коммерческого, так и государственного секторов. заметил Антон Величко, руководитель Лаборатории цифровой криминалистики компании F.A.C.C.T. |
Для того, чтобы эффективно организационно и технически противостоять действиям атакующих и минимизировать ущерб для компании — необходимо или оперативно привлекать специалистов на аутсорсе, или, что проще заранее иметь подписку на ритейнер по реагированиям на инциденты. Это пакет предоплаченных проактивных и реактивных сервисов для оперативного профессионального реагирования на атаку, когда бы она не произошла, в формате 24/7/365. По первому сигналу команда криминалистов выезжает на реагирование, или проводит его удаленно для минимизации простоя инфраструктуры и ущерба от кибератаки без потерь времени на согласование договоров и других юридических документов. Впервые услуга ритейнера по реагированиям на инциденты в России была запущена Лабораторией цифровой криминалистики в 2015 году.
71% российских компаний столкнулись с кибератаками на свои веб-ресурсы в первом полугодии
По данным опроса, проведенного Крок Облачные сервисы и разработчиком решения по защите веб-приложений SolidWall, в первом полугодии 2023 года 71% российских компаний столкнулись с кибератаками на свои веб-ресурсы. Большинство из них пострадали одновременно от нескольких типов комбинированных атак. При этом 37% опрошенных признались, что до сих пор никак не защищают свои веб-ресурсы. Об этом 15 сентября 2023 года сообщил Крок. Подробнее здесь.
В 57% атак на организации Азиатского региона использовалось вредоносное
12 сентября 2023 года компания Positive Technologies представила исследование актуальных киберугроз Азиатского региона в 2022–2023 годах. Исследование показало, что в 57% атак на организации использовалось вредоносное программное обеспечение, промышленный сектор оказался самым уязвимым к атакам шифровальщиков, а основным мотивом киберпреступников стал кибершпионаж. При этом почти треть успешных атак привели к недопустимому событию — нарушениям основной деятельности организации. Чтобы усилить защиту, государствам и организациям Азиатского региона необходимо выстроить результативную кибербезопасность, определить недопустимые события на уровне отраслей и страны в целом, а также оптимизировать ресурсную и законодательную базу в области киберзащиты.
По данным анализа, 74% атак имели целенаправленный характер, то есть были направлены на конкретные организации, отрасли или людей. Серьезную угрозу для бизнеса в регионе представляют шифровальщики: главными их жертвами стали промышленные предприятия, на которые пришлось 34% успешных атак. По словам ведущего эксперта департамента аналитики информационной безопасности Positive Technologies Екатерины Килюшевой, этот показатель в целом выше, чем мировой аналог — в 2022 году на долю промышленного сектора пришлось 15% успешных атак шифровальщиков. Кроме того, вымогатели нацелены на медицинские учреждения (11%), финансовые организации (11%) и IT-компании (10%).
Одной из основных угроз для организаций и государств Азии является кибершпионаж. Почти в каждой третьей атаке с использованием вредоносов зафиксировано шпионское ПО. В половине успешных атак на организации (49%) была скомпрометирована конфиденциальная информация. С утечкой конфиденциальной информации сталкивались и обычные пользователи, к таким последствиям приводили 76% успешных атак. Всего на частных лиц были направлены 24% успешных атак, что превышает аналогичный показатель по миру (в 2022 году доля атак на пользователей в мире составила 17%). В атаках с использованием ВПО на частных лиц 56% пришлось на долю шпионского ПО.
В 27% успешных атак на организации зафиксировано нарушение основной деятельности, в том числе временная остановка бизнес-процессов, отсутствие доступа к инфраструктуре или данным.
Согласно исследованию Positive Technologies, жертвами атак чаще всего становились госучреждения (22% от числа всех атак на организации), промышленные компании (9%), IT-компании (8%) и финансовые организации (7%). По мнению экспертов, государственные учреждения в Азиатском регионе стали основной целью киберпреступников по нескольким причинам. Во-первых, в этих системах хранится большое количество ценной информации, включая личные данные граждан, статистику, сведения государственного значения. Во-вторых, многие страны этого региона проводят цифровую трансформацию и активно интегрируют технологии в свои государственные системы. Это приводит к появлению риска возникновения новых уязвимостей в информационных системах.
По мнению экспертов, IT-компании вошли в топ-3 самых атакуемых отраслей по ряду причин.
Страны Юго-Восточной Азии, включая Индию и Китай, испытали бурный рост в области IT и стали центрами технологических инноваций, в этом регионе находятся ведущие IT-компании мира. Эти компании обладают большим объемом ценных данных, среди которых особый интерес представляет интеллектуальная собственность и пользовательская информация. Их взлом может принести киберпреступникам значительную выгоду, будь то продажа информации на теневом рынке или использование ее для конкурентного преимущества. поведала Екатерина Килюшева |
Большинство атак на организации региона (81%) направлены на компьютеры, серверы и сетевое оборудование. В 22% случаев злоумышленники успешно взламывали веб-ресурсы, чаще всего с использованием известных уязвимостей или компрометации учетных данных.
В атаках на организации вредоносное программное обеспечение (ВПО) используется в 57% случаев. Почти в равной степени применяются методы социальной инженерии (40% успешных атак) и эксплуатация уязвимостей в ресурсах компаний (39%). Это свидетельствует о недостаточной защите публично доступных ресурсов организаций. Ресурсы менее защищенных стран могут также использоваться как плацдарм для отработки эксплойтов для уязвимостей.
Наиболее распространенным типом вредоносного ПО в атаках на организации стали инструменты для удаленного управления (54% успешных атак с использованием ВПО). Шифровальщики оказались на втором месте — они применялись в половине атак с использованием ВПО. На третьем — шпионское ПО (35%).
По данным исследования, организации Азиатского региона пользуются большой популярностью на теневом рынке киберуслуг: среди стран Азиатского региона наиболее часто встречаются объявления о продаже доступов в компании Китая, Таиланда и Индии. В основном это государственные организации, IT-компании и компании из сферы услуг. Стоимость доступа в информационные системы компаний зависит от размера организации и привилегий учетной записи. Доступ к сети с правами рядового пользователя или к небольшой компании может обойтись в 100–200 долларов, а привилегии администратора домена оцениваются в 500 долларов и выше.
Азиатский регион подвержен мощнейшим и частым атакам, о чем говорит мировая статистика — на него пришлась треть всех кибератак в 2022 году. Причины их кроются, прежде всего, в кибершпионаже. При этом почти треть компаний столкнулась с прерыванием своей деятельности. Эта цифра говорит о назревшей необходимости для организаций провести анализ недопустимых событий, чтобы строить безопасность с прицелом на их недопущение. Наша экспертная статистика свидетельствует о том, что емкость азиатского рынка кибербезопасности очень высокая. прокомментировал Артем Сычев, советник генерального директора Positive Technologies |
По мнению Сычева, государствам необходимо определить недопустимые события на уровне отраслей и страны в целом и эффективно распределять ресурсы для обеспечения защиты наиболее важных систем. Важно своевременно обновлять законодательные меры в сфере ИБ, чтобы соответствовать актуальным киберугрозам, и успевать за развитием технологий, совершенствовать механизмы по взаимодействию с национальными и отраслевыми центрами по реагированию на киберинциденты, а также сотрудничать с международными партнерами в борьбе с киберугрозами. Среди рекомендаций для бизнеса эксперт назвал необходимость проведения анализа основных рисков и составления перечня недопустимых событий, которые могут нанести существенный ущерб деятельности компаний, мониторинг и реагирование на киберугрозы, обучение сотрудников и развитие специалистов по ИБ.
Запущена хакерская нейросеть FraudGPT. Она может взламывать сайты и красть данные банковских карт
25 июля 2023 года компания Netenrich, специализирующаяся на решениях в области информационной безопасности, сообщила о появлении хакерского чат-бота FraudGPT на основе искусственного интеллекта. Подробнее здесь.
Неизученный фреймворк MgBot используется Китаем в кампаниях шпионажа в Африке
Специалисты Symantec сообщили, что связанная с Китаем группировка Daggerfly с ноября 2022 года атакует телекоммуникационные компании в Африке с целью сбора разведывательных данных. Об этом стало известно 21 апреля 2023 года. Подробнее здесь.
Первая в мире страховая компания выпустила облигации, привязанные к кибератакам
9 января 2023 года лондонская страховая компания Beazley впервые в отрасли выпустила облигации на случай киберкатастрофы. Отмечается, что это продиктовано растущими опасениями по поводу кибератак и усугубляющимися финансовыми последствиями от хакерских взломов. Подробнее здесь.
2022
Больше половины атак совершено квалифицированными злоумышленниками
Эксперты PT Expert Security Center рассказали о результатах расследований киберинцидентов в 2022 году. Больше половины атак было совершено квалифицированными злоумышленниками, а 20% случаев составили атаки типа supply chain и trusted relationship, расследование которых требует высокой квалификации специалистов по ИБ. Об этом компания Positive Technologies сообщила 16 января 2023 года.
В 2022 году сотрудники экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) провели более 50 расследований. Пик количества инцидентов пришелся на апрель. В PT ESC отметили, что результативность действий злоумышленников осталась на прежнем уровне: количество инцидентов росло пропорционально количеству атак.
Уровень подготовки злоумышленников по степени сложности зафиксированных нами атак самый разный: от школьников до проправительственных APT-группировок, — сказал Алексей Новиков, директор экспертного центра безопасности Positive Technologies. — Больше половины атак было совершено квалифицированными злоумышленниками, а 20% случаев составили атаки типа supply chain и trusted relationship, которые сложно расследовать. Мы наблюдаем интересную тенденцию: злоумышленники не изобретают новые способы атак, но тем не менее число инцидентов с применением уже известных методов продолжает расти. |
По данным Positive Technologies, за большинством атак, совершенных в отношении российских предприятий в 2022 году, стояли политически мотивированные злоумышленники — хактивисты; встречались как хакеры-одиночки, так и спонтанно организованные группы, состоявшие преимущественно из разрозненных энтузиастов, которым для атаки достаточно иметь ноутбук с подключением к интернету.
В 2022 году продолжили активность профессиональные APT-группировки, в частности APT31, Cloud Atlas и Space Pirates. По итогам расследований, проведенных сотрудниками PT ESC, отраслевые интересы группировок, атаковавших российские организации, распределились между государственными предприятиями (30% случаев), IT-компаниями (16%), финансовым, энергетическим и промышленным сектором (по 10% случаев на каждый). Кроме того, претерпел изменения ландшафт кибергруппировок.
Ранее новые высококвалифицированные преступные объединения возникали достаточно редко, поэтому мы могли быстро атрибутировать ту или иную атаку к уже знакомым APT-группировкам по инструментам, тактикам и техникам, применяемым при нападении, — отметил Алексей Новиков. — В 2022 году было обнаружено большое количество ранее неизвестных кибергрупп. Любопытно, что некоторые из них деанонимизировали себя в социальных сетях, раскрывая свою причастность к совершенным атакам. |
Чаще всего целями атак группировок становились хищение и «слив» данных в интернет ради нанесения репутационного ущерба жертвам.
В числе уязвимостей, которые наиболее активно использовались для проникновения в инфраструктуру компаний, эксперты PT ESC отметили бреши в серверах Microsoft Exchange, Log4Shell, ProxyNotShell и ProxyShell. Что касается новых техник киберпреступников, обращают на себя внимание атаки через опенсорс.
По данным специалистов экспертного центра Positive Technologies, в атаках с применением вредоносного ПО самыми эффективными были инфостилеры, шифровальщики и вайперы. Они позволяют злоумышленникам быстро получить доступ в инфраструктуру жертвы, не тратя время на поиск уязвимостей нулевого дня, и похитить данные.
По мнению Алексея Новикова, в 2023 году стоит ожидать развития хактивизма в отношении российских организаций, в том числе от известных кибергруппировок. Помимо этого, не исключены создание новых APT-групп, появление новых уязвимостей нулевого дня, а также активизация «спящих» инцидентов. Эксперты также предположили увеличение количества атак на поставщиков решений для аутентификации и рост теневого рынка киберуслуг в мессенджерах.
Высокий уровень киберугроз заставляет российские компании менять парадигму построения кибербезопасности в пользу обеспечения цифровой устойчивости предприятия. В Positive Technologies отметили, что ее необходимо обеспечивать точечно, сфокусировавшись на самых ценных активах компании, негативное воздействие на которые может привести к наступлению недопустимых для бизнеса событий.
Как хакеры атакуют компании, используя Zoom
5 января 2023 года компания Cyble Research & Intelligence Labs (CRIL) рассказала о новой киберпреступной схеме, которую злоумышленники используют для атак на различные организации. На этот раз мошенники прикрываются сервисом для видеоконференций Zoom. Подробнее здесь.
Хакеры украли данные индийских студентов по всей стране за 18 лет
5 декабря 2022 года стало известно о том, что киберпреступная группировка Team Mysterious Bangladesh объявила о взломе компьютерной системы Центрального совета высшего образования Индии (CBHE). В руках злоумышленников могли оказаться данные об учащихся за 18-летний период по всей стране. Подробнее здесь.
Хакеры заблокировали личные кабинеты всех пользователей госуслуг Греции
Killnet заблокировала сайты государственных органов Греции «за содействие НАТО». О кибератаке на греческие правительственные ресурсы хакеры сообщили в своем Telegram-канале 11 ноября 2022 года. Подробнее здесь.
Крупнейший в Канаде производитель мяса пережил кибератаку, отключившую ИТ-системы компании
Крупнейший в Канаде производитель мяса Maple Leaf Foods пережил кибератаку, отключившую корпоративные ИТ-системы. Об этом сама компания сообщила 6 ноября 2022 года. Подробнее здесь.
Крупнейшая в Индии энергетическая компания подверглась кибератакам. Часть ИТ-систем остановлена
14 октября 2022 года Tata Power входит в состав Tata Group, крупнейшая интегрированная энергетическая компания в Индии, сообщила о кибератаке на свою инфраструктуру. В результате хакерского нападения работа некоторых ИТ-систем была приостановлена. Подробнее здесь.
Более 30% от общего количества киберинцидентов пришлось на атаки через веб-приложения
По данным «Информзащиты» за 2022 год более 30% от общего количества киберинцидентов пришлось на атаки через веб-приложения. Об этом компания сообщила 14 октября 2022 года. Это на 16% больше, чем за аналогичный период 2021 года. По данным зарубежных экспертов за 2020 год – веб-приложения оказались в центре 39% взломов. Хакеры используют уязвимости в коде приложения для получения доступа к базам, содержащим конфиденциальные данные. Совершив кражу, злоумышленники используют их в качестве выкупа или перепродают на черном рынке для дальнейшего использования в социальной инженерии.
С распространением веб-приложений поверхность атаки организаций значительно расширилась. Приложения есть на личных и рабочих устройствах, и очень часто остаются открытыми и работают в фоновом режиме, а обновления безопасности не всегда выполняются регулярно.
Зачастую веб-приложения содержат личную информацию пользователей, такую как финансовые и медицинские данные или другие конфиденциальные записи, которые могут быть монетизированы для незаконной выгоды. Это значит, что у хакеров есть возможность получить доступ к открытой, уязвимой поверхности атаки, а, следовательно, и к ценным сведениям.
От кибератак не застрахована ни одна отрасль, однако некоторые из них сталкиваются с большим давлением, чем другие. Эксперты «Информзащиты», анализируя 2021 и 2022 года, утверждают, что больше всего от действий киберпреступников страдают финансы, сфера здравоохранения и государственное управление, а также сфера профессиональных услуг. Так, всплеск приложений для онлайн и мобильного банкинга еще во время пандемии привел к увеличению спроса организаций на управление огромными объемами данных, связанных с личными финансами. Злоумышленники увидели в этой тенденции новые возможности: атаки веб-приложений на сектор финансовых услуг увеличились на 38% в период с января по май 2021 года. Также хакеры стали чаще атаковать отрасль здравоохранения: базовые атаки на веб-приложения, разнообразные ошибки и вторжения в систему стали причиной 76% утечек данных в этой сфере в 2021 году.
У злоумышленников есть множество методов, которые они могут использовать для запуска атак на основе приложений. На октябрь 2022 года можно определить некоторые из наиболее распространенных векторов.
Например, популярен среди хакеров межсайтовый скриптинг (или XSS). Данная атака происходит, когда злоумышленник внедряет вредоносный код на доверенный веб-сайт, отправляя его ничего не подозревающему пользователю. Предполагая, что код отправителя заслуживает доверия, браузер получателя выполняет его, не проверив, тем самым предоставляя хакеру доступ к любым записям, которые хранятся в браузере. Поэтому стоит помнить, что любые данные, которые не были созданы самим PHP для текущего запроса, являются ненадежными. Браузер доверяет всему, что он получает от сервера, и это одна из главных причин межсайтового скриптинга.
Межсайтовый скриптинг при наличии SQL-инъекции – эта атака пользуется тем, что приложения должны запрашивать свою базу данных контента, чтобы выполнить запрос пользователя. Однако вместо того, чтобы удовлетворить обычный запрос контента, злоумышленник вставляет свой собственный SQL-запрос на веб-страницу, эффективно заменяя безобидный входной запрос вредоносным. Успешные атаки могут позволить злоумышленникам подделать личность, изменить данные, уничтожить данные или сделать их полностью недоступными.
Заполнение учетных данных: одна из наиболее распространенных техник захвата учетных записей пользователей. Эта атака включает в себя автоматическое внедрение утекших паролей и имен пользователей методом грубой силы на сотни различных сайтов. Атака использует человеческую привычку повторно использовать один и тот же пароль для нескольких учетных записей и приложений.
DDoS: Распределенные атаки типа «отказ в обслуживании» работают, забивая сервер организации большим количеством запросов, чем он может обработать. Перегружая сервер, атака может сократить время загрузки веб-страниц и полностью вывести из строя целые веб-сайты. Цель хакеров состоит в том, чтобы разорвать линии связи и сделать службы приложения недоступными. Злоумышленники могут совершить DDoS-атаку, закодировав функцию счетчика циклов или специальное выделение объекта, которое вводит чрезвычайно большой объем запросов.
Несмотря на множество хакерских схем, у организаций тоже есть набор инструментов, которые используются для защиты от вторжений. Так, компании могут расширить видимость поверхности атаки с помощью автоматизированных инструментов безопасности, которые выявляют и устраняют уязвимости на ранних этапах жизненного цикла разработки программного обеспечения.
Также эксперты рекомендуют проводить дезинфекцию и проверку пользовательского кода. Дело в том, что большое количество атак на основе веб-приложений связано с использованием слабых мест в пользовательском вводе. Организации могут значительно снизить риск взломов, очистив свои вводимые данные. Это может быть сделано путем удаления нежелательных символов из ввода и проверки, чтобы гарантировать, что входные данные соответствуют установленным буквенно-цифровым требованиям безопасности.
Наконец, организации должны иметь в своем арсенале этичных (белых) хакеров. Эти эксперты умеют предвосхищать действия хакера, подвергая веб-приложения полному набору всевозможных методов вторжения, чтобы выявить имеющиеся уязвимости.
ИТ-системы отельной сети InterContinental вышли из строя после масштабной кибератаки
В начале сентября 2022 года ИТ-системы крупной гостиничной сети InterContinental Hotels Group, управляющей 17 гостиничными брендами по всему миру, были взломаны, что привело к постоянному нарушению работы систем онлайн-бронирования и других сервисов корпорации. Подробнее здесь.
Мошенник похитил данные сотен сотрудников Verizon
Мошенник похитил данные сотен сотрудников Verizon. Об этом стало известно 28 мая 2022 года. Подробнее здесь.
«Космические пираты» атакуют авиакосмическую отрасль России
Группа хакеров с вероятным азиатским происхождением, атакует российскую космическую индустрию, используя ранее неизвестное вредоносное ПО. Об этом стало известно 18 мая 2022 года.
Группировку обнаружил экспертный центр безопасности Positive Technologies ( PT Expert Security Center , PT ESC). В России злоумышленники атаковали по меньшей мере пять организаций, в Грузии — одну, а точное число пострадавших в Монголии на 18 мая неизвестно. Среди целей атакующих, идентифицированных специалистами Positive Technologies, — госучреждения и предприятия из авиационно-космической и электроэнергетической отраслей.
По полученным данным, неизвестная ранее APT-группа действует как минимум с 2017 года, ее ключевые интересы — шпионаж и кража конфиденциальной информации. Эксперты Positive Technologies дали группировке имя Space Pirates по направленности первой выявленной ими атаки на авиационно-космический сектор и строке P1Rat, которую атакующие использовали в PDB 1-путях.
В первый раз следы активности группы экспертный центр зафиксировал в конце 2019 года, когда одно российское авиационно-космическое предприятие получило фишинговое письмо с ранее не встречавшимся вредоносным ПО. В течение двух последующих лет специалисты PT ESC выявили еще четыре отечественные компании (причем две из них — с госучастием), которые были скомпрометированы с использованием того же ВПО и сетевой инфраструктуры.
По оценке экспертов Positive Technologies, по меньшей мере две атаки Space Pirates в России оказались успешными. В первом случае злоумышленники получили доступ как минимум к 20 серверам в корпоративной сети, где присутствовали около 10 месяцев. За это время они похитили более 1500 внутренних документов, а также данные всех учетных записей сотрудников в одном из сетевых доменов. Во втором — атакующим удалось закрепиться в сети компании более чем на год, получить сведения о входящих в сеть компьютерах и установить свое ВПО по крайней мере на 12 корпоративных узлов в трех различных регионах.
Особый интерес представляет инструментарий Space Pirates, который состоит из особых загрузчиков (в изучаемых случаях они содержали приманки с русским текстом) и ранее не описанных бэкдоров 2, таких как MyKLoadClient, BH_A006 и Deed RAT.
Зловреды собственной разработки специфичны, поэтому по ним можно вычислять причастность Space Pirates к той или иной кибератаке. Например, в бэкдоре, который мы назвали Deed RAT, реализован нестандартный метод передачи управления шеллкоду, — рассказал Алексей Захаров, старший специалист отдела исследования угроз ИБ Positive Technologies. — Именно шеллкод позволяет злоумышленникам получать права администратора на зараженном компьютере. |
В арсенале Space Pirates есть и известное ВПО: бэкдоры PlugX, PoisonIvy, ShadowPad, Zupdax и публичный шелл 3 ReVBShell. Также атакующие применяют билдер 4 Royal Road RTF (или 8.t) и модифицированный бэкдор PcShare, встречаемые главным образом в среде хакеров азиатского происхождения, а в ресурсах, SFX-архивах и путях к PDB-файлам активно используется китайский язык. Вредоносы чаще всего распространяют с помощью целевого фишинга, то есть группировка всегда точно знает, кого атакует.
Изучив деятельность APT-группы, эксперты компании также обнаружили большое число пересечений с ранее известной активностью, которую исследователи связывают с группировками Winnti (APT41), Bronze Union (APT27), TA428, RedFoxtrot, Mustang Panda и Night Dragon. Вероятная причина, по словам специалистов Positive Technologies, кроется в обмене инструментарием между группировками. Это частое явление для APT-групп азиатского региона.
В одном из расследований мы наблюдали на зараженных компьютерах активность не только группы Space Pirates, но и TA428, а по сетевой инфраструктуре в другой атаке мы проследили связь между Zupdax и трояном RemShell, приписываемым TA428. Это позволяет утверждать, что Space Pirates и TA428 могут объединять усилия и делиться инструментами, сетевыми ресурсами и доступами к инфицированным системам, — сказал Денис Кувшинов, руководитель отдела исследования угроз ИБ Positive Technologies[1]. |
Госсайты Эстонии подверглись атаке
25 апреля 2022 года стало известно о том, что госсайты Эстонии подверглись атаке.
По данным Компьютерной группы реагирования на чрезвычайные ситуации Департамента государственной инфосистемы Эстонии (CERT-EE), атаки начались в четверг, 21 апреля. На каждый из атакуемых сайтов направлялось порядка 75 млн запросов. Хотя с 22 апреля мощность атак начала снижаться, в 23-24 сайты все еще подвергались DDoS’у.
В то же время, мы должны быть готовы к тому, что атаки будут продолжаться в течение некоторого времени, хотя их мощность может уменьшиться. Нам нельзя почивать на лаврах, а нужно подумать, как лучше снизить успешность таких атак, - сообщил глава CERT-EE Тыну Таммер (Tõnu Tammer). |
Хотя по состоянию на 25 апреля сайты все еще находились под атакой, вредоносные запросы перехватываются до того, как достигнут цели и выведут из строя компьютерные системы.
По словам Таммера, в случае успеха атак не исключено, что сайты будут выведены из строя.
Вдобавок к сайтам мы тщательно мониторим безопасность наших национальных ИТ-систем. Пока что не было зафиксировано никаких аномалий, - сообщил глава CERT-EE. |
Сам Департамент государственной инфосистемы Эстонии (RIA) также стал мишенью для кибератаки, однако ее удалось отразить[2].
Почта Болгарии подверглась кибератаке
Неизвестные киберпреступники атаковали Почту Болгарии. Пресс-служба национального почтового оператора сообщила, что незамедлительно были предприняты все необходимые меры. Об этом стало известно 19 апреля 2022 года. Подробнее здесь.
"Укртелеком" подвергся масштабной кибератаке
Украинский интернет-провайдер подвергся масштабной кибератаке. Об этом стало известно 29 марта 2022 года. Подробнее здесь.
Хакеры атаковали информационные ресурсы мясного холдинга «Мираторг»
Хакеры атаковали информационные ресурсы мясного холдинга «Мираторг», нарушив деятельность некоторых его предприятий. Об этом стало известно 22 марта 2022 года. Подробнее здесь.
Бразильские хакеры взломали Ubisoft
Бразильские хакеры взломали Ubisoft. Об этом стало известно 12 марта 2022 года. Подробнее здесь.
Производитель систем наблюдения Axis пострадал от кибератаки
Шведский производитель сетевых камер и систем наблюдения Axis пострадал от кибератаки. Об этом стало известно 28 февраля 2022 года. Компании пришлось отключить все общедоступные службы по всему миру в надежде ограничить воздействие атаки. Подробнее здесь.
Nvidia атаковали хакеры
В конце февраля 2022 года внутренняя сеть Nvidia была взломана, и несколько ключевых систем, таких как электронная почта и инструменты для разработчиков, не работали в течение нескольких дней. По информации издания CRN, южноамериканская группа хакеров под названием LAPSU$ взломала внутреннюю сеть компании и скопировали более 1 ТБ критичных данных компании. Подробнее здесь.
Остановка производства на всех японских заводах Toyota Motor из-за кибератаки
Toyota Motor Corp. приостанавливает производство на всех своих японских заводах с 1 марта 2022 г после сбоев в работе систем поставщика, что знаменует собой очередную производственную неудачу для автопроизводителя №1 в мире.
Газета Nikkei сообщила ранее, что пострадавшим производителем деталей, скорее всего, является Kojima Press Industry Co., и что ее деятельность была приостановлена из-за кибератаки.
2021
Названы топ-5 трендов среди киберугроз
Компания Accenture 27 февраля 2022 года представила данные отчета об уровне угроз для корпоративных сетей «Cyber Threat Intelligence Report» по итогам второго полугодия 2021 года. Подробнее здесь.
Крупнейшие газеты Норвегии не выходят из-за атаки хакеров
28 декабря 2021 года Amedia, крупнейший местный новостной издатель в Норвегии объявил, что несколько его центральных компьютерных систем были отключены в результате «серьезной» кибератаки. Подробнее здесь.
В «Дневник.ру» опровергли информацию о взломе платформы
Как сообщили TAdviser представители «Дневник.ру» в ноябре 2023 года, в результате внутренней проверки в школе села Устье Хохольского района Воронежской области, проведенной в конце декабря 2021 года, не было зафиксировано фактов взлома платформы «Дневник.ру» или хакерской атаки. Подробнее здесь.
Хакеры взломали «Дневник.ру» и поменяли оценки школьников
Неизвестные взломали платформу «Дневник.ру» в школе в селе Устье Хохольского района Воронежской области, сообщили «Вести Воронеж» со ссылкой на родительницу одного из школьников. Об этом стало известно 27 декабря 2021 года. Подробнее здесь.
Атакованы 1,6 млн веб-сайтов на базе WordPress
10 декабря 2021 года разработчики плагина безопасности WordPress, Wordfence, объявили о длительной атаке, нацеленной на веб-сайты на базе WordPress с использованием определенных дополняющих утилит. Разработчики заявили, что за 36 часов 1,6 млн веб-сайтов WordPress были атакованы с 16 тыс. различных IP-адресов. Подробнее здесь.
Взлом Volvo Cars
10 декабря 2021 года шведский производитель Volvo Cars заявила, что одно из его файловых хранилищ подверглось кибератаке. Хакерам удалось похитить данные исследований и разработок, компания предупредила, что взлом может повлиять на деятельность компании. Подробнее здесь.
Хакерская атака на бразильского автостраховщика Porto Seguro
В середине октября 2021 года крупнейший игрок бразильского рынка автострахования Porto Seguro сообщил о том, что компания подверглась кибератаке, которая привела к сбою в работе ИТ-систему и каналов обслуживания клиентов. Подробнее здесь.
Каждая пятая атака кибермошенников приходится на госучреждения
Большая часть кибератак в 2021 году пришлась на государственные учреждения – почти 20% преступлений. В 10% случаев жертвами кибермошенников становятся промышленные предприятия, по 8% атак направлены на медицинские и образовательные учреждения, а также финансовые организации, сообщили 18 октября 2021 года в "Страховом Доме ВСК" по результатам проведенного исследования.
В абсолютном большинстве случаев (60%) цель преступников – получение данных. Среди распространенных причин атак на бизнес также получение финансовой выгоды (21%) и хактивизм (16%) – это форма цифрового активизма, направленная не на получение личной выгоды, а на выражение той или иной общественной или политической позиции.
Чаще всего киберпреступники при осуществлении атак используют вредоносное ПО, методы социальной инженерии и эксплуатации веб-уязвимостей, а также способ отслеживания активности пользователей. Объектами кибератак в компаниях, как правило, являются компьютеры, серверы и сетевое оборудование, мобильные устройства, веб-ресурсы, банкоматы и POS-материалы, IoT.
В результате киберпреступлений российские компании несут колоссальные убытки, по некоторым оценкам они достигают нескольких трлн рублей. Основной ущерб связан с последствиями инцидентов – хищением денежных средств со счетов, выходом из строя оборудования, а также с перерывами в хозяйственной деятельности организации. При этом, обезопасить себя от финансовых потерь компании могут при помощи страхования. Так, увеличение числа преступлений в сфере информационной безопасности обуславливает рост спроса на киберстрахование, в частности среди финансовых организаций.
«Тренд на цифровизацию большинства отраслей, безусловно, стал своеобразным «триггером» активизации кибермошенников. Причем, масштабы подобных преступлений возрастают. Киберстрахование является способом минимизировать последствия преступлений в сфере информационной безопасности. В рамках страховой программы можно защитить как само имущество, которому нанесен ущерб – это информационные, финансовые активы и пр., так и гражданскую ответственность за последствия атаки хакеров перед третьими лицами или расходы, связанные с перерывом в хозяйственной деятельности. Мы видим, что многие российские компании проявляют интерес к киберстрахованию», - отметил Александр Тарновский, генеральный директор "Страхового Дома ВСК". |
Olympus отключила свои ИТ-системы после масштабной кибератаки
В середине октября 2021 года Olympus приостановила работу своих ИТ-систем из-за очередной атаки хакеров. Компания продолжает расследовать инцидент, который затронул системы в США, Канаде и Латинской Америке. Подробнее здесь.
Ущерб от кибератаки в сфере ТиЛ может достигать $50 млн и более
Ущерб от кибератаки может достигать 50 млн долл. США и более. Об этом 15 сентября 2021 года сообщила компания BCG. Подробнее здесь.
Рост риска кибератак на бизнес во всем мире за год на 24%
06 августа 2021 года компания Avast на основании данных собственного исследования сообщила, что вероятность того, что бизнес столкнется с киберугрозами, выросла во всем мире за год на 24% — с 11,25% до 13,9%. Эта информация представлена в последнем отчете Avast Global PC Risk Report, в котором рассматриваются угрозы для ПК, заблокированные Avast в марте-апреле 2021 года. Результаты сравнивают с данными 2020 года за тот же период. Подробнее здесь.
Хакеры загрузили на сайт электронного правительства Казахстана вирусную программу, которую скачивают пользователи
Хакеры загрузили на сайт электронного правительства Казахстана вирусную программу, которую скачивают пользователи. Об этом стало известно в июле 2021 года от исследователей компаний T&T Security и АО «Национальный инфокоммуникационный Холдинг «Зерде»». Подробнее здесь.
Хакеры взломали паспортную ИТ-систему Белоруссии
В конце июля 2021 года стало известно о взломе в Белоруссии автоматизированной информационной системы «Паспорт», которая является инструментом автоматизации служебной деятельности подразделений паспортно-визовой службы уровня ГУВД Мингорисполкома, УВД облисполкомов, а также подчиненных им подразделений паспортно-визовой службы территориальных органов внутренних дел. Подробнее здесь.
На крупную энергетическую компанию Luma Energy обрушились кибератаки
В начале июня 2021 года основной поставщик электроэнергии в Пуэрто-Рико Luma Energy пострадал от кибератаки. После атаки на подстанции в Сан-Хуане началось возгорание, из-за которого сотни тысяч местных жителей лишились электричества. Подробнее здесь.
Атака хакеров на крупнейшего в мире производителя мяса JBS
В начале июня 2021 года кибератака на крупнейшего в мире производителя мяса JBS SA вызвала остановку всех заводов по производству говядины в США, которые обеспечивают почти четверть американских поставок. Все мясокомбинаты компании и региональные предприятия по производству говядины были вынуждены закрыться, а работа остальных мясоперерабатывающих предприятий JBS проходила со сбоями. В Австралии и Канаде также был приостановлен забой скота и переработка мяса. Подробнее здесь.
Хакеры 2 года незаметно «сидели» в сети МВД Бельгии и читали письма сотрудников
В конце мая 2021 года бельгийские правоохранители обнаружили масштабную кибератаку, целью которой, предположительно, являлось получение конфиденциальных данных. Хакеры в течение двух лет незаметно «сидели» в сети МВД Бельгии и могли просматривать электронные письма сотрудников. Подробнее здесь.
Кибератака на производителя автозапчастей Toyota Auto Body
В мае 2021 года американский производитель автозапчастей Toyota Auto Body, входящий в группу Toyota Motor, сообщила о проведении кибератаки на компанию. В результате взлома была похищена секретная информация. Подробнее здесь.
Хакеры взломали ИТ-системы полиции Вашингтона и украли документы
В конце апреля 2021 года управление полиции Вашингтона сообщило, что его компьютерная сеть была взломана в результате целенаправленной кибератаки. Группа вымогателей под названием Babuk угрожает раскрыть конфиденциальные данные о полицейских осведомителях, если с ней не свяжутся в течение трех дней. К расследованию кибератаки привлекли ФБР. Подробнее здесь.
Взлом сайта Белорусской АЭС
25 апреля 2021 года Министерство энергетики Белоруссии сообщило о взломе сайта Белорусской атомной электростанции. В результате кибератаки хакеры разместили на интернет-ресурсе предприятия фейковую информацию. Подробнее здесь.
Один из серверов SolarWinds был защищен с помощью простого пароля
Один из серверов SolarWinds был защищен с помощью пароля solarwinds123, установленного стажером. Об этом стало известно 1 марта 2021 года.
Некоторые считают, что атака на SolarWinds – это история о русских или китайских хакерах, но по сути, это история об огромной дыре в безопасности, увеличивающейся по мере появления подробностей об атаке. И теперь в этой истории обнаружен крайний – малоопытный стажер, использовавший ненадежный пароль. Подробнее здесь.
Кибератака через ПО SolarWinds является крупнейшей в истории - Microsoft
В середине февраля 2021 года Microsoft назвала кибератаку через ПО SolarWinds крупнейшей в истории. По словам президента софтверной корпорации Брэд Смита (Brad Smith) хакерская кампания, в которой американская технологическая фирма использовалась в качестве плацдарма для взлома множества правительственных агентств США, стала «крупнейшей и самой сложной атакой, которую когда-либо видел мир». Подробнее здесь.
2020
Обзор громких киберинцидентов 2020 года
В феврале 2021 года был представлен обзор громких киберинцидентов 2020 года.
На взлом Twitter у хакеров ушло 24 часа
Управление финансовых услуг штата Нью-Йорк (New York Department of Financial Services) представило отчет по результатам расследования взлома Twitter, имевшего место в июле 2020 года. Согласно отчету, на осуществление взлома у киберпреступников ушло 24 часа. Об этом стало известно 16 октября 2020 года. Подробнее здесь.
Убытки от BEC-атак достигают $26 млрд в год
Злоумышленники, осуществляющие BEC-атаки, проводят операции по крайней мере в 39 различных странах и несут ответственность за ежегодные убытки в размере $26 млрд. Об этом стало известно 15 октября 2020 года.
ИБ-специалисты из отдела киберразведки компании Agari проанализировали более 9 тыс. случаев BEC-атак (business email compromise – компрометация деловой почты) по всему миру и сообщили , что их число резко возросло за последний год, а мошенничество с применением социальной инженерии вышло далеко за пределы Нигерии.
Подобные атаки обходятся компаниям в $26 млрд ежегодно. Как обнаружили исследователи, ущерб от BEC-атак на октябрь 2020 года составляет 40% потерь от киберпреступлений во всем мире. Банковский перевод, осуществляемый в рамках BEC-атаки, в среднем составляет около $80 тыс.
Наиболее важным аспектом любой BEC-атаки является роль «денежного мула». Эти люди выполняют определенную работу для мошенников, открывая банковские счета и осуществляя денежные переводы. Эксперты выявили «денежных мулов» в 39 странах, однако большинство из них расположены в США (80%) и находятся неподалеку от самих мошенников.
BEC-атаки (business email compromise – компрометация деловой почты) — мошеннические операции, в рамках которых преступники пытаются путем обмана убедить одного или нескольких сотрудников целевых организаций перевести деньги на банковские счета, контролируемые злоумышленниками. Данный тип атак довольно успешен, поскольку мошенники выбирают людей, которым доверяют сотрудники, например, надежный деловой партнер или генеральный директор компании[3].
Выявлена киберкампания против российских промышленных предприятий
12 октября 2020 года стало известно, что «Лаборатория Касперского» обнаружила продолжительную киберкампанию, нацеленную на российские промышленные предприятия. Характерной особенностью атак является тот факт, что операторы кампании, судя по всему, также русскоязычные. Атаки начались самое позднее в 2018 году.
Группировка, стоящая за этой кампанией, использует набор вредоносных модулей, получивший название MontysThree. Он предназначен для целевых атак на промышленные предприятия и использует ряд методик, позволяющих избежать обнаружения, в том числе коммуникации с контрольно-командным сервером через публичные облачные сервисы и стеганографию.
Атаки начинаются с целевых фишинговых писем; если потенциальная жертва открывает письмо и вложение (в форме самораспаковывающегося архива), то содержащийся в нём загрузчик расшифровывает на компьютере жертвы основной вредоносный модуль из растрового изображения со стеганографией. Для этого применяется специально разработанный алгоритм.
Названия прилагающихйся к письмам архивам «могут быть связаны со списками контактов сотрудников, технической документацией или результатами медицинских анализов, - говорится в сообщении «Лаборатории». |
Основной вредоносный модуль использует несколько алгоритмов шифрования, чтобы избежать детектирования, преимущественно RSA для коммуникаций с контрольным сервером и для расшифровки конфигурационных данных. В этих основанных на формате XML данных описываются задачи зловреда: поиск документов с заданными расширениями, в указанных директориях и на съёмных носителях. Данная информация позволила выяснить, что операторов MontysThree интересуют документы Microsoft Office и Adobe Acrobat, - говорится в пресс-релизе компании. |
Вредоносные модули также могут делать скриншоты рабочего стола, анализировать сетевые и локальные настройки и т.д.
Вся собранная информация шифруется и выгружается на публичные облачные сервисы (Google Drive, Microsoft One Drive или Dropbox). Через них же закачиваются другие модули, если это необходимо.
Эксперты «Лаборатории» отмечают, что уровень технических решений в наборе MontysThree заметно разнится: часть выполнена на очень высоком профессиональном уровне, часть - на любительском: например, хранение всех ключей шифрования в одном и том же файле, запуск невидимого браузера на удалённом RDP-хосте и некоторые другие особенности в «Лаборатории» назвали проявлением незрелости и любительщины.
Разработчики используют надёжные криптографические стандарты и кастомизированную стеганографию, и продолжают развивать свой инструментарий. Никаких пересечений с кодом других целевых кампаний обнаружить не удалось.
В «Лаборатории» считают, что авторы кампании говорят на русском языке и используют в разработке операционные системы с кириллическим интерфейсом, о чём свидетельствуют артефакты (фразы на русском языке) в XML-файле. В некоторых вредоносных сэмплах содержится информация об аккаунтах, используемых при коммуникациях с публичными облачными сервисами, и они выглядят китайскими, но в «Лаборатории» считают, что это лишь не очень умелая попытка замаскировать истинное происхождение кампании.
Мы полагаем, что операторы MontysThree говорят по-русски сами и их атаки также направлены на русскоязычные цели. Некоторые названия файлов в архивах RAR, используемых для распространения вредоносов, написаны на русском языке и содержат упоминания российской медицинской лаборатории в качестве приманки для жертв. Содержание XML-файла с настройками содержит названия полей данных и функций Windows на русском языке, плюс к этому упоминаются пути к системным каталогам, которые присутствуют только в локализованных русскоязычных версиях Windows. Кроме того, мы наблюдали грамматичесие ошибки в англоязычных логах вредоноса, - указывают эксперты «Лаборатории». |
Различие в качестве разработки может свидетельствовать о том, что не весь инструментарий разрабатывался операторами кампании самостоятельно. Наиболее профессионально изготовленные инструменты могли быть приобретены на стороне, менее профессиональные - созданы самостоятельно. Профессионалы, заинтересованные в ведении долгосрочных кампаний, вряд ли будут использовать «незрелые» инструменты. На то, что за кампанией стоят скорее любители, также указывает и другой фактор: профессиональные российские киберпреступники редко атакуют мишени на территории России же. Впрочем, «редко» не значит «никогда», - полагает Алексей Водясов, технический директор компании SEQ (ранее SEC Consult Services).
|
Технические подробности о кампании доступны здесь.
Российское бюро Интерпола: хакеры переходят на аутсорсинг
25 сентября 2020 года в Национальном центральном бюро (НЦБ) Интерпола МВД России сообщили о переходе киберпреступников на аутсорсинг, когда хакеры производят кибератаки в качестве коммерческой услуги. Подробнее здесь.
Accenture: Лишь 17% компаний готовы эффективно сопротивляться кибератакам
19 февраля 2020 года компания Accenture подвела итоги исследования в области кибербезопасности. В нем приняло участие 4644 руководителей отделов информационной безопасности (ИБ) компаний с доходом более $1 млрд из 24 различных отраслей в 16 странах. Третий ежегодный отчет о киберустойчивости сфокусирован на выявлении ключевых факторов успеха компаний-лидеров по защите бизнеса от киберугроз. Подробнее здесь.
Ростелеком-Солар: всплеск необычных кибератак на банки и энергетику
Эксперты центра расследования киберинцидентов JSOC CERT компании «Ростелеком-Солар» зафиксировали всплеск достаточно редкого типа атак на банки и энергетическую отрасль. Цепочка вредоносной активности включает целых четыре этапа, что позволяет хакерам получить контроль в ИТ-инфраструктуре организации, оставаясь незаметными для средств защиты — антивирусов и даже песочниц. Об этом «Ростелеком-Солар» сообщил 18 февраля 2020 года. Подробнее здесь.
2019
Positive Technologies: 60% кибератак имели целенаправленный характер
18 марта 2020 года Positive Technologies сообщила, что ее эксперты проанализировали актуальные киберугрозы 2019 года. Анализ показал, что доля целевых атак существенно превысила долю массовых, а наиболее атакуемыми отраслями оказались госучреждения, промышленность, медицина, сфера образования и финансовая отрасль.
По данным исследования, количество уникальных кибератак выросло на 19%, а доля целенаправленных атак составила 60%, что на 5 п. п. больше, чем в 2018 году. При этом эксперты компании фиксировали поквартальный рост числа атак, и если в I квартале целевыми были менее половины атак (47%), то в конце года их доля составила уже 67%.
Рост доли целенаправленных атак обусловлен рядом причин. Ежегодно появляются группы злоумышленников, специализирующиеся на атаках класса APT (advanced persistent threat). В течение года мы отслеживали APT-атаки 27 групп, среди которых есть как широко известные (Cobalt, Silence, APT28), так и относительно молодые, малоизученные. Однако более пристальное внимание организаций к кибербезопасности, внедрение и использование специализированных средств защиты, нацеленных на выявление и противодействие сложным атакам (в частности, внедрение решений anti-APT), позволяет более качественно детектировать активность злоумышленников, существенно сокращать время их присутствия в организациях. В итоге в публичном поле оказываются данные об инцидентах, а главное — информация о тактиках и инструментарий APT-группировок, что позволяет повысить эффективность противодействия в целом, говорит Алексей Новиков, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center)
|
.
По мнению экспертов, компании должны сместить фокус внимания с защиты периметра на возможность своевременно выявить развитие атаки внутри сети, регулярно проверять, не были ли они атакованы ранее. Учитывая рост целенаправленных атак, постоянно меняющиеся подходы преступников и усложнение ВПО, ключевыми факторами в обеспечении защиты в ближайшие годы станут непрерывный мониторинг инцидентов ИБ, глубокий анализ сетевого трафика и ретроспективный анализ событий в сети.
Наиболее часто кибератакам подвергались госучреждения, промышленность, медицина, сфера науки и образования, финансовая отрасль. При этом доля атак на промышленные компании выросла до 10% против 4% в 2018 году.
Значительные изменения коснулись мотивации злоумышленников в атаках против частных лиц: как показал анализ киберугроз в 2019 году, более половины атак осуществлялись с целью хищения данных, в то время как в 2018 году аналогичный показатель составлял 30%. В целом кража информации стала главным мотивом атак — и для частных (57%), и для юридических лиц (60%). Наибольший интерес для злоумышленников в 2019 году представляли персональные данные, учетные записи и данные банковских карт.
Как показал анализ, трояны-шифровальщики стали одной из наиболее актуальных киберугроз для юридических лиц по всему миру. В 2019 году на их долю пришлось 31% заражений, а средняя сумма выплат злоумышленникам достигла нескольких сотен тысяч долларов США. В конце 2019 года эксперты Positive Technologies отметили тренд: операторы шифровальщиков в случаях отказа платить выкуп начали шантажировать жертв публикацией данных, которые они скопировали перед тем, как зашифровать их. По данным исследования, на конец 2019 года такие кампании проводили операторы шифровальщиков Maze и Sodinokibi. Информация о том, что преступникам удалось заработать на выкупах позволяет предположить, что в 2020 году нас ожидает очередная волна атак шифровальщиков, а возникшая в конце года тенденция к публикации файлов жертв, отказавшихся платить выкуп, получит развитие.
Dell Technologies: 82% компаний пострадали от кибератак и происшествий
Согласно исследованию Dell Technologies, Global Data Protection Index 2020 Snapshot, проведенному в 2020 году, на март 2020 года организации управляют 13,53 петабайтами (Пб) данных, что на 40% больше чем в среднем 2018 году (9,7 Пб) и на 831% больше чем в 2016 году (1,45Пб). Наибольшую опасность для этих данных представляет растущее число инцидентов: от кибератак до потери данных и простоя систем. Большинство организаций (82% в 2019 году по сравнению с 76% в 2018 году) заявляет, что пострадало от таких происшествий в последний год. Подробнее здесь.
Positive Technologies: 82% всех выявленных уязвимостей обусловлены ошибками в коде
13 февраля 2020 года Positive Technologies сообщила, что ее эксперты проанализировали состояние защищенности веб-приложений и выяснили, что в 9 случаях из 10 злоумышленники могут атаковать посетителей сайта, 16% приложений содержат уязвимости, позволяющие получить полный контроль над системой, а в 8% случаев — атаковать внутреннюю сеть компании. Кроме того, получив полный доступ к веб-серверу, хакеры могут размещать на атакуемом сайте собственный контент (выполнять дефейс) или даже атаковать его посетителей, например заражая их компьютеры ВПО.
По данным исследования, в 2019 году существенно (на 17 процентных пунктов по сравнению с 2018 годом) снизилась доля веб-приложений, содержащих уязвимости высокого уровня риска. Число уязвимостей, которое в среднем приходится на одно приложение, снизилось по сравнению с 2018 годом почти в полтора раза. Несмотря на это, общий уровень защищенности веб-приложений оценивается как низкий.
82% всех выявленных уязвимостей обусловлены ошибками в коде. По словам экспертов, даже в случае продуктивных систем в каждой второй они находили уязвимости высокого уровня риска. Высокий процент ошибок в исходном коде свидетельствует о том, что код не проходит проверку на наличие уязвимостей на промежуточных этапах его создания, а также что разработчики по-прежнему уделяют недостаточно внимания безопасности, делая ставку на функциональность приложения.
В 45% исследованных веб-приложений эксперты обнаружили недостатки аутентификации (Broken Authentication); многие уязвимости из этой категории критически опасны.
Большинство атак на аутентификацию связано с тем, что пользователи устанавливают только пароль. Отсутствие второго фактора делает атаки на аутентификацию простыми в реализации. Эта проблема усугубляется тем, что пользователи стараются придумать пароли попроще. Обход ограничений доступа обычно приводит к несанкционированному разглашению, изменению или уничтожению данных, считает Ольга Зиненко, аналитик компании Positive Technologies
|
По данным экспертов, 90% веб-приложений подвержены угрозе атак на клиентов. Как и в предыдущие годы, существенную роль в этом играет уязвимость «Межсайтовое выполнение сценариев» (Cross-Site Scripting, XSS). Примерами атак на пользователей могут быть заражение компьютеров вредоносным ПО (доля этого метода атак на частных лиц в третьем квартале года увеличилось до 62% против 50% во втором), фишинговые атаки для получения учетных или других важных данных, а также выполнение действий от имени пользователя с помощью обманной техники clickjacking, в частности для накрутки лайков и просмотров.
Анализ «громких» инцидентов в сфере информационной безопасности в 2019 году
2019 год был богат на инциденты. Было отмечено много случаев неправильного хранения информации и несвоевременного устранения критических уязвимостей, приведших к крупным утечкам данных, а также много атак на финансовые организации, ритейл, устройства Интернета вещей. Несколько опасных по своим последствиям атак было проведено на промышленные предприятия. В статье описаны наиболее крупные и интересные атаки в условной сортировке по ключевой бреши в системе защиты или ключевому действию, производимому злоумышленником.
США, Китай, Индия, Россия и Вьетнам - основные источники всех типов атак в I-II кварталах
17 декабря 2019 года стало известно, что ссылаясь на исследование Lumen Technologies (ранее CenturyLink) (США), заместитель директора Национального координационного центра по компьютерным инцидентам Николай Мурашов назвал основными источниками всех типов атак в I-II кварталах 2019 г. США, Китай, Индию, Россию и Вьетнам (от большего количества к меньшему). По фишинговым атакам также в лидерах - США, следом идут Германия, Нидерланды, Франция и Россия. Бесспорное первенство по распространению вредоносного ПО через web-ресурсы принадлежит США, далее Китай, Нидерланды, Великобритания и Германия. Такими результатами международного исследования делится Николай Мурашов.
По данным НКЦКИ, основными целями компьютерных атак на информационные ресурсы в РФ в 2019 году стали кредитно-финансовая сфера (33%), органы государственной власти (27%), оборонная промышленность и космос (18%), наука и образование (9%) и прочее (13%). В 2020 г. НКЦКИ ожидает, что тенденция сохранится и кредитно-финансовая сфера по-прежнему будет подвергаться наибольшим опасностям из-за желания злоумышленников заработать.
На декабрь 2019 года НКЦКИ мониторит десятки тысяч различных объектов, из которых 50% - это объекты критической информационной инфраструктуры (КИИ). По итогам 2019 г. наибольшее количество атак удалось отразить в ракетно-космической, оборонной и химической отраслях.
Именно там злоумышленники ищут любую возможность получить закрытую информацию, в том числе информацию, составляющую коммерческую или иную охраняемую законом тайну,
пояснил Николай Мурашов
|
Как отметил замглавы НКЦКИ, в 2019 г., как и в предыдущие годы, фиксировались случаи заражения вирусами-шифровальщиками с целью получения выкупа.
На фоне других государств обстановка с этим типом вредоносного ПО в РФ можно назвать спокойной, количество таких заражения на декабрь 2019 года снижается сообщил Николай Мурашов
|
Однако, обратил внимание Николай Мурашов, нишу вирусов-шифровальщиков заняло вредоносное ПО, используемое для захвата чужих ресурсов с целью майнинга криптовалют.
На фоне других государств обстановка с этим типом вредоносного ПО в РФ можно назвать спокойной, количество таких виртуальных денег достаточно высока, поэтому желающих их легко заработать также становится много. Майнеры взламывают компьютеры обычных пользователей и используют их вычислительные ресурсы в своих целях. Для генерации виртуальных монет может использоваться до 80% мощности захваченного компьютера. Очень часто легальные пользователи об этом не знают, заметил Николай Мурашов
|
Как указал Николай Мурашов, захват для майнинга серверов крупных компаний грозит существенным снижением их производительности, что влечет значительный ущерб для бизнеса.
Стоит отметить, что число выявленных случаев майнинга криптовалют с помощью зараженных информационных ресурсов различных государственных и муниципальных организаций огромно. В этом случае злоумышленники заражают веб-страницы, а майнинг осуществляется, когда пользователи ресурсов просматривают их в браузере, привел пример Николай Мурашов[4]
|
Fortinet: Развитие ИИ и разведка в области киберугроз изменят традиционные преимущества киберпреступников
5 декабря 2019 года компания Fortinet выпустила прогноз ландшафта угроз на 2020 и последующие годы, подготовленный командой экспертов FortiGuard Labs. Исследование раскрывает направления, по которым будут действовать киберпреступники в ближайшем будущем. Кроме этого, были обозначены приемы, которые помогут организациям защититься от будущих атак.
«Ранее успех в действиях злоумышленников был связан во многом с расширением поверхности кибератак и образующихся в результате этого пробелов в безопасности, вызванных цифровой трансформацией. В последнее время их методики проведения атак стали еще более изощренными благодаря интеграции начальных форм ИИ и swarm technology. К счастью, можно восстановить прежний уровень безопасности, если многие компании будут придерживаться одинаковых стратегий для защиты своих сетей, через которые преступники организуют нападения. Это потребует унифицированного подхода с использованием широкоформатных, интегрированных и автоматизированных решений для обеспечения защиты и подконтрольности всех сегментов сети, а также различных периферийных устройств, от IoT до динамически подключаемых облаков», отметил Дерек Мэнки, руководитель отдела безопасности и анализа глобальных угроз, Fortinet |
Как отметили в Fortinet, за последние годы методики проведения кибератак становились все более изощренными, что привело к росту их эффективности и скорости. Этот тренд, вероятнее всего, сохранится, пока на рынке не появится достаточно организаций, которые изменят свой подход к стратегиям защиты. Учитывая масштабы ландшафта глобальных угроз, скорость и сложность кибератак, организациям придется реагировать на возникающие угрозы в реальном времени, не отставая от работы машин, чтобы эффективно противостоять агрессивным действиям. В этой борьбе станет жизненно необходимым применять последние достижения в области искусственного интеллекта (ИИ) и исследования угроз.
Одной из долгосрочных целей в разработке ИИ для обеспечения безопасности является создание адаптивной системы невосприимчивости к угрозам, работающей аналогично иммунной системе человека. Разработка такого ИИ первого поколения была направлена на использование различных моделей машинного обучения. Они обучались, корректировались и предлагали определенный план действий для отражения атаки. В системах ИИ второго поколения акцент был сделан на создание механизма интеллектуального анализа. Его уровень значительно вырос к этому времени и позволял выявлять паттерны, существенно улучшавшие работу различных функций, таких как управление доступом, путем размещения обучающихся узлов по всем направлениям защиты. Развитие систем ИИ третьего поколения идет по пути отказа от использования монолитного центра обработки в пользу создания системы региональных обучающихся узлов. Данные накапливаются локально и используются для распределенного сравнения, коррекции и анализа. Это будет иметь крайне важное значение для компаний, которые ищут пути защиты своих разрастающихся периферийных сегментов.
Помимо применения традиционных форм анализа угроз с использованием данных из открытых источников или после изучения внутреннего трафика и накопленной информации, будущие системы машинного обучения начнут со временем активно применять данные, собираемые с периферийных устройств нового поколения и передаваемые на локальные обучающиеся узлы. Отслеживая и сопоставляя информацию в реальном времени, ИИ-система сможет иметь более полное представление о текущем состоянии угроз. Она также сможет корректировать работу локальных устройств, задавая им правила для ответной реакции на инциденты. Это позволит будущим ИИ-системам безопасности распознавать угрозы, корректировать свои действий, отслеживать и быть готовыми к ответным мерам, обмениваясь информацией в пределах сети. В конечном итоге, распределенная система обучения позволит объединить наборы данных, чтобы адаптироваться к изменяющимся условиям, тенденциям и событиям. Таким образом, каждое событие будет улучшать качество всем системы. В результате, информация об инциденте, полученная в одном месте, будет повышать осведомленность о текущих угрозах для всей системы.
Внедрение ИИ позволяет компаниям не только автоматизировать выполнение задач, но и открывает возможность создания автоматизированной системы поиска и выявления кибератак – как после появления признаков, так и до реализации сценария. Благодаря совместному использованию машинного обучения и статистического анализа, организации могут разработать индивидуальный план действий с опорой на ИИ для улучшения раскрываемости угроз и реагирования. Подготовленные сценарии реагирования (playbooks) должны научиться выявлять закономерности (паттерны), с помощью которых ИИ будет прогнозировать действия атакующей стороны, подсказать время вероятного начала следующей атаки и даже выявлять подозреваемых, стоящих за угрозой. Если эти данные можно предоставить системе обучения ИИ, то удаленные обучаемые ноды смогут поддержать эффективную и упреждающую защиту, не ограниченную только обнаружением угроз, но позволяющую также предсказывать последующие действия, проактивно вмешиваться в процесс и координировать действия с другими нодами для одновременного противодействия на пути распространения атаки.
Одним из наиболее важных факторов борьбы против шпионажа, по мнению Fortinet, является эффективная контрразведка. Это же справедливо и для кибератак или защиты, где все действия тщательно отслеживаются. Обороняющаяся сторона имеет явное преимущество в доступе к различного рода информации об угрозах. Киберпреступники обычно не обладают такими возможностями, к которым добавились средства машинного обучения и ИИ. Однако применение хитроумных уловок может привести к ответным мерам со стороны злоумышленников. Они учатся отличать легитимный трафик от уловок и стараются делать это незаметно, чтобы не раскрыть себя во время атаки. Чтобы эффективно противостоять такой стратегии, организациям потребуется добавить в свой арсенал сценарии реагирования и улучшенные алгоритмы ИИ. Это поможет не только обнаруживать нарушителей, занятых разбором легитимного трафика, но и улучшит технологию уловок, что сделает невозможным их отличие от легитимных сообщений. В будущем организации должны научиться реагировать на любые шпионские приемы до начала активных действий, сохраняя за собой превосходство в контроле.
Деятельность организаций, связанная с кибербезопасностью, предоставляет им ряд уникальных привилегий, касающихся доступа к персональной информации; представители преступного мира не обладают таким правом. Это позволяет правоохранительным органам создавать собственные командные центры с глобальным охватом и распространять свои действия на частных лиц, имея возможность наблюдать за киберпреступниками в реальном времени и реагировать на их действия. Существующая система законных действий, а также связи с общественными и частными службами также может быть полезна для выявления нарушителей и ответной реакции. Можно ожидать появления инициатив по формированию единого подхода для связей между правоохранительными органами международного и местного уровней, правительственными организациями, корпоративным сектором и экспертами в области безопасности. Это будет способствовать развитию системы своевременного и безопасного обмена информацией для выстраивания защиты критически важной инфраструктуры и усиления борьбы с киберпреступлениями.
Возможности, вносимые организациями в свою стратегию защиты, вряд ли останутся без внимания со стороны противника и будут иметь ответную реакцию. Внедрение улучшенных методов обнаружения и противодействия кибератакам приведет к попыткам киберпреступников сделать что-то другое, еще более серьезное. На фоне появления более совершенных методов атаки, расширения направлений потенциальных атак, внедрения более умных ИИ-систем, изобретательность представителей киберпреступного мира также не снижается.
В недавнем отчете Fortinet Threat Landscape отмечался рост популярности различных усовершенствованных методик уклонения. Их разработка направлена специально на то, чтобы избегать обнаружения, отключать функции защиты и устройства контроля, наносить урон, работая «под прицелом» систем защиты и применяя тактику LoTL («Living off The Land») – использование легитимного установленного ПО и маскировка вредоносного трафика под законный. Многие современные вредоносы уже содержат внутри себя функции, позволяющие уклоняться от обнаружения антивирусными программами или другими средствами противодействия угрозам. Но злоумышленники продолжают применять все более изощренные способы запутывания и противодействия анализу. При использовании таких стратегий роста значительно повышается значение «слабых мест», которые могут оставаться в средствах безопасности и появляться в результате ошибок персонала.
Последние несколько лет на рынке наблюдался рост популярности swarm technology, связанной с выполнением поставленной задачи за счет массированных, скоординированных, однотипных действий. Применение средств машинного обучения и ИИ в атаках против легитимных сетей и устройств привело к появлению еще одного способа применения этой технологии. С одной стороны, ее достижения имеют важное значение для решения прикладных задач в области медицины, транспорта, машиностроения, автоматизации. Однако при злонамеренном использовании в условиях, когда организации не вносят изменений в свою стратегию защиты, паритет может нарушиться в пользу злоумышленников. Киберпреступники могут применять Swarm-технологию в бот-атаках для проникновения в сеть, подавления внутренних средств обороны, повышения эффективности поиска и кражи данных. Ожидается, что со временем появятся специализированные боты, наделенные определенными функциями, которые будут обмениваться данными в реальном времени и сопоставлять их. В результате возрастет скорость отбора целей, а тактика проведения атаки станет более разнообразной. Киберпреступники смогут атаковать уже не только одну, а и сразу множество целей одновременно.
Проникновение сетей 5G может со временем стать катализатором для развития функциональных Swarm-атак. В их основе будет лежать возможность выстраивания локальных специальных сетей, которые способны быстро обмениваться и обрабатывать данные, а также запускать в работу приложения. При этом ненадлежащем использовании 5G и периферийных Edge-вычислений каналом для распространения вредоносного кода могут стать взломанные устройства. Если собрать их в группу, то станет возможным проведение скоординированных атак на скоростях 5G. Принимая во внимание быстродействие, степень интеллектуальности, а также локальный характер проведения таких атак, под угрозой могут оказаться устаревшие технологии защиты, что заставит задуматься о поиске путей для эффективного противостояния таким угрозам.
Ранее на поиски уязвимости нулевого дня и разработку эксплойта уходило традиционно много сил и времени. Поэтому киберпреступники не торопились с их применением, придерживая в своем арсенале, пока оставались другие варианты для атаки. Нынешняя ситуация характерна ростом возможных направлений для угроз, а также упрощением задачи выявления уязвимостей. Это привело к угрозе потенциального роста числа уязвимостей нулевого дня. Применение технологий фаззинга и планомерный поиск («майнинг») уязвимостей нулевого дня с использованием ИИ также способствуют экспоненциальному росту числа подобных кибератак. Поэтому необходимо заблаговременно принимать меры для защиты, чтобы противостоять этому тренду.
Accenture: основные угрозы информационной безопасности бизнеса
20 сентября 2019 года компания Accenture представила результаты исследования, в котором выявила основные угрозы информационной безопасности бизнеса в 2019 году. По оценке Accenture, рынок сервисов кибербезопасности растет темпами, аналогичными рынкам Digital и ИТ. Accenture прогнозирует, что к 2021 году объем мирового рынка ИБ увеличится на 66% и составит $202 млрд. При этом совокупный мировой ущерб от кибератак может вырасти к 2021 году на 39% до $2,1 млрд. Подробнее здесь.
Кибергруппировка TaskMasters атакует организации в России и СНГ
13 мая 2019 года компания Positive Technologies сообщила, что её эксперты Expert Security Center обнаружили кибергруппировку предположительно с азиатскими корнями. Злоумышленники атаковали более 30 организаций из различных отраслей, включая промышленность, энергетический и нефтегазовый секторы России, СНГ и других странах. При этом значительное число жертв находилось в России и СНГ. Главная цель группы — кража конфиденциальной информации организаций. Группа действует на протяжении как минимум нескольких лет: обнаружены следы активности TaskMasters начиная с 2010 года.
Группа использовала необычный метод закрепления в ИТ-инфраструктуре: участники создавали специфические задания (таски) в планировщике задач (поэтому группировка получила название TaskMasters). Планировщик задач позволяет выполнять команды ОС и запускать ПО в определенный момент времени, указанный в задаче. Используемый кибергруппировкой планировщик AtNow позволяет выполнять задачи не только локально, но и на удаленных компьютерах сети, и делать это независимо от временных настроек этих узлов. Кроме того, эта утилита не требует установки. Все это упрощает автоматизацию атаки.
После проникновения в локальную сеть злоумышленники исследуют инфраструктуру, эксплуатируют уязвимости, загружают на скомпрометированные узлы вредоносные программы и удаленно используют их для шпионажа. Обнаружить подобные атаки можно с помощью специализированных средств защиты, в том числе PT Network Attack Discovery, а для анализа атак и их предотвращения необходимо привлекать профессионалов в расследовании киберинцидентов. Алексей Новиков, директор экспертного центра безопасности Positive Technologies
|
Эксперты Positive Technologies предполагают, что члены группы TaskMasters могут быть жителями стран Азии. В коде используемых ими инструментов встречаются упоминания китайских разработчиков, во время некоторых атак были зафиксированы подключения с IP-адресов из Китая, а ключи для некоторых версий программ можно обнаружить на форумах, где общаются жители этой страны. Помимо этого, многие утилиты из пакета TaskMasters содержат сообщения об ошибках и другую отладочную информацию, написанные на английском языке с ошибками, что указывает на то, что он не является для разработчиков родным языком.
За последние два с половиной года специалисты экспертного центра безопасности Positive Technologies провели более пятидесяти расследований инцидентов информационной безопасности, в числе которых обнаружение группировки ICEFOG, выявление АРТ на государственные и частные компании, а также расследование действий группировки Cobalt, следы активности участников которой эксперты сумели обнаружить даже после ареста ее лидера.
Кибератаки оставили Венесуэлу без света на несколько дней
11 марта 2019 года стал пятым подряд днем отсутствия электричества почти во всей Венесуэле. Президент страны Николас Мадуро заявил, что причиной блэкаута стали кибератаки со стороны США. Подробнее здесь.
Оценен ущерб от скоординированной глобальной кибератаки
По информации от 29 января 2019 года, скоординированная глобальная кибератака может нанести ущерб в размере от $85 млрд до $193 млрд. К такому выводу пришли специалисты рынка страхования Lloyd's of London и финансовой компании Aon по итогам проведенного стресс-тестирования для оценки риска.
Подобная атака приведет к появлению страховых претензий, охватывающих различные аспекты, - от остановки бизнес-операций и кибервымогательства до затрат на реагирование на киберинциденты.
В рамках сценария глобальной кибератаки эксперты прогнозируют общий объем страховых выплат в пределах от $10 млрд до $27 млрд.
От кибертаки могут пострадать ряд мировых секторов, по прогнозу экспертов, наибольшие убытки понесут организации в сферах здравоохранения, розничной торговли, банковской и промышленной.
В странах с хорошо развитой экономикой (США и государства Европы) материальные потери будут самыми существенными[5].
2018
48% атак в четвертом квартале были направлены на получение данных
В IV квартале 2018 года продолжило расти число уведомлений об утечках персональных данных, социальная инженерия использовалась в каждой третьей атаке, сообщили в компании Positive Technologies 19 февраля 2019 года. Кроме того, специалисты экспертного центра безопасности Positive Technologies обнаружили хакерскую группу, нацеленную на российские банки.
Как показало исследование, количество уведомлений об утечках персональных данных продолжает расти. Специалисты объясняют это введением в действие General Data Protection Regulation — законодательного акта, устанавливающего правила защиты персональных данных граждан ЕС. Компании, которые ранее умалчивали об инцидентах, после известий о первых штрафах и предупреждениях станут, вероятно, охотнее уведомлять клиентов о кибератаках, считают аналитики Positive Technologies.
В IV квартале минувшего года 48% атак были направлены на получение данных. Интересно, что в ходе половины из них злоумышленники использовали вредоносное ПО. В первую очередь, (это 28% атак) преступников интересовали учетные данные (логины, пароли) для доступа к различным сервисам и системам, в том числе к электронной почте сотрудников компаний.
Продолжила расти доля целенаправленных атак: она составила 62%. Эксперты отмечают, что злоумышленники все чаще используют «индивидуальный подход» для атак на организации, а частные лица страдают от масштабных заражений вредоносным ПО. Треть атак на частных лиц была нацелена на получение данных. Наибольший интерес для злоумышленников представляют учетные данные (в 60% случаев крадут именно их), отметили в Positive Technologies.
Доля инцидентов, принесших преступникам прямую финансовую выгоду, выросла на 6% по сравнению с прошлым кварталом. В IV квартале специалисты Экспертного центра безопасности Positive Technologies отметили активность трех групп, атакующих финансовые организации, — уже знакомых Silence и Cobalt, а также группы, нацеленной на российские банки. Злоумышленники рассылали вредоносные документы с макросами якобы от лица ФинЦЕРТ, а также через скомпрометированную учетную запись сотрудника компании «Альфа-Капитал». Несмотря на схожесть обеих атак с активностью группы Treasure Hunters, в результате анализа трафика эксперты сделали выводы о появлении еще одной группы киберпреступников.
По оценкам экспертов Positive Technologies, социальная инженерия в IV квартале использовалась в каждой третьей атаке.
Фишинг в адрес сотрудников компании-жертвы стал уже отработанной схемой злоумышленников в рамках целенаправленных атак, — отметил директор Экспертного центра безопасности Positive Technologies Алексей Новиков. — Так, в ноябре наши специалисты обнаружили вредоносное вложение в электронных письмах, которое позволяло злоумышленнику захватывать изображение с веб-камер, записывать звук, делать скриншоты экрана, копировать файлы с медиаустройств. Преступники ловко привлекали внимание адресатов броской темой письма и размытым изображением открывающегося файла, на котором проглядывал герб — так, что документ должен был вызывать доверие и желание с ним ознакомиться, включив необходимый скрипт. Пока жертва видела на экране документ-заглушку, на компьютере незаметно для пользователя устанавливалось ВПО для удаленного управления Treasure Hunter, которое собирало информацию о системе, отправляло ее на удаленный командный сервер и принимало команды с него. |
По словам руководителя отдела аналитики ИБ Positive Technologies Евгения Гнедина, электронные письма часто рассылаются в маркетинговых целях и содержат кнопки-приглашения для перехода на сайт.
Мы напоминаем, что перед нажатием на такую кнопку в письме необходимо обратить внимание на имя адресанта, а также на ссылку, куда будет осуществлен переход после нажатия, — говорит Евгений. |
Исследование Balabit
Check Point: 97% компаний не готовы к кибератакам «Пятого поколения»
Согласно отчету 2018 Security Report, подготовленному компанией Check Point Software Technologies, более 300 мобильных приложений, распространяющихся через официальные магазины, содержат вредоносный код. Также специалисты Check Point отмечают, что количество облачных угроз, атак криптомайнеров, уязвимостей MacOS и IoT-устройств продолжает расти. Подробнее здесь.
Атака на четыре газовые компании в США
В начале апреля 2018 года стало известно о хакерских атаках на четыре американские газовые компании. В результате кибернападения некоторые ИТ-системы на несколько дней были остановлены в целях безопасности.
Неизвестные киберпреступники напали на Boardwalk Pipeline Partners, Eastern Shore Natural Gas, Oneok и Energy Transfer, которые занимаются обслуживанием газопроводов. Атаки были совершены в конце марта.
В компании Oneok, которая управляет газовыми магистралями в пермском нефтегазоносном бассейне в Техасе и Скалистых горах (западная часть Северной Америки), заявили, что в качестве меры предосторожности было принято решение отключить компьютерную систему после того, как подрядчик стал «очевидной целью для кибератаки».
Oneok не уточнила, работа какой системы была заморожена. В Energy Transfer рассказали, что компания отключила платформу для обмена данными (EDI; через нее передают заказы на поставку, счета-фактуры и т. п.) с клиентами, которую разработала дочерняя Energy Services Group для ускорения передачи документов и сокращения расходов.
Эта ситуация не повлияла на нашу деятельность. В период отключения мы вручную выполняем все плановые операции, — заявила агентству Bloomberg пресс-секретарь Energy Transfer Вики Гранадо (Vicki Granado). |
EDI-решение Energy Services также используется другими компаниями, такими как Tallgrass Energy Partners и Kinder Morgan. Их представители говорят, что компьютерные системы компаний не пострадали. В Boardwalk Pipeline Partners подтвердили, что в EDI-системе произошел сбой, однако не уточнили причину. То же самое сказали в Eastern Shore Natural Gas.
К 4 апреля 2018 года системы электронного документооборота всех газовых компаний, которые пережили кибернападения, полностью восстановлены.
Президент организации North American Energy Standards Board (отвечает за разработку отраслевых стандартов в области энергетики) Ра Маккуад (Rae McQuade) говорит, что вывод из строя EDI-систем не прекращает передачу газа, однако оказывает серьезное влияние, поскольку компаниям приходится искать обходные варианты для взаимодействия.
Партнер Jones Walker Энди Ли (Andy Lee) отмечает, что компании, управляющие большей частью американской газопроводной сети протяженностью 3 млн милей, используют сторонние решения для документооборота, поэтому зависят от тех, кто отвечает за безопасность таких систем. При этом хакеров привлекает легкодоступность EDI, что позволяет им распространять вирусы-вымогатели или красть данные с последующей продажей.
По мнению эксперта по кибербезопасности промышленных систем Фила Нерая (Phil Neray), хакерская атака на газопроводные компании была проведена с целью финансового обогащения, однако не стоит исключать, что за этим стояли власти каких-либо стран.
Сети компаний, у которых есть какие-то важные активы, например, трубопроводы, электричество, финансы, могут быть целями для атак. Так было всегда, — заявил операционный директор компании-поставщика ИБ-решений R9B Джон Харбо (John Harbaugh). |
Системы электронного обмена данными используются злоумышленниками для проникновения в ИТ-инфраструктуру компаний, но не являются конечной целью для них, рассуждает представитель Accenture Джим Гуинн (Jim Guinn).
Нет абсолютно никакой ценности в доступе к EDI, кроме как для перемещения по сети, чтобы делать что-то еще более злонамеренное. Все плохие художники ищут способ проникнуть в музей, чтобы украсть картину Ван Гога, — сообщил он, добавив, что принципиальных различий между системами для нефтяных и газовых компаний нет.[6] |
2017
К 2021 году глобальный ущерб от кибератак превысит $6 трлн
Как заявили в компании RedSys в конце декабря 2017 года, количество кибератак продолжает увеличиваться. Так только в первой половине 2017 года было совершено более 900 кибератак, в результате которых похищено более 1,9 млрд наборов данных. В основе большинства атак зафиксировано вредоносное программное обеспечение ransomware, которое заражает компьютеры и ограничивает доступ к файлам в обмен на выкуп. Кроме того, некоторые зловреды напрямую воровали миллионы долларов.
В целом кибератаки 2017 года высветили существующую проблему обеспечения информационной безопасности, считает директор центра информационной безопасности RedSys Дмитрий Шумилин.
Тенденция, которая наблюдалась в течение предыдущих лет, однозначно говорит о том, что точно не стоит ожидать уменьшения количества и масштабов атак. Вероятно, атаки все чаще будут нацеливаться на конкретные уязвимые точки, также ожидается увеличение атак с использованием устройств интернета вещей, распространенность которых в последнее время лавинообразно увеличивается, а их безопасность при этом оставляет желать лучшего, — прогнозирует эксперт. |
Увеличение числа угроз, в свою очередь, приведет к резкому росту расходов бизнеса и государственных структур на защиту данных. Так, по прогнозам Cybersecurity Ventures, в течение следующих четырех лет глобальные расходы на кибербезопасность составят около $1 трлн. Однако ущерб от киберпреступности тоже значительно вырастет. Так, в 2015 году расходы на возмещение глобального ущерба из-за атак посредством программ-вымогателей составили $325 млн. В 2017 году эти расходы, по предварительным подсчетам, превысят отметку в $5 млрд, а к 2021 году показатель перешагнет планку в $6 трлн.
Подвергнуться кибератаке могут любые предприятия во всем мире, вне зависимости от их размера и рода деятельности. При этом многие корпорации уже задумались над путями решения проблемы — об этом свидетельствуют планируемые на 2018 года бюджеты, добавил Дмитрий Шумилин.[7]
Изобретен компьютер, который «невозможно взломать»
Университет штата Мичиган получил от Агентства передовых оборонных исследований (DARPA) грант в размере $3,6 млн на разработку компьютера, который будет неуязвим для хакерских атак на аппаратном уровне[8].
Идея проекта под названием Morpheus - сделать тщетными любые попытки атак на программное или аппаратное обеспечение компьютера. Аппаратные комплектующие Morpheus будут представлять собой «неразгадываемую головоломку»: вся информация, содержащаяся в системе, может быть быстро и в случайном порядке перераспределена по разным компонентам.
Основная статья: DARPA Morpheus "Неразгадываемая головоломка"
$1,3 млрд потеряли маркетологи в 2016 году из-за фрода со сбросом DeviceID
20 сентября 2017 года компания AppsFlyer сообщила о выявлении решением Protect360 масштаба фрода (мошенничества) со сбросом DeviceID. Согласно полученным данным, на этот вид фрода приходится свыше 50% всего мошенничества, связанного с установками приложений, что гораздо больше, чем предполагалось. По оценкам AppsFlyer, в 2016 году маркетологи потеряли $1,1–$1,3 млрд из-за фрода со сбросом DeviceID.[9]
Недавно обнаруженный вид мошенничества основан на сбросе идентификатора мобильного устройства. Применяется преступниками, эксплуатирующими высокоорганизованные «фермы» мобильных устройств (также известные как «мобильные фермы» или клик-фермы), для сокрытия своих действий. Такие фермы могут насчитывать тысячи устройств, как результат, скрыть мошенничество такого масштаба нелегко, в следствие чего преступники прибегают к целому ряду приемов, чтобы оставаться в тени. Последовательный сброс уникального идентификатора — один из приемов, который проводится для каждого мобильного устройства. Тогда телефон, входящий в «мобильную ферму», определяется как новый даже после нескольких тысяч установок приложения, что приносит компаниям убытки в размере до нескольких миллиардов долларов ежегодно, пояснили в AppsFlyer.
Согласно данным, полученным с помощью Protect360, мошенничество со сбросом DeviceID:
- отнимает деньги у маркетологов в 10% случаев — в среднем одна из 10 неорганических установок является мошеннической. Это означает, что из каждого доллара, потраченного на мобильную рекламу, 10 центов уходят прямиком в карманы мошенников;
- в равной степени затрагивает как iOS, так и Android;
- наносит ущерб 16 из 100 ведущих рекламных сетей — свыше 20% обеспечиваемых установок приложений являются мошенническими.
Данный тип фрода не ограничивается определённой страной или регионом. Мошенники в основном делают своей мишенью страны с высокими возмещениями CPI (cost-per-install, «цена за установку»). Кроме того, мошенники, занимающиеся сбросами DeviceID, нацеливаются на регионы с большим количеством кампаний и пользователей, чтобы затеряться в ожидаемо большом потоке трафика и остаться незамеченными для рекламодателей и сетей.
По данным исследования, на регион Восточная Европа, в который входит Россия, приходится 4,8% от общего объёма финансовых потерь, вызванных этим видом мошенничества, по всему миру. Компании удалось установить, что самая большая доля мошеннических установок со сбросом DeviceID приходится на Азию, за ней следуют Северная Америка и Европа. При этом наибольший финансовый урон испытывает Северная Америка (33,6% от общемирового уровня), Западная Европа (17,1%) и Юго-Восточная Азия (14,5%).
Глобальная кибератака может обойтись мировой экономике в $53 млрд
Как подсчитали в июле эксперты Lloyd's of London и Cyence, мощная глобальная кибератака может стоить мировой экономике $53 млрд — примерно столько же, во сколько оценивается ущерб от природных катаклизмов, таких как ураган «Сэнди». В своем отчете исследователи описали возможный ущерб экономике от взлома облачного провайдера и кибератаки на операционные системы, под управлением которых работают компьютеры в компаниях по всему миру, передаёт информагентство Reuters.[10]
Согласно предположению экспертов Lloyd's of London и Cyence, злоумышленники могут внедрить в ПО облачного провайдера вредоносный код, запрограммированный на выведение из строя компьютеров через год. После внедрения зловред будет распространяться среди клиентов провайдера, начиная от финансовых организаций и заканчивая отелями, принося им огромные убытки от простоя и починки.
По подсчетам исследователей, размер ущерба от серьезных кибератак может колебаться от $4 млрд до $53 млрд и достигать $121 млрд. Сумма урона от взлома операционных систем варьируется от $9,7 млрд до $28,7 млрд. Для сравнения, ущерб от урагана «Сэнди» — мощного тропического циклона, унесшего в 2012 году жизни 185 человек — составил $50 млрд.
Positive Technologies: Россия заняла второе место по числу киберинцидентов
Каждый десятый киберинцидент происходит в России, количество троянов-вымогателей вырастет благодаря направлению «ransom as a service», а мощность DDoS-атак увеличится за счет уязвимостей в «умных вещах». Такие наблюдения и прогнозы содержатся в новом исследовании актуальных киберугроз компании Positive Technologies по итогам первого квартала 2017 года.
Эксперты Positive Technologies отмечают, что за первые три месяца 2017 года было всего пять дней, в течении которых не поступало сведений о новых киберинцидентах.
Самой атакуемой страной в первом квартале является США (41% всех атак), Россия заняла второе место по количеству киберинцидентов (10%), а на третьем месте оказалась Великобритания (7%). В целом, атакам подвергались не менее 26 стран по всему миру.
Наибольшее число атак было направлено на государственные организации, на них пришлась каждая пятая атака (20%). Предпосылками для этого может служить обостренная как внешняя, так и внутренняя политическая обстановка многих стран. Социальные сети, поисковые системы, интернет-магазины и другие онлайн-сервисы стали мишенью каждого девятого нападения (11%). Немного лучше ситуация в финансовой отрасли — на банки пришлось 9% всех инцидентов. Далее следуют сфера образования (8%), медицинские учреждения и сфера услуг (по 7%), промышленные компании (5%) и оборонные предприятия (3%).
В исследовании эксперты рассмотрели произошедшие инциденты сразу с двух сторон: что атаковали злоумышленники и как они это сделали. Так, большинство атак были нацелены на ИТ-инфраструктуру компаний (40% атак). Преимущественно, злоумышленников интересовала чувствительная информация (например, персональные данные, данные владельцев платежных карт), которую можно продать на черном рынке. Однако эксперты отмечают снижение интереса киберпреступников к персональным данным и, соответственно, снижение их стоимости, что может быть связано с перенасыщением рынка.
Второе место по распространенности заняли атаки на веб-приложения (33%), которые открывают перед злоумышленниками множество возможностей: от получения конфиденциальной информации до проникновения во внутреннюю сеть компании. Большинство веб-атак были реализованы через уязвимые компоненты (устаревшие библиотеки и CMS-системы), хотя уязвимости веб-приложений также эксплуатировались. Специалисты Positive Technologies в начале 2017 года зафиксировали множество атак на сайты государственных организаций и различных коммерческих компаний.
Существенно увеличилось и число атак на POS-терминалы (3% от всех атак), превысив показатели первого квартала 2016 года почти в шесть раз и составив 63% от всех аналогичных нападений за 2016 год. Злоумышленники использовали средства удаленного администрирования и трояны.
Если говорить о наиболее популярных методах атак, то на первом месте по-прежнему использование вредоносного ПО. Эксперты Positive Technologies отмечают появление модели «вымогатели как услуга»: создатели вредоносного ПО все чаще не являются организаторами атак, а зарабатывают на продаже троянов преступным группировкам. Таким образом, разработчики вредоносного ПО, получив прибыль от продажи, могут готовить новый троян в то время, как другие преступники занимаются непосредственно реализацией атаки.
Что касается DDoS-атак, то в первом квартале 2017 года их мощность существенно увеличилась в связи с подключением к ботнетам все большего количества IoT-устройств. Так, в марте 2017 года было обнаружено очередное вредоносное ПО (ELF_IMEIJ.A), направленное на IP-камеры, системы видеонаблюдения и сетевые записывающие устройства производства AVTech. Кроме того, было выявлено свыше 185 тысяч уязвимых IP-камер, которые также могут оказаться частью нового ботнета.
Fortinet: Эффективность отслеживания и управления распределенными инфраструктурами снижается
В июне 2017 года Fortinet обнародовала данные отчета о всемирном исследовании угроз. Предметом исследования стала цепочка внедрения киберугроз. В контексте корпоративных технологий и современных тенденций развития сферы были рассмотрены три основных направления атак — эксплойты-приложения, вредоносное программное обеспечение и ботнеты. Как показывает исследование, несмотря на широкое освещение более резонансных атак, проводником преобладающей части успешных атак, с которыми довелось столкнуться организациям, стала широкомасштабная инфраструктура «Киберпреступление как услуга». Ниже приведены три основных вывода, изложенных в отчете[11].
1) Злоумышленники всегда учитывают прошлый опыт при разработке инструментов атак, готовых к применению в любое время и в любом месте
Благодаря современным инструментам и инфраструктуре «Преступление как услуга» злоумышленники могут оперативно действовать на общемировом уровне. Это означает, что в Интернете не существует расстояний или географических границ, так как большинство угроз функционирует в масштабе всего мира, а не отдельных регионов. Преступники всегда готовы к атаке и постоянно занимаются поисками уязвимостей на международном уровне.
Знание тенденций развития эксплойтов, а также принципов функционирования и распространения программ-вымогателей позволит избежать вредоносных последствий атак, которые придут на смену WannaCry. Вредоносные программы-вымогатели и их разновидности распространились по всему миру и одновременно поражают сотни организаций.
- Программы-вымогатели. Чуть менее 10% организаций выявили активность программ-вымогателей. В каждый отдельно взятый день 1,2% организаций обнаруживали в своих корпоративных сетях ботнеты-вымогатели. Наибольшая активность наблюдалась в выходные дни: злоумышленники пытались внедрить вредоносный трафик в обход сотрудников службы безопасности, работающих на выходных. По мере роста среднего объема трафика разных ботнетов-вымогателей повысилось и среднее количество организаций, становящихся целями атак.
- Тенденции развития эксплойтов. 80% организаций сообщили о выявлении в системах эксплойтов, представляющих серьезную и критически серьезную опасность. Большинство этих целевых эксплойтов было разработано в течение последних пяти лет, однако злоумышленники использовали и те уязвимости, которые существовали еще в прошлом веке. Распределение эксплойтов по географическим областям достаточно равномерно. Вероятно, это обусловлено тем, что активность огромного количества эксплойтов полностью автоматизирована при поддержке инструментов, сканирующих сеть Интернет на наличие уязвимостей.
2) Взаимопроникновение инфраструктур и IoT способствуют ускорению распространения вредоносного ПО
По мере роста объемов передачи данных и ресурсов между пользователями и сетями увеличивается и количество атак в разных географических областях и сферах деятельности. Исследование вредоносного ПО позволяет получить представление о стадиях подготовки и внедрения атак. Следует отметить, что задачу обеспечения защиты от мобильного вредоносного ПО усложняют такие факторы, как незащищенность устройств в рамках внутренней сети, частые подключения к публичным сетям и отсутствие корпоративного контроля над устройствами, находящимися во владении пользователей.
- Мобильное вредоносное ПО. Показатели распространенности мобильного вредоносного ПО за период с 4-го квартала 2016 г. по 1-й квартал 2017 г. оставались стабильными: около 20% организаций выявили мобильное вредоносное ПО. В этом квартале большинство в списке 10 наиболее распространенных угроз составили семейства вредоносного ПО, поражающего устройства Android. Общее соотношение по всем типам вредоносного ПО в 1-м квартале составило 8,7% — в 4-м квартале это значение было равно 1,7%.
- Распространение по регионам. Мобильное вредоносное ПО все шире распространяется во всех регионах, за исключением Ближнего Востока. Во всех случаях наблюдающийся рост статистически достоверен, его нельзя списать на случайные колебания. При рассмотрении в региональном разрезе тенденции распространения вредоносного ПО, поражающего устройства Android, демонстрируют наиболее очевидную географическую привязку.
3) Наблюдается снижение эффективности отслеживания состояния гибких распределенных инфраструктур
Тенденции развития угроз зависят от среды, поэтому очень важно быть в курсе изменений, которые с течением времени претерпевают информационные технологии, службы, элементы управления и поведение. Возможность доступа к актуальным данным позволяет составить представление о политиках безопасности и моделях управления в целом, а также успешно отслеживать развитие эксплойтов, вредоносного ПО и ботнетов по мере усложнения сетей и повышения степени их распределенности.
По мере увеличения количества потенциальных направлений атак в рамках расширенной сети эффективность отслеживания и управления современными инфраструктурами снижается. Такие тенденции, как повсеместное распространение частных и общедоступных облачных решений, развитие IoT, подключение к сетям большого количества самых разных интеллектуальных устройств и появление внеполосных направлений угроз, таких как теневые ИТ-ресурсы, привели к чрезмерному повышению нагрузки на специалистов по информационной безопасности.
- Зашифрованный трафик. Среднее значение соотношения между трафиком HTTPS и HTTP достигло рекордного значения — около 55%. Эта тенденция способствует сохранению конфиденциальности, однако создает сложности в ходе отслеживания и выявления угроз. Многие средства безопасности недостаточно эффективны при отслеживании зашифрованных данных. Организации, особенно те, в которых объем трафика HTTPS более высок, могут столкнуться с угрозами, скрытыми в зашифрованных данных.
- Приложения. В среднем организация использует 62 облачных приложения, что составляет примерно треть от общего числа обнаруженных приложений. При этом количество приложений IaaS достигло нового максимума. Проблема многих организаций заключается в том, что при перемещении данных в облако эффективность отслеживания их состояния может заметно снизиться. Кроме того, наблюдается спорная тенденция к увеличению объема данных, для хранения которых используются подобные приложения и службы.
- Сферы деятельности. Как показал групповой анализ по отраслям, для большинства сфер опасность представляют одни и те же направления угроз. В числе немногих исключений оказались сферы образования и телекоммуникаций. Это означает, что злоумышленники могут с легкостью использовать схожие направления атак в разных сферах, особенно при наличии автоматизированных инструментов.
Опасные сетевые принтеры
1 февраля 2017 года исследователи университета города Рура в Германии обнаружили в прошивках некоторых моделей сетевых принтеров ряд критических уязвимостей. Согласно их исследованию (официальное представление в мае 2017 года), посредством обнаруженных уязвимостей злоумышленники могут получить копии отправляемых на печать документов и даже захватить контроль над корпоративной сетью.
На 7 февраля 2017 года все принтеры во время печати управляются компьютером с помощью нескольких специальных протоколов и языков. В случае с сетевыми принтерами во время печати компьютер сначала инициализирует принтер через протокол управления устройством, затем устанавливает с ним обмен данным через сетевой протокол, после чего отправляет ему задание для печати сначала на языке управления заданиями, а потом на языке описания страниц [12].
Проще говоря, при старте печати компьютер находит в сети принтер, пробуждает его и сообщает, что нужно напечатать, например, два документа — сначала документ с одним идентификатором, а затем — с другим. При этом для каждого документа отправляется дополнительное описание, как именно его надо напечатать — прокрутить одну строку, по таким-то координатам нанести краску и т.п. Основные языки управления заданиями и описания страниц написаны в 1970-80-х годах и сегодня используются на всех принтерах.
Обнаруженные уязвимости потенциально присутствуют на всех принтерах (из-за общности языков управления ими), но представляют наибольшую угрозу именно на сетевых устройствах, поскольку к ним можно подключиться удаленно, а не по USB, как в случае с домашними устройствами. Самое простое, что может сделать злоумышленник с сетевым принтером — отправить его в замкнутый цикл, заставив выполнять одно и то же действие. При этом устройство перестанет отвечать на все внешние команды.
По данным исследователей, уязвимости обнаружены на 20 принтерах компаний Dell, HP, Lexmark International, Brother (Бразер), Samsung, Kyocera, Konica и OKI. Ученые полагают, что проблема распространена шире, но не могут проверить это предположение, поскольку проект изучения уязвимостей не финансируется. Отчеты о найденных брешах исследователи отправили производителям, из которых откликнулась только компания Dell - на январь 2017 года найденные уязвимости не устранила.
Исследователи создали собственный инструмент — программу PRET, она позволяет протестировать любой принтер, подключенный по USB, Wi-Fi или LAN, на наличие уязвимостей.
Юный хакер взломал 160 тыс. принтеров по всему миру
Хакер, называющий себя Stackoverflowin, также представляющийся «богом хакинга», утверждает, что написал скрипт, который автоматически ищет в Сети общедоступные принтеры и терминалы продаж, поддерживающие протоколы сетевой печати RAW, Internet Printing Protocol И Line Printer Remote, функционирующие на базе портов 9100, 631 и 515, соответственно[13].
Обнаруженные устройства с открытыми портами скрипт заставлял распечатывать хвастливое «письмо счастья» от хакера, содержащее рекомендацию срочно закрыть порты принтеров.
Уже даже после рассылки этих сообщений издание The Register с помощью поисковика Shodan.io выявило более 143 тысяч принтеров с открытым портом 9100.
Stackoverflowin, утверждающий, что ему нет 18 лет, заявил также, что использовал три уязвимости в веб-интерфейсе оборудования фирмы Xerox; эти уязвимости позволяют удаленно запускать произвольный код на этом оборудовании. По словам хакера, данные об этих брешах еще не раскрывались.
В целом, хакер заметил, что даже несколько расстроен тем, как просто было провернуть всю затею.
В социальных сетях (в первую очередь, в твиттере) по всему миру множатся публикации с фотографиями распечаток хакерских сообщений, так что очевидно, что Stackoverflow хвастается не на пустом месте.
2016: Белая книга Panda Security об атаках на инженерные объекты критической инфраструктуры в мире
30 ноября 2016 года подразделение PandaLabs компании Panda Security сообщила о выходе в свет белой книги с информацией о самых громких кибератаках на объекты жизненно важной инженерной инфраструктуры (критической) в мире и рекомендациями о способах защиты от атак на основную опору экономики современности. Ниже фрагмент издания.
Усиление тенденции взаимодействия всех типов инфраструктуры отражает рост потенциального числа точек проникновения атак в объекты, ставшие жизненно важными для современного общества. Это актуально и в отношении кибератак, которые проводились против подобных сетей в прошлом: одна из первых подобных атак выполнена в 1982 году, до появления Интернета. Тогда хакеры посредством трояна заразили системы сибирского нефтепровода, что привело к одному из самых мощных неядерных взрывов в мире.
Помимо частичной или полной остановки работы объектов критической инфраструктуры, что произошло с венесуэльской нефтяной компанией PDVSA, когда в результате атаки добыча нефти сократилась с 3 млн до 370 тыс. баррелей в сутки, подобные атаки также наносят значительный финансовый ущерб. Один из крупнейших производителей автомобилей в США потерпел убытки в размере $150 млн, «благодаря» атаке с использованием SQLSlammer, который быстро распространился по 17 заводам компании.
Один из самых печально известных случаев кибер-атаки на критическую инфраструктуру за всю историю – это Stuxnet. Уже известно, что это была согласованная атака американских и израильских спецслужб, направленная на срыв ядерной программы Ирана. Этот случай стал катализатором, который заставил мировую общественность узнать о разновидностях угроз.
Некоторые события ряда лет стали вехами в развитии мировой безопасности, в частности, атака 11 сентября. В Европе есть схожая дата – 11 марта 2004 года, тогда произошли взрывы поездов в Мадриде. В результате, Европейская комиссия разработала глобальную стратегию защиты объектов критической инфраструктуры «European Programme for Critical Infrastructure Protection», в составе которой приведены предложения по совершенствованию комплекса мер в Европе, предназначенных для предотвращения террористических атак и эффективному реагированию на них.
В результате подобных атак, помимо всего прочего, могут быть украдены технические характеристики объектов критической инфраструктуры и огромный объем других критически важных данных. Это означает необходимость принятия специальных мер защиты такой инфраструктуры, включая апробированные практики:
- Проверка систем на уязвимости.
- Адекватный мониторинг сетей, используемых для контроля таких инфраструктурных объектов, и, при необходимости, их полная изоляция от внешних соединений.
- Контроль над съемными устройствами, что крайне важно в любой инфраструктуре не только потому, что они являются направлением подобных атак, как было в случае с Stuxnet. При защите таких объектов критической инфраструктуры крайне важно сделать так, чтобы вредоносные программы не проникали во внутренние сети через съемные устройства, которые также могут использоваться и для кражи конфиденциальной информации.
- Мониторинг компьютеров, к которым подключены программируемые логические контроллеры (PLC). Эти подключенные к Интернету устройства наиболее чувствительны, поскольку они могут предоставлять хакерам доступ к критически важным системам контроля. Но, даже если хакеры не смогут получить контроль над системой, они могут получить ценную информацию для других направлений атак [14].
2015: 10 самых опасных кибер-атак года
Ни персональная информация, ни отпечатки пальцев не были в полной безопасности от кибер-преступников в 2015 году[15]. Ниже мы приводим краткий обзор наиболее опасных и тревожных атак 2015 года.
Кража отпечатков пальцев
Если отпечатки пальцев считаются одним из самых безопасных методов биометрической безопасности (этот метод используется для разблокировки iPhone), то кража информации, принадлежащей сотрудникам правительства США, показала, что у этой системы существуют различные проблемы, на которые стоит обратить внимание.
В июне 2015 года группа кибер-преступников смогла заполучить отпечатки пальцев примерно шести миллионов сотрудников федеральных ведомств и учреждений США, что могло бы подвергнуть опасности не только их мобильные телефоны, но и безопасность страны[16].
Удаленный контроль над смарт-автомобилями
Еще одна большая проблема, которая стоит перед специалистами по кибер-безопасности, - это инцидент со смарт-автомобилями[17]. Пока нет соответствующего решения, эти автомобили по-прежнему будут уязвимы для манипуляций над ними. Летом прошлого года два хакера показали, что можно воспользоваться ошибками в компьютерной системе Jeep Cherokee и перехватить контроль над автомобилем, даже сумев применить тормоза на этой машине, причем все операции были осуществлены удаленно.
Тысячи зараженных устройств с Android
Не все уязвимости в мире IT-безопасности ориентированы на современных решениях и устройствах. На самом деле, смартфоны оказались в центре массового скандала в 2015 году, когда тысячи устройств с Android были заражены Stagefright – в результате этого инцидента безопасности кибер-преступники смогли получить доступ к любому телефону с Android и контролировать его без ведома его владельца.
Фурор с онлайн-знакомствами
Несомненно, самый крупный скандал года был связан с утечкой информации о более чем 32 миллионах пользователей сайта онлайн-знакомств Ashley Madison[18]. Этот инцидент послал мощную взрывную волну по всему миру кибер-безопасности, лишний раз напомнив каждому из нас (как пользователям, так и владельцам онлайн-платформ) об опасностях, перед которыми сталкивается IT-безопасность.
Уязвимая инфузионная помпа
Здоровье и безопасность людей также подвержены риску в результате наличия уязвимостей у различных устройств. Причем речь идет не только о смарт-автомобилях, которыми можно дистанционно управлять и спровоцировать ДТП: в 2015 году был инцидент с инфузионной помпой, которая используется в больницах. Оказалось, что если кибер-преступник сумел подключиться к локальной сети больницы, то он смог бы получить доступ к этому аппарату, манипулируя им и изменяя параметры его работы.
Риски для АЗС
В опасности могут находиться не только аппараты в больницах, но и АЗС, в чем смогли убедиться исследователи по обе стороны Атлантики. Подключившись к сети, кибер-преступники могут атаковать топливные насосы, что может привести даже к взрыву.
Год, о котором в Apple хотели бы забыть
2015 стал самым плохим годом для Apple с точки зрения безопасности, т.к. количество атак, направленные на эти устройства, выросло в пять раз по сравнению с 2014 годом, при этом количество новых уязвимостей продолжило расти. Один такой пример – это ошибка Dyld, которая была обнаружена летом прошлого года, повлиявшая на операционную систему MAC OS X[19].
Кража данных через третьих лиц
В 2015 году данные 15 миллионов пользователей T-Mobile были украдены кибер-преступниками. По данным компании, информация была взята не с их корпоративных серверов, а она была украдена у компании, которая управляла платежами клиентов T-Mobile.
Кража данных через веб-браузеры
Летом 2015 года Firefox пришлось сообщить своим пользователям, что сбой в работе браузера был вызван тем инцидентом[20], в рамках которого кибер-преступники могли находить и осуществлять кражу файлов пользователей без их ведома.
Плохой конец года для Dell
Последний скандал 2015 года случился в декабре, когда было обнаружено, что в последних моделях компьютеров Dell скрывались серьезные ошибки безопасности. Благодаря этим уязвимостям кибер-преступники были способны изменять коммуникации между различными системами и осуществлять кражу информации с пострадавших компьютеров.
2011: Новый виток атак будет направлен на промышленные и энергетические компании - McAfee
На июль 2011 года, по данным McAfee, киберпреступники потратили как минимум 5 лет, целенаправленно ведя атаки на 70 государственных структур, некоммерческих организаций и корпораций для хищения данных. В число их входят, например, ООН, Международный олимпийский комитет (МОК) и коммерческие компании, расположенные на территории США.
В McAfee не уточняют, кто стоит за этими атаками. Большинство жертв не называются в отчете В McAfee, также как и то, какие именно данные у них были похищены. Сообщается только, что это компании и организации из таких стран помимо США как Канада, Южная Корея, Тайвань, Япония и многие другие.
Отчет выпущен после целой серии высоко-квалифицированных хакерских атак , произошедших в последние месяцы, в результате чего пострадали компании Citigroup, Sony Corp., Lockheed Martin, PBS и другие. По мнению экспертов McAfee, ко всем им были причастны так называемые группы хакеров-активистов вроде Anonymous и Lulzsec.
По мнению Дмитрия Алперовича, вице-президента по исследованию угроз McAfee и автора отчета, угроза гораздо больше, и многие случаи были просто не преданы огласке. Ключом к этим вторжениям, по его словам, «является массовый голод до чужих секретов и интеллектуальной собственности».
Однако не все организации воспринимают слова исследователей настороженно. В частности, представитель МОК Марк Адамс (Mark Adams) заявил, что пока исследователи из McAfee не предоставили им доказательств попыток скомпрометировать информационную безопасность комитета.
«Если это правда, то, конечно, это не может нас не тревожить. Однако МОК прозрачная организация и не имеет таких секретов, которые поставили бы под угрозу нашу деятельность или репутацию», - добавил он.
Между тем, исследователи предупреждают, что новой целью кибератак могут стать промышленные и, в частности, энергетические компании.
«Это не угроза только для США, это глобальная угроза», - заявил Тим Рокси (Tim Roxey), директор по управлению рисками North American Electric Reliability Corporation (NERC).
По оценкам этой компании, хакеры в состоянии получать доступ к любому оборудованию электростанций, включая турбинные клапаны.
Он также напомнил, как группа ученых вынуждена была покинуть атомный реактор в результате атаки печально известного вируса Stuxnet. По мнению экспертов Siemens AG, для таких атак не обязательны даже действия слаженной хакерской группы, атаку можно организовать единолично, обладая достаточным опытом и количеством времени.
2010: Расширение атак на другие ОС кроме Windows
В 2010 году в сфере киберпреступности наметился знаменательный поворот: впервые в истории хакеры стали переключать свое внимание с ПК и ОС Windows на другие операционные системы и платформы, включая смартфоны, планшетные компьютеры и мобильные устройства в целом. Об этом говорилось в опубликованном 20 января 2011 года Ежегодном отчете Cisco по информационной безопасности за 2010 год.
В предыдущие десять лет хакеры нацеливались, в первую очередь, на операционные системы для ПК. В ответ на это поставщики ПК-платформ и приложений усилили защиту своих продуктов и стали гораздо активнее искать и закрывать уязвимости с помощью коррекционных модулей (патчей). В результате хакерам стало все труднее взламывать платформы (в частности, платформу Windows), которые раньше позволяли им легко зарабатывать на хлеб и на масло. Поэтому злоумышленники ищут новые области для применения своих вредоносных "талантов". Тут очень кстати подоспели мобильные устройства и приложения, которые стали активно распространяться на рынке. В результате в 2011 году наибольшую угрозу для пользователей таят мобильные приложения, созданные сторонними разработчиками.
1982: ЦРУ взрывает советский газовый трубопровод
Сотрудники американского ЦРУ внедрили баг в канадское программное обеспечение, управлявшее газовыми трубопроводами. Советская разведка получила это ПО как объект промышленного шпионажа и внедрила на Транссибирском трубопроводе. Результатом стал самый большой неядерный взрыв в истории человечества, который произошел в 1982 году.
Смотрите также
Контроль и блокировки сайтов
- Цензура в интернете. Мировой опыт
- Цензура (контроль) в интернете. Опыт Китая, Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
- Цензура (контроль) в интернете. Опыт России, Политика Роскомнадзора по контролю интернета, ГРЧЦ
- Запросы силовиков на телефонные и банковские данные в России
- Закон о регулировании Рунета
- Национальная система фильтрации интернет-трафика (НаСФИТ)
- Как обойти интернет-цензуру дома и в офисе: 5 простых способов
- Блокировка сайтов в России
- Ревизор - система контроля блокировки сайтов в России
Анонимность
- Даркнет (теневой интернет, DarkNet)
- VPN и приватность (анонимность, анонимайзеры)
- VPN - Виртуальные частные сети
- СОРМ (Система оперативно-розыскных мероприятий)
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
- Ястреб-М Статистика телефонных разговоров
Критическая инфраструктура
- Цифровая экономика России
- Электронное правительство России
- Информационная безопасность цифровой экономики России
- Защита критической информационной инфраструктуры России
- Закон О безопасности критической информационной инфраструктуры Российской Федерации
- Основы государственной политики РФ в области международной информационной безопасности
- Доктрина информационной безопасности России
- Стратегия национальной безопасности России
- Соглашение стран СНГ в борьбе с преступлениями в сфере информационных технологий
- Автономный интернет в России
- Киберполигон России для обучения информационной безопасности
- Национальная биометрическая платформа (НБП)
- Единая биометрическая система (ЕБС) данных клиентов банков
- Биометрическая идентификация (рынок России)
- Каталог решений и проектов биометрии
- Единая сеть передачи данных (ЕСПД) для госорганов (Russian State Network, RSNet)
- Статья:Единая система программной документации (ЕСПД).
- Сеть передачи данных органов государственной власти (СПДОВ)
- Единая сеть электросвязи РФ
- Единый портал государственных услуг (ФГИС ЕПГУ)
- Гособлако - Государственная единая облачная платформа (ГЕОП)
- Госвеб Единая платформа интернет-порталов органов государственной власти
Импортозамещение
- Импортозамещение в сфере информационной безопасности
- Обзор: Импортозамещение информационных технологий в России
- Главные проблемы и препятствия импортозамещения ИТ в России
- Преимущества замещения иностранных ИТ-решений отечественными
- Основные риски импортозамещения ИТ
- Импортозамещение информационных технологий: 5 "За" и 5 "Против"
- Как импортозамещение ИТ сказалось на бизнесе иностранных вендоров? Взгляд из России
- Как запуск реестра отечественного ПО повлиял на бизнес российских вендоров
- Какие изменения происходят на российском ИТ-рынке под влиянием импортозамещения
- Оценки перспектив импортозамещения в госсекторе участниками рынка
Информационная безопасность и киберпреступность
- Киберпреступность в мире
- Требования NIST
- Глобальный индекс кибербезопасности
- Кибервойны, Кибервойна России и США, Кибервойна России и Великобритании, Кибервойна России и Украины
- Locked Shields (киберучения НАТО)
- Киберпреступность и киберконфликты : Россия, Кибервойска РФ, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Следственный комитет при прокуратуре РФ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия, ФинЦЕРТ
- Число киберпреступлений в России, Русские хакеры
- Киберпреступность и киберконфликты : Украина, Киберцентр UA30, Национальные кибервойска Украины
- Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
- CERT NZ
- CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
* Регулирование интернета в Казахстане, KZ-CERT
- Киберпреступность и киберконфликты : США, Пентагон, ЦРУ, АНБ, NSA Cybersecurity Directorate, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA)
- Информационная безопасность в США
- Как США шпионили за производством микросхем в СССР
- Киберпреступность и киберконфликты : Европа, ENISA, ANSSI, Joint Cyber Unit, National Cyber Force
- Стратегия кибербезопасности ЕС
- Регулирование интернета в странах Евросоюза
- Информационная безопасность в Германии
- Информационная безопасность во Франции
- Информационная безопасность в Греции
- Информационная безопасность в Австралии
- Tactical Edge Networking (военный интернет)
- Киберпреступность и киберконфликты : Израиль
- Киберпреступность и киберконфликты : Иран
- Киберпреступность и киберконфликты : Китай
- Информационная безопасность в Китае
- Импортозамещение информационных технологий в Китае
- Киберпреступность и киберконфликты : КНДР
- Информационная безопасность в Молдавии
- Информационная безопасность в Японии
- Безопасность в интернете
- Безопасность интернет-сайтов
- Безопасность программного обеспечения (ПО)
- Безопасность веб-приложений
- Безопасность мессенджерах
- Угрозы безопасности общения в мобильной сети
- Безопасность в социальных сетях
- Киберзапугивание (кибербуллинг, киберсталкинг)
- Информационная безопасность в банках
- Информационная безопасность в судах
- CERT-GIB Computer Emergency Response Team - Group-IB
- Мошенничество с банковскими картами
- Взлом банкоматов
- Обзор: ИТ в банках 2016
- Политика ЦБ в сфере защиты информации (кибербезопасности)
- Потери организаций от киберпреступности
- Потери банков от киберпреступности
- Тренды развития ИТ в страховании (киберстрахование)
- Кибератаки
- Threat intelligence TI киберразведка
- Число кибератак в России и в мире
- Кибератаки на автомобили
- Обзор: Безопасность информационных систем
- Информационная безопасность
- Информационная безопасность в компании
- Информационная безопасность в медицине
- Информационная безопасность в электронной коммерции
- Информационная безопасность в ритейле
- Информационная безопасность (мировой рынок)
- Информационная безопасность (рынок России)
- Информационная безопасность на Украине
- Информационная безопасность в Белоруссии
- Главные тенденции в защите информации
- ПО для защиты информации (мировой рынок)
- ПО для защиты информации (рынок России)
- Pentesting (пентестинг)
- ИБ - Средства шифрования
- Криптография
- Управление инцидентами безопасности: проблемы и их решения
- Системы аутентификации
- Закон о персональных данных №152-ФЗ
- Защита персональных данных в Евросоюзе и США
- Расценки пользовательских данных на рынке киберпреступников
- Буткит (Bootkit)
- Уязвимости в ПО и оборудовании
- Джекпоттинг_(Jackpotting)
- Вирус-вымогатель (шифровальщик), Ramsomware, WannaCry, Petya/ExPetr/GoldenEye, CovidLock, Ragnar Locker, Ryuk, EvilQuest Вредонос-вымогатель для MacOS, Ransomware of Things (RoT), RegretLocker, Pay2Key, DoppelPaymer, Conti, DemonWare (вирус-вымогатель), Maui (вирус-вымогатель), LockBit (вирус-вымогатель)
- Защита от программ-вымогателей: существует ли она?
- Big Brother (вредоносная программа)
- MrbMiner (вирус-майнер)
- Защита от вирусов-вымогателей (шифровальщиков)
- Вредоносная программа (зловред)
- APT - Таргетированные или целевые атаки
- Исследование TAdviser и Microsoft: 39% российских СМБ-компаний столкнулись с целенаправленными кибератаками
- DDoS и DeOS
- Атаки на DNS-сервера
- DoS-атаки на сети доставки контента, CDN Content Delivery Network
- Как защититься от DDoS-атаки. TADетали
- Визуальная защита информации - Визуальное хакерство - Подглядывание
- Ханипоты (ловушки для хакеров)
- Руткит (Rootkit)
- Fraud Detection System (fraud, фрод, система обнаружения мошенничества)
- Каталог Антифрод-решений и проектов
- Как выбрать антифрод-систему для банка? TADетали
- Security Information and Event Management (SIEM)
- Threat intelligence (TI) - Киберразведка
- Каталог SIEM-решений и проектов
- Чем полезна SIEM-система и как её внедрить?
- Для чего нужна система SIEM и как её внедрить TADетали
- Системы обнаружения и предотвращения вторжений
- Отражения локальных угроз (HIPS)
- Защита конфиденциальной информации от внутренних угроз (IPC)
- Спуфинг (spoofing) - кибератака
- Фишинг, Фишинг в России, DMARC, SMTP
- Сталкерское ПО (программы-шпионы)
- Троян, Trojan Source (кибератака)
- Ботнет Боты, TeamTNT (ботнет), Meris (ботнет)
- Backdoor
- Черви Stuxnet Regin Conficker
- EternalBlue
- Рынок безопасности АСУ ТП
- Флуд (Flood)
- Предотвращения утечек информации (DLP)
- Скимминг (шимминг)
- Спам, Мошенничество с электронной почтой
- Социальная инженерия
- Телефонное мошенничество
- Звуковые атаки
- Warshipping (кибератака Военный корабль)
- Антиспам программные решения
- Классические файловые вирусы
- Антивирусы
- ИБ : средства защиты
- Система резервного копирования
- Система резервного копирования (технологии)
- Система резервного копирования (безопасность)
- Межсетевые экраны
Примечания
- ↑ «Космические пираты» атакуют авиакосмическую отрасль России
- ↑ Госсайты Эстонии уже несколько дней находятся под атакой
- ↑ Убытки от BEC-атак достигают $26 млрд в год
- ↑ IoT таит скрытые угрозы
- ↑ Эксперты оценили ущерб от глобальной кибератаки в $85 млрд - $193 млрд
- ↑ Four US gas pipeline data systems shut down as cyberattack hits
- ↑ Итоги года: кибератаки обходятся все дороже
- ↑ Изобретен компьютер, который «невозможно взломать»
- ↑ AppsFlyer представила Protect360 для защиты бизнеса от мобильного фрода
- ↑ Страховщики подсчитали ущерб мировой экономике от глобальной кибератаки
- ↑ В отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs с помощью обширной сети устройств и датчиков рабочих сред в 1-м квартале 2017 г. Сбор данных осуществлялся в глобальном, региональном, секторальном и организационном масштабах. В центре внимания находились три взаимосвязанных вида угроз: эксплойты-приложения, вредоносное программное обеспечение и ботнеты. Кроме того, компания Fortinet публикует сводку данных об угрозах (при наличии подписки доступ бесплатен), в которой приводится еженедельный обзор наиболее опасных вирусов, вредоносного ПО и сетевых угроз, а также ссылки на данные наиболее актуальных исследований Fortinet.
- ↑ Принтеры оказались опасными для корпоративных сетей
- ↑ Юный хакер взломал 160 тыс. принтеров по всему миру
- ↑ Panda Security: Критическая инфраструктура
- ↑ The 10 most alarming cyberattacks of 2015
- ↑ US government hack stole fingerprints of 5.6 million federal employees
- ↑ Недостатки безопасности, влияющие на «подключенные» автомобили
- ↑ Уроки, которые мы должны извлечь из утечки данных с Ashley Madison
- ↑ Компания Apple применила меры безопасности после провального года
- ↑ You need to update Firefox right now to protect yourself from a big security flaw