2024/08/29 16:01:47

Число кибератак в России и в мире

.

Содержание

Основные статьи:

Число киберпреступлений в России

Основная статья: Число киберпреступлений в России

2024: Доля заказных кибератак на российские компании за год выросла с 10% до 44%

Доля заказных кибератак на российские компании к августу 2024 года значительно выросла, достигнув 44%, что свидетельствует об усилении угроз для бизнеса со стороны профессиональных хакеров. Эти данные приводятся в исследовании группы компаний «Солар», занимающейся кибербезопасностью.

Как передает «Коммерсанта», за прошедший год количество заказных кибератак, направленных на российские компании, увеличилось более чем в четыре раза. Если в 2023 году доля таких инцидентов составляла лишь около 10%, то в 2024 году этот показатель вырос более чем в 4 раза. Аналитики отмечают, что основную долю успешных атак (до 60%) в 2024 году осуществляли профессиональные хакеры, в отличие от 2023 года, когда значительная часть атак приходилась на «хактивистов» — злоумышленников, действующих по политическим мотивам.

Доля заказных кибератак на российские компании увеличилась с 10% до 44% за год

Эксперты также зафиксировали увеличение числа атак, связанных с кибершпионажем. Как поясняет инженер группы расследования инцидентов Solar 4RAYS Геннадий Сазонов, во многих случаях злоумышленники прямо указывали на наличие третьей стороны, заинтересованной в их действиях. Такие инциденты, по его словам, характерны для группировок из Восточной Европы.ИТ-директор «Роснефти» Дмитрий Ломилин выступит на TAdviser SummIT 28 ноября

В компании «Информзащита» подтверждают наблюдаемый тренд и отмечают, что доля сложных кибератак, включая шпионаж и шифрование данных, составляет около 80% от всех успешных инцидентов. Основными целями хакеров в 2024 году стали государственные учреждения, промышленные предприятия, а также организации из сферы науки и образования, где злоумышленники могут получить максимальное количество ценной информации.

На теневом рынке услуг существует четкое разделение ролей среди хакеров: одни ищут уязвимости, другие получают доступ к инфраструктуре, третьи заражают системы или крадут данные. Основатель сервиса DLBI Ашот Оганесян отмечает, что доступ к внутреннему аккаунту крупной российской компании на теневых платформах может стоить от $500 до $3 тыс. в криптовалюте. Если доступ включает «административные полномочия», цена может увеличиться в два-три раза.[1]

2023

Число кибератак на российские ИТ-компании выросло в 4 раза

Число кибератак на российские ИТ-компании во втором квартале 2023 года выросло в 4 раза по сравнению с аналогичным периодом 2022-го и достигло 4 тыс. Об этом в конце августа 2023 года сообщили в «МТС RED».

В ИБ-компаниях Positive Technologies и «Лаборатория Касперского» «Коммерсанту» подтвердили растущую активность хакеров в отношении ИТ-бизнеса в РФ. Так, согласно оценкам Positive Technologies, доля ИТ-компаний в общем числе атакованных почти утроилась, до 17%. В «Газинформсервисе» отмечают рост атак на ИТ-компании на 20–25% при общих по рынку 10–15%. Как отметили в центре мониторинга кибербезопасности «Лаборатория Касперского», в России и СНГ ИТ-рынок остается в тройке наиболее атакуемых хакерами отраслей.

Число кибератак на российские ИТ-компании во втором квартале 2023 года достигло 4 тыс.

По словам директора по развитию направления кибербезопасности EdgeЦентр (облачные решения) Артема Избаенкова, атаки на ИТ-компании нацелены в первую очередь на парализацию сетевой инфраструктуры, что может привести к серьезным нарушениям в работе компаний, потере клиентской базы и полной остановке работы. Кибератаки также могут использоваться «для достижения геополитических целей и манипулирования общественным мнением», считает эксперт.

Уязвимость российских компаний перед хакерами связана с нехваткой ИТ-специалистов на рынке для обеспечения полноценной защиты, импортозамещением значимых систем и переходом на продукты типа OpenSource (с открытым кодом), полагает главный специалист отдела комплексных систем защиты информации «Газинформсервиса» Дмитрий Овчинников.

«
До блокировок аккаунтов российских разработчиков на зарубежных репозиториях многие IT-компании активно брали их разработки, но сейчас продукты с иностранным открытым кодом в России не обновляются, что и привело к росту уязвимостей в инфраструктуре организаций, - отметил[2]
»

Число кибератак в первом полугодии выросло примерно в два раза

Компания МТС RED 21 июля 2023 года сообщила о том, что количество кибератак в первом полугодии 2023 года выросло примерно в два раза по сравнению с аналогичным периодом 2022 года. При этом число инцидентов, критичных с точки зрения последствий для бизнеса, сократилось примерно на 20%. По данным исследования МТС RED, их доля в общем объеме кибератак составила 22%, тогда как в первом полугодии 2022 года таких инцидентов было чуть меньше половины – 46%. Таким образом, в среднем по России число атак продолжает расти, а их уровень снижается. Однако в ряде отраслей аналитики МТС RED фиксируют обратную ситуацию.

Как и в 2022 году, наиболее атакуемыми отраслями в первом полугодии стали информационные технологии (35%), промышленность (21%) и ритейл (15%). По статистике центра мониторинга и реагирования на кибератаки МТС SOC, они ежемесячно испытывали на себе от 500 до 1000 вредоносных кибервоздействий различного уровня сложности. Наибольшее количество инцидентов в этих отраслях было связано с попытками киберпреступников обойти средства защиты организаций (37%). На втором месте с долями около 15% – нарушение сотрудниками политик информационной безопасности, заражение вредоносным ПО и попытки взлома учетных записей пользователей.

«
В начале 2022 года преобладали простые и агрессивные атаки на внешний ИТ-периметр организаций, а также фишинговые рассылки на сотрудников компаний. В 2023 году общее количество значимых атак снизилось, так как компании стали более внимательно относиться к кибербезопасности, закрывая критичные уязвимости в информационных системах либо используя наложенные средства защиты и сервисы кибербезопасности, – прокомментировал результаты исследования Андрей Дугин, директор центра сервисов кибербезопасности МТС RED.
»

Кроме того, ритейл и промышленные предприятия подвергались наибольшему числу высококритичных атак. Доля ритейла от общего количества таких инцидентов составила 27%, критичными были около 40% всех атак на эту отрасль. Аналитики связывают это с высоким уровнем цифровизации в данной сфере и зависимостью ключевых бизнес-процессов ритейла от нормального функционирования ИТ-систем. Вследствие этого ритейл-компании более уязвимы перед киберугрозами – с точки зрения возможного ущерба для них критично большее количество различных типов атак.

Банки и телеком подвергались вредоносным кибервоздействиям реже других отраслей. Если в первом полугодии 2022 года они занимали 3 и 4 место в списке наиболее атакуемых, то в 2023 году на них пришлось совокупно не более 10% атак. Однако эти отрасли чаще многих других становились мишенью профессиональных злоумышленников.

Высококритичными признаны 81% от всех инцидентов информационной безопасности, зафиксированные в телеком-компаниях. По сравнению с первым полугодием 2022 года их число выросло примерно в два раза. Доля таких атак в банках – 27%, финансовый сектор занимает третье место по этому показателю.

СМИ и организации, работающие в сфере слуг, заняли небольшую долю в общем объеме атак – 11% и 7% соответственно. Однако в целом их стали атаковать в пять с лишним раз чаще, чем в 2022 году.

ИБ-центр ФСБ фиксирует более 170 кибератак на Россию каждый день

Ежедневно на информационные российские ресурсы фиксируется более 170 комплексных компьютерных атак, сообщил заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов 25 мая 2023 года.

«
В связи с проведением спецоперации против Российской Федерации ведется беспрецедентная по своим масштабам борьба в интернете, - говорит он. – Они проводятся из различных точек земного шара и при этом четко скоординированы. На постоянной основе уполномоченные государством органы осуществляют мониторинг более 35 тысяч информационных ресурсов.
»

Ежедневно на информационные российские ресурсы фиксируется более 170 комплексных компьютерных атак

По словам Мурашова, НКЦКИ – тот орган, которому предоставлено право информировать иностранных партнеров, а также получать информацию о компьютерных инцидентах из-за рубежа. По показателям 2023 года по обращениям центра прекращена деятельность более 7100 вредоносных ресурсов. Прекращено существование более 6500 доменных имен, рассказал замглавы Национального координационного центра по компьютерным инцидентам.

«
Отмечается увеличение скорости реализации угроз: от момента появления сведений об угрозах, например публикации сведений об уязвимостях, до ее практической реализации проходит не более нескольких часов, — рассказал Мурашов в феврале 2023 года.
»

Как установили специалисты НКЦКИ, на совершение кибератак людей агитируют хакеры через Telegram-каналы, распространяя для этого необходимые инструменты и инструкции.

Осуществляются кибератаки на Россию из разных стран, но их очаг в основном прослеживается из США, стран НАТО и Украины, заявлял в феврале 2023 года спецпредставитель президента РФ по вопросам международного сотрудничества в области информационной безопасности, директор департамента международной безопасности МИД Андрей Крутских.[3]

2022

Общее число кибератак увеличилось за год на 21%

Специалисты Positive Technologies проанализировали актуальные киберугрозы 2022 года. Общее количество инцидентов увеличилось на 21% по сравнению с 2021 годом. Одними из главных тенденций стали увеличение числа инцидентов, связанных с веб-ресурсами, появление вайперов, а также усиление межотраслевых последствий атак на ИТ-компании. Об этом компания сообщила 29 марта 2023 года.

Среди организаций жертвами атак чаще всего становились госучреждения (17%), медицинские учреждения (9%) и промышленность (9%). В большинстве таких случаев злоумышленники использовали вредоносное ПО (54%), социальную инженерию (43%) и эксплуатировали уязвимости (34%).

Выросла доля успешных атак, направленных на веб-ресурсы организаций. Если в 2021 году официальные сайты были скомпрометированы в 17% случаев, то в 2022 году доля таких инцидентов составила 22%. Наибольший удар пришелся на госучреждения: количество инцидентов, связанных с атаками на веб-ресурсы, выросло более чем в два раза, а их доля увеличилась с 23% до 41%. Мы ждем, что в 2023 году такие атаки продолжатся. Особую опасность они представляют для компаний, оказывающих услуги онлайн и предоставляющих возможность онлайн-оплаты: атакующие могут встраивать в сайты вредоносный код для перехвата персональных и платежных данных.

Шифровальщики остаются наиболее популярным видом вредоносного ПО у злоумышленников. В 2022 году преступники использовали программы-вымогатели в каждой второй успешной атаке на организации (51%). Самыми распространенными последствиями таких инцидентов стали нарушение основной деятельности (79%) и утечки конфиденциальных данных (55%). В 12% инцидентов компании понесли прямые финансовые потери. Многие группировки переписали используемое ВПО на кросс-платформенных языках программирования и создали версии, направленные как на Windows, так и на Linux-системы. Распространение ВПО для удаления данных (вайперов) становится трендом: рост количества инцидентов с использованием вайперов составил 175% от показателей 2021 года.

В 2022 году значительно вырос интерес злоумышленников к криптовалюте. Количество успешных атак на блокчейн-проекты увеличилось более чем в два раза по сравнению с 2021 годом. В 78% инцидентов атакующим удалось похитить средства, при этом размер ущерба в некоторых случаях составил несколько сотен миллионов долларов. Частные пользователи становились жертвами атак с применением социальной инженерии: злоумышленники распространяли в социальных сетях и мессенджерах сообщения о бесплатной раздаче токенов и NFT, а также предлагали перевести средства, обещая вернуть намного больше активов, чем было вложено. Аналитики Positive Technologies считают, что в 2023 году число случаев мошенничества, направленного на держателей криптовалютных активов, увеличится.

Социальная инженерия по-прежнему на высоте. В успешных атаках на организации доля использования этого метода составляет 43%, на частных лиц – 93%. Злоумышленники активно применяли модель phishing as a service (фишинг как услуга). Кроме того, даже низкоквалифицированные киберпреступники могли проводить масштабные атаки: в этом им помогали готовые фишинговые комплекты.

Год прошел под знаком массовых утечек: в течение всего периода эксперты Positive Technologies фиксировали сообщения о компрометации данных. Чаще всего источником утечек становились медучреждения: в 82% инцидентов злоумышленники сумели украсть конфиденциальную информацию, преимущественно это были персональные данные клиентов медучреждений. В организациях, занятых научными исследованиями или оказывающих образовательные услуги, этот показатель составил 67%, а в ритейле — 65%. Вкупе с массовыми утечками набирают популярность атаки, направленные на обход многофакторной аутентификации. Это может привести к росту числа инцидентов в 2023 году.

В 2022 году количество инцидентов, в которых использовалось шпионское ПО, постоянно увеличивалось. В результате этот показатель составил 43% в атаках на частных лиц. Чаще всего злоумышленники распространяли шпионское ПО через фишинговые сайты (42%) и электронную почту (20%).

Количество успешных атак, направленных на ИТ-компании, постепенно росло, и в IV квартале 2022 года их число почти вдвое превысило показатели I квартала. Чаще всего инциденты приводили к утечкам конфиденциальной информации (63%), нарушению основной деятельности (35%), использованию ресурсов компаний для проведения атак (13%). Жертвами злоумышленников становились такие крупные организации, как Globant, Microsoft, Nvidia, Samsung. Атаки на ИТ-компании имели межотраслевые последствия: как за счет последующего взлома инфраструктуры клиентов, так и за счет нарушения бизнес-процессов клиентов. Например, люди не могли получить ряд услуг медицинских и государственных учреждений из-за атаки на поставщика ИТ-решений.

«
Мы ждем, что в 2023 году число атак, направленных на ИТ-компании, продолжит расти. Это может повлиять на клиентов таких организаций, а также привести к недопустимым для других отраслей последствиям, — отметила аналитик исследовательской группы Positive Technologies Екатерина Семыкина.Разработчикам ИТ-решений необходимо проводить верификацию недопустимых событий. Мы настоятельно рекомендуем регулярно анализировать код на безопасность и проверять используемые при разработке сторонние библиотеки с открытым кодом.

»

Число кибератак финансово-мотивированных хакеров в России за год выросло в три раза

17 марта 2023 года компания Group-IB сообщила о том, что исследовала высокотехнологичные преступления 2022 года на базе проведенных реагирований на инциденты в российских компаниях. По данным исследования, в 2022 году количество кибератак финансово-мотивированных хакеров увеличилось почти в три раза по сравнению с 2021 годом. Самым популярным типом киберугроз, с которыми столкнулись во время реагирований эксперты Лаборатории компьютерной криминалистики Group-IB стали атаки с использованием программ-вымогателей — на них пришлось 68% всех инцидентов. Подробнее здесь.

Число кибератак на российские компании удвоилось и достигло 911 тыс.

В 2022 году на российские компании было совершерно 911 тыс. хакерских атак, что вдвое больше, чем годом ранее. Такие данные «Ростелеком-Солар» обнародовал 20 февраля 2023 года.

Исследование экспертов охватывает 280 организаций из разных отраслей, включая госсектор, финансы, энергетику, телеком, медиа, крупный ритейл. Данная статистика не включает массовые DDoS-атаки.

Категории атак на российские компании

По словам ИБ-специалистов, на фоне общего роста атак во втором полугодии снизилось их число со стороны хактивистов — непрофессиональных хакеров, действующих по политическим, а не коммерческим мотивам с применением простых инструментов, например массовых DDoS-атак или атак на веб-серверы. Например, если в первом полугодии доля нападений хактивистов на веб-серверы в России составляла 11% от всех инцидентов, то во второй половине 2022 года — только 1%.

«
Если говорить про 2022 год в целом, то он начался массовыми «ковровыми бомбардировками» в киберпространстве – с подобным российские компании раньше не сталкивалась (собственно, и никто в мире не сталкивался). Атаки были хаотичными, направленными абсолютно на любые отрасли и организации. Целью злоумышленников была российская инфраструктура в принципе. Но к середине года массовые атаки отступили, а им на смену пришли более целевые удары, - отметила руководитель направления аналитики киберугроз компании «Ростелеком-Солар» Дарья Кошкина.
»

В исследовании говорится, что к концу 2022 году в России увеличилось число сетевых атак. Зачастую сканирование периметра или веба и попытки компрометации учетных записей выполняются автоматизированными инструментами, которые хакеры используют для разведки в отношении клиента. Несмотря на низкий уровень критичности таких инцидентов, это опасный звонок для компаний, который указывает на то, что они привлекательны для злоумышленников. А значит, им необходимо продолжать тренд на усиление своей киберзащиты, заявили в «Ростелеком-Солар».[4]

Выросло число кибератак на ИТ-компании через шпионское ПО

Количество кибератак на российские ИТ-компании в четвертом квартале 2022 года увеличилось на 18% в сравнении с тремя предыдущими месяцами. При этом в 62% случаев хакеры использовали вредоносное программное обеспечение, преимущественно программы шифровальщиков, направленные на кражу конфиденциальной информации и получение выкупа. Об этом говорится в исследовании, которое Positive Technologies опубликовала 17 февраля 2023 года.

Эксперты отметили долю атак с использованием шпионского ПО: в октябре-декабре 2022 года 17% таких атак было совершено в отношении организаций, 49% — в отношении частных лиц; это на соответственно 5 п. п. и 3 п. п. больше показателей третьей четверти 2022 года. Злоумышленники создают новые вредоносы и работают над расширением их функциональности: так, в новом стилере Aurora появилась функция кражи данных не только из браузеров или буфера обмена, но и непосредственно с диска устройства.

Категории жертв среди организаций

Распространение вирусов-шпионов по схеме «вредонос как услуга» позволяет использовать их даже неопытным злоумышленникам: исследователи Positive Technologies проанализировали новый стилер BlueFox, который активно продвигается на подпольном рынке по такой схеме. Кроме того, участились случаи встраивания вредоносного кода, который выполняет функции шпионского ПО, в пакеты для разработчиков Python — это может привести к росту числа атак типа supply chain Кибератака, в ходе которой злоумышленники взламывают компанию путем компрометации поставщиков ПО или оборудования. Например, преступники могут внедрить вредоносный код в исходный код продукта или распространить вредоносные обновления, чтобы заразить инфраструктуру целевой организации. и компрометации сетей ИТ-компаний.[5]

Количество кибератак на госсектор России выросло в несколько раз

В 2022 году число атак на российский государственный сектор увеличилось примерно вдвое-втрое относительно показателя годичной давности. Об этом «Ведомостям» рассказал аналитик данных центра мониторинга кибербезопасности IZ:SOC компании «Информзащита» Шамиль Чич (публикация вышла 16 января 2023 года).

Кратный рост числа атак на госорганы с февраля 2022 года газете подтвердил директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Алексей Павлов. Как отметил Шамиль Чич, в связи с политической ситуацией к хакерам добавились так называемые хактивисты, которых массово вербовали в соцсетях и Telegram-каналах. Их активность была направлена в основном на госучреждения и значительно увеличила количество атак, продолжил он. Основными векторами стали DDoS- и веб-атаки на публичные ресурсы госорганов, добавил Павлов. Цель злоумышленников, по его словам, – создание дополнительной напряженности в обществе за счет дефейсов (подмены одной веб-страницы другой с публикацией сообщения от хакеров), недоступности значимых для населения ресурсов и утечек данных пользователей.

Кибератаки на госсектор России за год выросли по численности в несколько раз

За кибербезопасность российского сегмента интернета отвечает Роскомнадзор (РКН). Ведомство осуществляет фильтрацию вредоносного трафика, предотвращая DDoS-атаки на все российские интернет-ресурсы. В РКН заявили изданию, с помощью технических средств противодействия угрозам на трансграничных узлах связи были отражены «тысячи» атак на информационные ресурсы федеральных и региональных органов власти, портал госуслуг и др.

По данным «Серчинформ», в 2022 году бюджет на информационную безопасность увеличили 26% госструктур, у 52% бюджет остался без изменений, 12% отметили его снижение. Средства пошли на продление лицензий, а также закупку «железа» и ПО. [6]

За год количество зафиксированных атак на государственный сектор составило 403 атаки

Эксперты Positive Technologies выделили главные события в сфере кибербезопасности за 2022 год и дали прогноз, каких угроз стоит ожидать в 2023 году. Информацией об этом представители Positive Technologies поделились 13 января 2023 года. Оценки специалистов основаны на общемировых данных, собственной экспертизе компании, результатах расследований, а также на данных авторитетных источников.

Кибератаки. Иллюстрация: ru.slovoidilo.ua.

В 2022 году внимание киберпреступников привлекали все ключевые отрасли экономики. Так, эксперты Positive Technologies отмечают следующее:

  • Государственный сектор — был целью № 1. В I квартале 2022 года количество атак, направленных на госучреждения, увеличилось практически в два раза по сравнению с последним кварталом 2021 года, а затем продолжало расти в течение всего года. Государственные учреждения столкнулись с наибольшим количеством кибератак среди организаций: их доля от общего числа атак составила 17% — это на 2 п. п. больше, чем в 2021 году. Всего за 2022 год было зафиксировано 403 атаки, что на 25% больше, чем за 2021 год. Государственный сектор был целью множества преступных группировок (как вымогателей, так и APT-группировок), в числе которых — Cloud Atlas, Tonto, Gamaredon, MuddyWater, Mustang Panda. Злоумышленники использовали вредоносное ПО почти в каждой второй атаке на госучреждения. Наиболее популярными типами вредоносов оказались шифровальщики (56% среди атак с применением ВПО) и вредоносные программы для удаленного управления (29%).
  • Промышленностьхакеры стремятся остановить технологические процессы. В 2022 году почти каждая десятая атака на организации приходилась на промышленные предприятия. Всего за год зафиксировано 223 атаки на промышленные компании, что на 7% больше по сравнению с 2021 годом. Основной удар по промышленности пришелся на II квартал, когда общее количество атак на организации промышленного сектора увеличилось на 53% вследствие возросшей активности шифровальщиков.

«
Почти в половине атак использовалась социальная инженерия, в 41% случаев злоумышленники эксплуатировали уязвимости в ПО. В большинстве атак (71%) применялось вредоносное ПО, которое распространялось преимущественно через компрометацию ресурсов на периметре организаций (49%) и электронную почту (43%). Уже третий год подряд мы отмечаем снижение доли использования социальной инженерии и увеличение доли эксплуатации недостатков защиты на ресурсах периметра.

прокомментировал Дмитрий Даренский, руководитель практики промышленной кибербезопасности, Positive Technologies
»

  • Медицина — лидирует по утечкам данных. Медучреждения уже пятый год подряд остаются в тройке самых атакуемых отраслей: в 2022 году доля атак на них составила 9% среди всех организаций, а количество атак держится примерно на уровне 2021 года. Медучреждения чаще всего становились источником утечек данных среди организаций. Более чем в 80% случаев атаки приводили к утечкам данных о клиентах (в основном персональных данных и медицинской информации). В системах медучреждений содержатся большие объемы данных, и обычно преступники могут получить ФИО, дату рождения, физический адрес, телефонный номер, реквизиты счетов и номера карт, информацию о страховке, номер водительского удостоверения, адрес электронной почты, историю болезни, данные о состоянии здоровья и другую медицинскую информацию.
  • Финансовый сектор — наилучшая подготовленность к атакам, но в целом уровень защиты недостаточный. По итогам 2022 года общее число атак на финансовые организации снизилось на 7% по сравнению с аналогичным периодом 2021 года. Доля атак на финансовую отрасль в последние годы в целом сокращалась и на 2022 год составляла около 4% от числа всех атак на организации. Хотя финансовый сектор лучше всего подготовлен к атакам по сравнению с остальными компаниями, в целом уровень его защищенности от внутреннего и внешнего злоумышленника остается недостаточно высоким. Среди исследованных с 2021 по 2022 год финансовых организаций в рамках внешнего пентеста экспертам Positive Technologies в 86% случаев удалось получить доступ в локальную сеть, причем в половине из этих компаний в случае реальной атаки проникнуть во внутреннюю сеть мог бы даже злоумышленник, не имеющий высокой степени подготовки. При проведении внутреннего пентеста во всех случаях экспертам удалось получить полный контроль над инфраструктурой, а также продемонстрировать возможность получения доступа к критически важным системам: например, в одном из банков была выявлена уязвимость, позволяющая скомпрометировать более 1000 банкоматов. Как правило, при проведении верификации за ограниченный рамками работ период удается реализовать более 70% обозначенных событий.
  • IT-компании — осторожность в использовании открытого ПО и контроль цепочек поставок. Число атак на IT-компании в 2022-м несколько уменьшилось по сравнению с 2021 годом, однако на них все еще приходится 6% атак на организации. В течение года компания наблюдала крупные атаки, направленные на IT-компании. Например, в феврале 2022 года Lapsus$ атаковали американского разработчика графических процессоров Nvidia, а в начале марта 2022 года под ударом оказалась Samsung, был украден исходный код Samsung Galaxy. Кроме того, были взломаны такие компании, как Okta, Microsoft, Cisco, AMD, Cloudflare, Twilio, LastPass. Практически с одинаковой частотой в атаках на IT-компании использовались приемы социальной инженерии, компрометации учетных данных и эксплуатации уязвимостей на периметре. В каждом третьем случае были замечены программы-шифровальщики.
  • Наука и образование — под атаками шифровальщиков. Учреждения из сферы науки и образования входят в топ-5 самых часто атакуемых организаций. Количество атак на них сопоставимо с результатами 2021 года. Более чем в половине случаев злоумышленники смогли украсть конфиденциальную информацию, преимущественно персональные данные пользователей. В каждой второй атаке использовались шифровальщики, а основной целью преступников было получение выкупа от образовательного учреждения. В 59% случаев злоумышленники прибегали к методам социальной инженерии в адрес сотрудников, а в 25% атак для доступа к ресурсам организации подбирали учетные данные или использовали скомпрометированные пароли. В каждой пятой атаке злоумышленники эксплуатировали уязвимости в ПО. За 2022 год увеличилась доля атак на веб-ресурсы: с 11% до 20%.
  • Пользователи — масштабные утечки данных. Количество атак на частных лиц увеличилось на 44%. На обычных пользователей пришлось 17% от числа всех атак. Традиционно основной вектор атаки — это различные приемы социальной инженерии, которые использовались в 93% случаев. Для проведения таких атак злоумышленники создавали фишинговые сайты (56%), отправляли вредоносные письма по электронной почте (39%), искали жертв в социальных сетях (21%) и мессенджерах (18%).

В 2023 году эксперты Positive Technologies прогнозируют:

  • Расцвет хактивизма, направленного на государственные учреждения. Он может привести к негативным последствиям — от дефейса сайтов до разрушения инфраструктуры.
  • Атаки на медицинские учреждения и их клиентов: кражи конфиденциальных данных, фишинговые атаки на пациентов, давление шифровальщиков, инциденты, направленные на взлом сервисов и приложений, используемых для оказания дистанционных медицинских услуг.
  • Изменение ландшафта угроз промышленности: целями преступников чаще будут не финансовая выгода или получение крупных сумм выкупа, а перебои в деятельности предприятий, аварии, остановка важнейших технологических процессов. Есть и положительные тренды: приходит понимание ИБ как инструмента обеспечения устойчивости, в проекты по модернизации и строительству производств уже по умолчанию включаются решения по кибербезопасности, защищенные АСУ ТП от поставщиков, «неинвазивность» уходит в прошлое, развиваются отраслевое регулирование и центры компетенций. Промышленность движется в сторону практической защиты своих активов, и закономерно растет интерес к комплексным средствам защиты, которые обеспечивают выполнение в первую очередь прикладных задач безопасности предприятий.
  • Появление клонов онлайн-банков и атаки на финансовые компании через интегрируемые системы.

«
Чтобы не столкнуться с клонами онлайн-банков, необходимо в ручном и автоматическом режиме мониторить и искать их и фишинговые сайты (мобильные приложения) финансовых компаний. От атак через интегрируемые системы эксперты Positive Technologies рекомендуют проводить анализ защищенности всех связанных систем, развивать команды внутренней безопасности, создавать условия для оперативного реагирования на инциденты, ограничивать доступы, которые не требуются для работы интегрируемой системы.

рассказал Максим Костиков, руководитель отдела анализа защищенности приложений, Positive Technologies
»

  • Рост числа атак на поставщиков облачных сервисов, продолжение атак на цепочки поставок ПО и услуг, возникновение у IT-компаний необходимости следить за сохранением безопасности специализированных сред, предназначенных для разработки, а также используемых библиотек с открытым исходным кодом.
  • Развитие атак на сервисы онлайн-обучения, продолжение атак шифровальщиков на сферу науки и образования, причем злоумышленники будут преследовать разные цели: кражу исследовательских наработок, персональных и учетных данных пользователей.
  • Совершенствование схем атак на пользователей с применением социальной инженерии. В 2022 году пользователи стали жертвами масштабных утечек данных. Это позволит злоумышленникам совершенствовать схемы атак с использованием социальной инженерии: преступники смогут проводить атаки более точечно, располагая детальной информацией о действиях жертвы в скомпрометированных сервисах. Из-за распространения готовых комплектов для проведения массовых фишинговых атак значительно увеличится активность злоумышленников в отношении частных лиц, особенно в отношении клиентов онлайн-банков и других онлайн-сервисов. Эксперты также прогнозируют увеличение числа атак на пользователей в социальных сетях и мессенджерах, а также рост количества атак на второй фактор аутентификации, который применяется пользователями для входа во многие сервисы.

«
Руководствуясь принципами результативной безопасности, мы рекомендуем сосредоточиться на защите от тех угроз, реализация которых приведет к недопустимым событиям. С учетом прогнозов в первую очередь это нарушение ключевых технологических и бизнес-процессов, утечка конфиденциальных данных пользователей, возможность развития атаки на клиентов компании. Недопущение таких событий во многом зависит от своевременного обнаружения и реагирования на угрозы, а для этого необходимы постоянное развитие собственных команд безопасности или привлечение внешних специалистов по ИБ, мониторинг событий ИБ, особенно для критически значимых систем, проактивный поиск угроз для исключения долгого пребывания злоумышленников в корпоративных системах. Крайне важно иметь надежные средства резервного копирования и отлаженный процесс восстановления, которые позволят в кратчайшее время возобновить основную деятельность организации в случае атаки. Обмен опытом в ИБ с другими компаниями в своей отрасли позволит повысить уровень ее защищенности в целом, но также следует задуматься о межотраслевых последствиях атак и их предотвращении.

комментирует Федор Чунижеков, аналитик исследовательской группы департамента аналитики информационной безопасности, Positive Technologies
»

МИД РФ: Число кибератак на Россию выросло на 80%

В конце декабря 2022 года в Министерстве иностранных дел (МИД) РФ рассказали о всплеске кибератак на Россию. Наибольшее число хакерских нападений направлено на государственный сектор, сообщил заместитель главы ведомства Олег Сыромолотов.

«
На фоне проведения специальной военной операции наша страна столкнулась с беспрецедентной внешней агрессией в информационном пространстве. В 2022 году количество кибератак на Россию увеличилось на 80%, — сообщил он в интервью «РИА Новости».
»

Число кибератак на Россию в 2022 году выросло на 80%

По его словам, в 2021 году основной целью кибератак были финансовые учреждения, но в 2022-м ими стали госорганизации, в том числе объекты критической информационной инфраструктуры и социально значимые учреждения.

По словам замглавы МИД РФ, подавляющее большинство кибератак в отношении России проводятся с территории государств НАТО, ЕС, а также Украины. Он подчеркнул, что Украина превратилась в плацдарм Запада для испытания кибернаработок против России.

«
Показательный пример: после нейтрализации украинских call-центров на фоне специальной военной операции количество мошеннических звонков гражданам России снизилось в пять раз, — заявил Сыромолотов.
»

10 декабря 2022 года Сыромолотов заявил, что США планируют потратить в 2023-м на кибератаки неугодных правительств более $11 млрд.

В декабре 2022-го газета Politico писала, что страны НАТО намерены задействовать в украинском конфликте киберсилы и новейшие технологии для противодействия России. В статье отмечается, что на них были опробованы новые технологии, в том числе адаптация использования технологий искусственного интеллекта.

24 октября 2022 года вице-премьер РФ Дмитрий Чернышенко рассказал, что против страны воюют «кибервойска недружественных стран». В связи с этим были организованы киберштабы во всех органах исполнительной власти и на всей критической инфраструктуре. [7]

Число кибератак на автоматизированные системы управления в России взлетело на 80%

20 сентября 2022 года эксперты «Лаборатории Касперского» опубликовали исследование, в котором сообщили о росте количества целевых кибератак на промышленные предприятия в России. Чаще всего вредоносные объекты проникают на компьютеры автоматизированных систем управления (АСУ) из интернета. Подробнее здесь.

2021

За год выявлено рекордное количество угроз нулевого дня

28 апреля 2022 года компания КРОК сообщила о том, что провела исследование по Zero day-угрозам. В 2021 году выявлено рекордное количество угроз нулевого дня. Их число составило 57 - то вдвое больше, чем в 2020 году, и больше, чем в любой другой год за всю историю наблюдений. По данным КРОК, общее число кибератак увеличилось на 23%. При этом отмечается рост целенаправленных кибератак, их доля составляет порядка 75%. Большая часть происходит с использованием вредоносного ПО (73%), среди которого особую опасность представляют угрозы нулевого дня.

Image:Угроз_нул_дня.jpeg
В 2021 году выявлено рекордное количество угроз нулевого дня. Фото: securelist.ru.

По информации компании, эксплойт нулевого дня (или zero day) — это кибератака, направленная на уязвимость программного обеспечения, которая неизвестна его поставщикам или антивирусным программам. Злоумышленник замечает уязвимость ПО еще до того, как производить ее обнаружил, быстро создает эксплойт и использует его для проникновения. Такие атаки с большой вероятностью увенчаются успехом. Это делает уязвимости нулевого дня серьезной угрозой безопасности.

Image:Кол-во_угроз_нул_дня.png
Количество угроз нулевого дня
«
Безусловно, на апрель 2022 года хакеры используют неизвестные уязвимости для вмешательства в работы систем. Цели разные - промышленный шпионаж, кража данных и денежный средств со счетов, заражение сетей шифровальщиками и получение выкупа, политический активизм и кибертерроризм.

отметил Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании КРОК
»

Численность угроз напрямую коррелирует с количеством разрабатываемого софта. Он постоянно изменяется, в результате чего появляются продукты, которые тем не менее могут содержать в себе старые ошибки. Яркий пример - уязвимость Log4j в библиотеке Java. Эта библиотека использовалась в большом количестве ИТ-продуктов, которые установлены практически во всех компаниях. Внезапно, множество серверов по всему миру стало уязвимы к исполнению вредоносного кода.

«
Несмотря на резкий рост численности угроз нулевого дня, их выявление отнимает все больше времени у злоумышленников. Современные системы безопасности и сложность ИТ-инфраструктур означают, что хакерам необходимо проделать куда больший объем работ, чем пять лет назад.

поведал Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании КРОК
»

Если говорить о целях киберпреступников, то каждый третий охотится за персональными данными (33%). Замыкают тройку лидеров информация, содержащая коммерческую тайну (21%) и учетные данные пользователей (19%).

Image:Цели_киберпрест.png
Цели киберпреступников

При атаках нулевого дня могут использоваться различные уязвимые объекты: Операционные системы, Веб-браузеры, Офисные приложения, Компоненты с открытым исходным кодом; Аппаратное обеспечение и Интернет вещей.

Операционные системы — возможно, на апрель 2022 года наиболее привлекательная цель для атак нулевого дня из-за их повсеместного распространения и возможностей, которые они предлагают злоумышленникам для получения контроля над пользовательскими системами.

Веб-браузеры — неисправленная уязвимость может позволить злоумышленникам выполнять попутную загрузку, выполнять сценарии или даже запускать исполняемые файлы на компьютерах пользователей.

Офисные приложения — вредоносное ПО, встроенное в документы или другие файлы, часто использует уязвимости нулевого дня в базовом приложении, используемом для их редактирования.

Компоненты с открытым исходным кодом — некоторые проекты с открытым исходным кодом не поддерживаются активно или не имеют надежных методов обеспечения безопасности. Поставщики программного обеспечения могут использовать эти компоненты, не зная об уязвимостях, которые они содержат.

Аппаратное обеспечение — уязвимость в маршрутизаторе, коммутаторе, сетевом устройстве или домашнем устройстве, таком как игровая консоль, может позволить злоумышленникам скомпрометировать эти устройства, нарушить их работу или использовать их для создания массивных бот-сетей.

Интернет вещей (IoT) — подключенные устройства, от бытовой техники и телевизоров до датчиков и подключенных автомобилей. Многие устройства IoT не имеют механизма исправления или обновления своего программного обеспечения.

Стоимость эксплойтов нулевого дня сильно варьируются и достигает до 2500000 долларов и это только награды добросовестным исследователям за выявление угроз, на основе которых выпускаются соответствующие обновления. Согласно общедоступным данным, стоимость некоторых уязвимостей c 2016 возросла на 1150%.

Суммы, выплачиваемые за приобретение оригинальных эксплойтов нулевого дня, зависят от популярности и уровня безопасности затронутого программного обеспечения/системы, а также от качества представленного эксплойта (полная или частичная цепочка, поддерживаемые версии/системы/архитектуры). Наибольшую ценность представляют уязвимости для взлома мобильных устройств, причем Android версии ценятся куда больше.

Среди серверов наибольший интерес для хакеров несут уязвимости систем Windows, Chrome, Apache и MS IIS, стоимость за обнаружение может достигать миллиона долларов. При этом уязвимости системы macOS оцениваются в несколько раз меньше (около 100 тысяч).

Однако многие преступники ищут уязвимости и продают их хакерским группировкам, которые в свою очередь используют их и зарабатывают в десятки раз больше. Потери от известной атаки Carbanak оценивались в 1 млрд. долларов. В России с помощью этого вируса было украдено более 58 миллионов рублей из ПИР Банка.

Громких случаев немало. В 2021 году Google Chrome подвергся серии атак нулевого дня, ставших причиной ряда обновлений Chrome. Проблема возникла из-за ошибки в JavaScript-движке V8, используемом в веб-браузере. Годом ранее у популярной платформы видеоконференцсвязи Zoom обнаружили уязвимость. В результате злоумышленники получали удаленный доступ к компьютерам пользователей, на которых установлены старые версии ОС. В случаях когда атака была нацелена на администратора, злоумышленники могли полностью захватить его устройство и всем файлам.

«
Основная задача злоумышленника - это получение доступа в сеть и повышенные привилегий. Тут речь идет именно про уязвимости ПО, хотя, надо понимать, что одной найденной уязвимости мало. Необходимо получить доступ к софту, в котором она содержится. Здесь на "помощь" приходит социальная инженерия. Такими методами злоумышленники заставляют жертву открыть вредоносное письмо с приложением и пройти по зараженной ссылке. После этого хакерское ПО попадает на компьютер и пытается эксплуатировать уязвимость.

поведал Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании КРОК
»

Надежное обнаружение отклонений от ожидаемого поведения системы может стать эффективным инструментом для предотвращения нарушений. Для этого необходимо придерживаться следующих рекомендаций:

  • Своевременное обновление программ и операционных систем. Производители регулярно выпускают обновления и патчи по безопасности. В них содержатся исправления ранее выявленных недочетов кода.
  • Работа только в необходимых системах. Чем больше программного обеспечения используется в компании, тем больше потенциальных уязвимостей имеется.
  • Настройка сетевого экрана. Ограничение на совершение операций позволит предотвратить несанкционированное воздействие, помогая выявить угрозу на начальных этапах.
  • Развитие киберосознанности. Для проникновения и внедрения эксплойтов используются методы социальной инженерии, обучение сотрудников работе с данными в веб-среде поможет обеспечить серьезный уровень безопасности.
  • Использование антивируса. Комплексные решения помогают обеспечить надежный защиту корпоративных систем и баз данных.

Необходимость мониторинга событий в ИТ-инфарструктуре с использованием SIEM, EDR, NTA и выделенной командой аналитиков SOC.

«
Казалось бы, что данные методы применяются уже во всех компаниях, однако это не так. У нас был кейс, когда мы избавляли заказчика от угрозы нулевого дня, так как он вовремя не обновил свои программы. В результате на пользовательские станции попал шифровальщик. Мы быстро приняли меры, оперативно закрыли доступ подсети, в которой были зараженные машины от остальной сети, таким образом, прекратили распространение вредоноса. Затем были попытки восстановления данных и перезаливка станций с нуля. А также анализ произошедшего - внедрение процесса управления уязвимостями, анализа процессов на рабочих станциях (класс решений EDR), работа с кибергигиеной пользователей (security awareness).

дополнил Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании КРОК
»

К тому же компаниям необходимо постоянно мониторить выявленные угрозы во внешнем пространстве. Базой данных может стать как системный интегратор или вендор, так и открытые источники, например, NVD (Национальная база данных уязвимостей). Такая информация постоянно обновляется и может быть полезна в качестве ориентира, эксплойты нулевого дня по определению являются неизвестными. Таким образом, существует предел того, что существующая база данных может сообщить.

Для обнаружения данных о ранее зафиксированных эксплойтах все чаще применяется машинное обучение. На основе текущих и прошлых взаимодействий пользователей с системой устанавливается эталон безопасного поведения. Чем больше информации доступно, тем надежнее обнаружение.

Компаниям любого размера необходимо иметь стратегию реагирования на инциденты, которая обеспечивает организованный процесс выявления и устранения кибератаки. Наличие конкретного плана, ориентированного на угрозы нулевого дня, даст преимущество в случае их наступления, оптимизирует время на реагирование и увеличит шансы избежать или же уменьшить ущерб.

Число кибератак за год выросло на 6,5% - Positive Technologies

19 апреля 2022 года компания Positive Technologies сообщила, что количество кибератак в 2021 году увеличилось на 6,5% по сравнению с 2020 годом. Доля целевых атак в сравнении с 2020 годом выросла на 4 п. п. и составила 74% от общего количества. Как и в 2020 году, 86% всех атак были направлены на организации. В тройку наиболее часто атакуемых отраслей вошли госучреждения (16%), медучреждения (11%) и промышленные компании (10%). Наиболее распространены среди злоумышленников следующие методы атак: применение вредоносного ПО (63%), использование методов социальной инженерии (50%) и хакинг - эксплуатация недостатков защиты и уязвимостей в ПО (32%).

Иллюстрация: holosua.com

Эксперты Positive Technologies проанализировали актуальные киберугрозы 2021 года, отметив доминирование шифровальщиков среди вредоносного ПО, повышение интенсивности атак на криптобиржи, появление критически опасных уязвимостей, которые сразу же эксплуатировались злоумышленниками во множестве организаций по всему миру. Эти тренды, как говорится в исследовании, будут актуальны и для 2022 года.

Среди вредоносов, которые использовались в атаках на компании, чаще всего встречались шифровальщики: по данным Positive Technologies, они были задействованы в 60% случаев, а прирост в сравнении с 2020 годом составил 15 п. п. В 2021 году злоумышленники стали угрожать публикацией украденных у компаний данных, если жертва обратится за помощью в полицию или наймет переговорщика. Такую тактику уже применили группировки Grief и Ragnar Locker.

Киберпреступники вновь обратили особое внимание на криптовалюту. Согласно оценкам Positive Tеchnologies, количество атак на криптобиржи выросло на 44% в сравнении с 2020 годом. В 2021 году произошла одна из крупных краж криптовалюты в истории - злоумышленники похитили около 600 млн долл. США у криптобиржи PolyNetwork. В основном киберпреступники использовали уязвимости в протоколах взаимодействия. Еще один метод, набирающий обороты, - эксплуатация веб-уязвимостей на сайтах криптоплатформ.

Использование Linux возрастает с каждым годом, особенно на волне импортозамещения, и это не могли не учесть злоумышленники. Начиная со II квартала 2021 года исследователи Positive Technologies отметили, что все больше разработчиков вредоносов затачивают свое ВПО и для атак на Linux-системы. Если в инфраструктуре есть такие системы, эксперты рекомендуют регулярно проводить сканирования на наличие вредоносной активности, проверять файлы в песочнице перед их непосредственным запуском в системе, своевременно устанавливать обновления безопасности.

В 88% атак на частных лиц киберпреступники использовали методы социальной инженерии. К темам фишинга в 2021 году относились пандемия COVID-19, премьеры фильмов и сериалов, инвестиции, корпоративные рассылки. Особым вниманием злоумышленников в 2021 году пользовалась тема инвестиций - такой интерес аналитики Positive Technologies связывают с притоком непрофессиональных инвесторов (за прошедший год к Московской бирже присоединились более 6 млн человек). Уже в самом начале 2022 года российские граждане столкнулись с фишинговыми атаками, в которых злоумышленники обещают помочь сохранить денежные накопления в случае отключения России от системы международных переводов SWIFT или предлагают заработать на арбитражной торговле.

На протяжении всего года эксперты Positive Technologies фиксировали появление громких уязвимостей, которые злоумышленники тут же задействовали, а их жертвами становились сотни и тысячи организаций по всему миру. Среди таких уязвимостей, например, ProxyLogon в MS Exchange, PrintNightmare в службе печати Windows, CVE-2021-40444 в модуле MSHTML в Internet Explorer. В декабре 2021 года даже появился термин «киберпандемия» из-за обилия атак с использованием уязвимости CVE-2021-44228 в библиотеке Log4j. В 2021 году доля хакинга и эксплуатации веб-уязвимостей суммарно составила 43% среди всех использованных методов в атаках на организации, что на 8 п. п. больше, чем в предыдущем году.

«
«На фоне сложной геополитической обстановки мы прогнозируем увеличение количества атак, поэтому рекомендуем компаниям перейти от типовых процессов ИБ к принципам результативной безопасности. Мы настоятельно рекомендуем компаниям сконцентрироваться на защите ключевых и целевых активов и точек проникновения во внутреннюю сеть. Также следует обратить внимание на организацию процесса управления уязвимостями в компании. Основная проблема, с которой сталкиваются сотрудники подразделений ИБ, - приоритизация уязвимостей для устранения. В конце 2021 года мы опубликовали свои рекомендации по решению этой проблемы», -

комментирует аналитик исследовательской группы Positive Technologies Яна Юракова.
»

Число кибератак выросло на 22% - Tet

Компания Tet (ранее Lattelecom) 21 февраля 2022 года сообщила о том, с какими кибератаками и рисками пришлось столкнуться предприятиям и пользователям в 2021 году.

Основной набор самых распространенных угроз не поменялся — в 2021 году команда Tet зафиксировала 50 миллионов спам-сообщений, 123 500 заблокированных вирусных писем и 3 066 остановленных кибератак типа «отказ в обслуживании» (DDoS), что на 22% больше, чем годом ранее. Половина попыток DDoS-атак длилась от 1 до 5 минут, а 1% этих атак не менее часа, что говорит о целенаправленности и изощренности нападений. Мощность самой серьезной DDoS-атаки, заблокированной Tet, составила 112 Гбит/с. В то же время количество электронных писем с вредоносным ПО, выявленных Tet в 2021 году, на 12% меньше, чем годом ранее, что может быть связано с меньшей «активностью» вируса Emotet.

«
Как и прогнозировалось, в 2021 году число кибератак заметно возросло. Наблюдается «стабильный» прирост количества DDoS-атак, которые становятся все более агрессивными и масштабными. Их целью выступают не только отдельные люди, но и, в большинстве случаев, компании в сфере производства, электронной коммерции, их цепочки поставок. Так, в конце 2021 была зафиксирована крупнейшая DDoS-атака на российских ритейлеров. Также в 2021 году от DDoS-атак пострадали в том числе и целые страны. Например, в январе 2022 года DDoS-атака, продолжавшаяся четыре дня, на много часов оставила без интернета Андорру. А Microsoft объявил, что в ноябре 2021 года сервисы компании боролись с DDoS-атакой, пиковый уровень трафика которой достигал 3,47 терабит в секунду. Атака была нацелена на компанию, работающую в сфере электронной коммерции в Азии, и длилась 15 минут, – рассказал Артур Филатов, руководитель услуг кибербезопасности компании Tet.
»

Одна из ключевых тенденций 2021 года в области кибербезопасности, на которую стоит обратить внимание и в 2022 году, — атаки «нулевого дня», которые сложнее всего выявить.

«
Одна из таких атак была обусловлена уязвимостью Log4j. Используя ее, злоумышленник может удаленно запустить любой код на целевом компьютере, что позволит ему украсть данные, установить вредоносное ПО или взять устройство под контроль. Уязвимость Log4j вызвала серьезные проблемы во всем мире в декабре 2021 года, не обойдя даже Apple и Microsoft. К сожалению, 100% эффективной защиты от этого типа атак не существует, но каждая компания может смягчить последствия и усложнить жизнь злоумышленникам путем мониторинга и правильного конфигурирования систем, – объяснил А. Филатов.

»

Несмотря на то, что в 2021 году зафиксировано чуть меньше вирусных писем, это не означает, что проблема уходит.

«
Согласно глобальным данным Symantec малые предприятия подвержены наибольшему риску получения писем с вредоносным ПО: в организациях с персоналом от 1 до 250 человек одно из 323 входящих писем — вирусное, тогда как при численности сотрудников от 1001 до 1500 заражено одно из 823 писем. Это говорит о том, что даже небольшой бизнес должен заботиться о своей безопасности, и что мышление «мы маленькие, поэтому неинтересны для злоумышленников» может привести к потере данных и остановить работу компании, – подчеркнул представитель Tet.
»

Предприятию необходим план действий, чтобы быстро реагировать на кибер-инцидент.

«
Лучшая защита – это кибератака, которая не случилась, поэтому мы призываем предприятия позаботиться о безопасности заранее. Это включает в себя наличие плана не только на случай кибер-кризиса, но и стратегию по обеспечению бесперебойного функционирования бизнеса. В процессе разработки таких планов можно выявить возможные уязвимости, улучшить производительность и определить ответственные подразделения на случай кризиса, чтобы сотрудники не паниковали и знали, что делать. Но самая важная и эффективная профилактика кибер-инцидентов – это постоянное обучение сотрудников кибергигиене!
»

Число кибератак на корпоративные сети выросло на 50%

12 января 2022 года команда Check Point Research (CPR) из компании Check Point Software Technologies поделилась статистикой, отражающей рост кибератак в 2021 году по регионам, странам и отраслям.

Так, например, в 2021 году CPR (Check Point Research) зафиксировал увеличение числа кибератак на корпоративные сети на 50% в неделю по сравнению с 2020 годом. Исследователи отметили, что пик атак был в декабре (925 нападений на организацию в неделю) — можно предположить, что это произошло из-за эксплуатации Log4J.

Самыми желанными для хакеров были организации Африки, Азиатско-Тихоокеанского региона и Латинской Америки. Самый высокий процент кибератак по сравнению с 2020 годом наблюдается в Европе. Среди самых атакуемых отраслей в мире первое место занял сектор образования и исследований.

Image:Кибератаки_2021.png

Приоритетные сектора для хакеров в 2021 году

  1. Организации из сфер образования и исследований (увеличение атак на 75%);
  2. Организации из государственной и оборонной сферы (увеличение атак на 47%);
  3. Организации из сферы коммуникаций (увеличение атак на 51%);
  4. ИТ сервис-провайдеры (увеличение атак на 67%);
  5. Организации из сферы здравоохранения (увеличение атак на 71%).
Image:Атаки_2021_по_сферам.png

Приоритетные регионы

  1. Африка (+13%);
  2. Азиатско-Тихоокеанский регион (+25%);
  3. Латинская Америка (+38%);
  4. Европа (+68%);
  5. Северная Америка (+61%).
Image:Атаки_2021_по_регионам.png
«
Хакеры продолжают внедрять инновационные подходы и решения, — сказал Омер Дембински (Omer Dembinsky), менеджер по сбору данных об угрозах в Check Point Software Technologies. — В 2021 году мы наблюдали ошеломляющее увеличение кибератак на 50% в неделю в корпоративных сетях по сравнению с 2020 годом. Мы отметили пик атак в конце года, в основном из-за попыток использования уязвимости Log4J. Новые методы проникновения и способы уклонения от обнаружения значительно облегчили хакерам реализацию их планов. Больше всего тревожит то, что некоторые ключевые социальные секторы попали в список наиболее атакованных.
»

По словам Омера, государственные организации, компании из сфер образования и здравоохранения вошли в пятерку самых атакуемых отраслей в мире. Ожидается, что эти цифры только увеличатся в 2022 году. Злоумышленники продолжат внедрять новые инструменты и методы для проведения кибератак, особенно с использованием программ-вымогателей. Можно сказать, что у нас киберпандемия.

Рекомендации по безопасности

  1. Забота о предупреждении угроз, а не об их обнаружении;
  2. Защита всех возможных рубежей;
  3. Установка обновления сразу, как они будут доступны;
  4. Сегментирование сети;
  5. Обучение сотрудников;
  6. Внедрение передовых технологий безопасности.

Рост кибератак на 40% - Check Point

6 октября 2021 года компания Check Point Software Technologies сообщила результаты анализа актуальных киберугроз по всему миру. Анализ показал, что число кибератак в 2021 году выросло на 40% по сравнению с 2020 годом. В России количество атак увеличилось на 54% год к году.

После небольшого падения в первые недели 2020 года уже с марта 2020 в мире произошел значительный рост количества атак, который достиг своего пика в сентябре 2021 года. Тогда число атак на организацию в мире составило более 870 в неделю — это вдвое превышает количество атак в марте 2020 года.

Кибератаки по регионам

№1 — Африка: в среднем 1615 атак в неделю на организацию, что на 15% больше, чем в 2020 году.
№2 — Азиатско-Тихоокеанский регион: в среднем 1299 атак в неделю на организацию — на 20% выше год к году.
№3 — Латинская Америка: 1117 атак, на 37% больше, чем в 2020 году.
№4 — Европа: в среднем 665 атак в неделю, что на 65% больше, чем в 2020 году.
№5 — Северная Америка: в среднем 497 атак в неделю, рост на 57%.


Европа и Северная Америка испытали самый резкий рост числа кибератак по сравнению с 2020 годом — увеличение на 65% и 57% соответственно.

В Азиатско-Тихоокеанском регионе наблюдается наибольшее количество попыток атак программ-вымогателей: в 2021 году каждую неделю им подвергается одна из 34 организаций.

Image:Кибератаки_2021_в_мире.png
Image:Кибератаки_2021_в_мире2.png
Рисунок 1. Среднее количество кибератак в неделю на организацию (январь 2020-сентябрь 2021

В то время как Африка остается наиболее атакуемым злоумышленниками регионом, Европа и Северная Америка столкнулись в сентябре 2021 с самым стремительным ростом числа кибератак с начала 2020 года. На организации в Африке злоумышленники пытаются воздействовать чаще всего — 1615 атак в неделю. Это на 15% больше, чем в прошлом году. Далее следует Азиатско-Тихоокеанский регион — 1299 атак в неделю на организацию в среднем и рост на 20%, затем идут Латинская Америка — 1117 атак (рост на 37%), Европа — 665 попыток атак (рост на 65%) и Северная Америка — 497 атак и увеличение на 57% год к году.

Секторами, которые подвергаются наибольшему количеству кибератак, стали образование и исследовательская деятельность — в среднем 1468 атак в неделю (увеличение на 60% по сравнению с 2020 годом), затем следуют правительственные, военные организации — с 1082 (рост на 40%) и здравоохранение — с 752 попытками атак (увеличение на 55%).

Кроме того, специалисты Check Point Research отметили, что в 2021 году в мире в среднем каждая 61-я организация еженедельно подвергается воздействию программ-вымогателей, что на 9% больше, чем в 2020 году. Наиболее популярным у злоумышленников стал сектор ISP/MSP (Провайдеры Интернет и ИТ-услуг), где каждая 36-я организация сталкивается с атаками программ-вымогателей. Это на 32% больше, чем в 2020 году. На втором месте — здравоохранение — здесь одна из 44 организаций регулярно подвергается атакам программ-вымогателей (рост на 39%), а на третьем месте — поставщики ПО — каждая 52-я организация (рост на 21%).

Наибольшее число атак программ-вымогателей наблюдается в Азиатско-Тихоокеанском регионе: здесь каждую неделю с ними сталкивается одна из 34 организаций. Это на 10% меньше по сравнению с 2020 годом. Далее следует Африка, где атакуется каждая 48-я организация (снижение на 7%) и Латинская Америка — каждая 57-я организация (рост на 6% год к году).

Что касается типов вредоносного ПО, которые чаще всего используют для атак, то на первом месте оказались ботнеты: в среднем в мире более 8% организаций подвергаются их воздействию (это на 9% меньше, чем в 2020 году). Далее следуют банковские трояны — 4,6% компаний (рост на 26%) и криптомайнеры — 4,2% (снижение на 22% год к году).

Данные, использованные в этом отчете, собраны и проанализированы в Check Point ThreatCloud. ThreatCloud — большая совместная сеть по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз. База данных ThreatCloud ежедневно проверяет более 3 миллиардов веб-сайтов, 600 миллионов файлов и выявляет более 250 миллионов вредоносных программ каждый день.

2020

Количество инцидентов на промышленных предприятиях увеличилось на 91% - Positive Technologies

28 апреля 2021 года Positive Technologies сообщила о том, что ее эксперты проанализировали киберугрозы 2020 года и выяснили, что по сравнению с 2019 годом количество инцидентов на промышленных предприятиях увеличилось на 91%, а число атак с использованием вредоносов увеличилось на 54%. На первом месте по количеству атак с использованием шифровальщиков оказались медицинские учреждения. Подробнее здесь.

Количество выявленных киберугроз выросло на 20% и превысило 62,6 млрд - Trend Micro

26 февраля 2021 года компания Trend Micro сообщила, что в 2020 году продукты компании каждую минуту выявляли 119 000 киберугроз. Целью атак в первую очередь становились работающие из дома сотрудники и сетевая инфраструктура. Этот и другие факты Trend Micro опубликовала в ежегодном обзорном докладе A Constant State of Flux: Trend Micro 2020 Annual Cybersecurity Report («Постоянная изменчивость: доклад Trend Micro о состоянии кибербезопасности за 2020 год»).

В докладе, помимо прочего, рассказывается, что одной из наиболее популярных у киберпреступников целей в 2020 году стали домашние сети. С их помощью злоумышленники стремились получить доступ к корпоративным сетевым ресурсам либо использовать домашние IoT-устройства для своих ботнетов. По оценкам Trend Micro, количество атак на домашние сети выросло на 210% и достигло почти 2,9 млрд, затронув около 15,5 % роутеров. 73 % этих атак использовали метод брутфорса, чтобы получить контроль над роутером или «умным» домашним прибором.

Среди 62,6 млрд угроз, заблокированных в 2020 году решениями Trend Micro, в 91 % случаев вектором атаки выступала электронная почта. Это значит, что фишинг остаётся крайне популярным у киберпреступников инструментом. Компанией было выявлено 14 млн уникальных ссылок, ведущих на фишинговые страницы в Сети. С их помощью злоумышленники стремились получить информацию у сотрудников, потерявших бдительность за время работы из дома.

«
В 2020 году компании столкнулись с беспрецедентным количеством киберугроз, своей обширной инфраструктуре, в том числе в домашних сетях сотрудников. Основными инструментами взлома по-прежнему остаются знакомые нам тактики: фишинг, брутфорс и эксплуатация уязвимостей — что должно помочь при разработке средств защиты. У организаций по всему миру было время, чтобы оценить операционные риски и риски для кибербезопасности, связанные с пандемией. 2021 год даёт им шанс адаптироваться к угрозам и применить комплексные облачные системы безопасности, которые помогут защитить распределённую инфраструктуру.

отметил Джон Клэй (Jon Clay), директор подразделения Trend Micro по информированию о глобальных угрозах
»

Также в отчёте рассказывается о других заметных тенденциях:

  • На 34% выросло количество семейств программ-вымогателей, которые используются для атак с «двойным вымогательством»: преступники сперва похищают данные и требуют выкуп, чтобы не публиковать их, и только после этого шифруют. Также набирают популярность целевые атаки на правительственные организации, банки, объекты промышленности и здравоохранения.
  • Количество уязвимостей, опубликованных инициативой Zero Day Initiative (ZDI), в 2020 году по сравнению с 2019-м выросло на 40%. При этом Trend Micro отмечает, что киберпреступники продолжают активно пользоваться уязвимостями, известными ещё с 2005 года.
  • В большом количестве атак использовались уязвимости служб VPN удалённо работающих сотрудников. CVE-2019-11510 — критическая уязвимость в Pulse Connect Secure, связанная с доступом к произвольному чтению файлов, —фигурировала в отчётах Trend Micro о 800 000 кибератак.
  • Неверная конфигурация облачных сервисов также приводила в 2020 году к негативным последствиям. По данным Trend Micro, незащищённые API использовались киберпреступниками в нескольких атаках, связанных с майнингом криптовалют.
  • Инициатива ZDI обнародовала информация о 1453 уязвимостях, почти 80% из которых относятся к критическим или обладающим высоким уровнем опасности.
  • И немного о положительных тенденциях: количество выявленных BEC-атак (атаки, связанные с компрометацией деловой почты) в 2020 году снизилось на 17%, но компания не располагает данными об уровне успешности этих атак.

РФ в 2020 году достаточно мало пострадала от атак с применением программ-вымогателей: их количество составило всего 9,6 % от общеевропейского показателя и 0,58 % от мирового. Тем не менее, по количеству угроз, выявленных в сообщениях электронной почты, Россия находилась на втором месте в Европе и на пятом в мире (1 245 млрд). Также высоким оказалось число серверов ботнетов и ссылок, ведущих на вредоносные сайты с хостингом в РФ (3,4 тысячи и почти 6,5 млн соответственно) и количество посещений российскими пользователями подобных сайтов по всему миру (более 14,5 млн). По общему количеству обнаруженного вредоносного ПО Россия находилась на 43 месте в мире с 1,4 млн атак.

BEC- и PoS-атак за 2020 год в стране практически не было выявлено, а вот по количеству атак на мобильные устройства Россия заняла место в мире 11 место — под подозрение решений Trend Micro попало более 5 млн приложений, из которых 21,5 тысяча оказались вредоносными. Также в РФ крайне популярными оказались атаки на домашние сети пользователей. Количество выявленных инструментами Trend Micro событий в этой сфере превысило 358 млн, что вывело Россию на первое место с 12,5% от их общемирового количества.

2019

«Ростелеком-Solar»: объем киберинцидентов вырос на 30% - "Ростелеком-Солар"

30 марта 2020 года «Ростелеком-Солар» сообщил, что за 2019 год объем киберинцидентов вырос на 30%, при этом доля внешних инцидентов увеличилась с 54% до 58% . Всего за 2019 год центр мониторинга и реагирования на киберугрозы Solar JSOC выявил и отразил свыше 1,1 млн атак, нацеленных на инфраструктуру более 100 крупных государственных и коммерческих организаций из различных отраслей экономики.

В 2019 году аналитики Solar JSOC впервые выделяют резкий рост (на 40%) атак, направленных на получение контроля над ИТ-инфраструктурой, на фоне 15% снижения числа атак, направленных на кражу денежных средств. В предыдущие годы картина была прямо противоположной: количество атак с целью хищения денег росло на десятки процентов ежегодно, интерес же злоумышленников к инфраструктуре как таковой был менее активным. Текущую ситуацию эксперты связывают с тем, что средний уровень защищенности банков, которые чаще всего и служили мишенью киберперступникам, существенно возрос. Это заставляет хакеров искать более уязвимые цели. Все более привлекательными для них становятся автоматизированные системы управления технологическими процессами (АСУ ТП) предприятий и закрытые сегменты сети.

«
Длительное и незаметное присутствие в инфраструктуре организации позволяет злоумышленникам детально исследовать ее внутренние процессы, получить более глубокий доступ к ИТ-системам и контроль над ними. В дальнейшем хакеры монетизируют эти точки присутствия, продавая их на черном рынке, шантажируя организацию-жертву или занимаясь конкурентной разведкой. Кроме того, в последние годы атаки все чаще направлены на промышленные и энергетические объекты, а также органы госвласти, контроль над инфраструктурой которых критичен для страны в целом,
рассказал Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар»
»

На фоне роста объемов внешних атак эксперты Solar JSOC отмечают и позитивный тренд: организации стали уделять больше внимания защите своей информационной инфраструктуры. В том числе благодаря этому впервые за 5 лет снизилась доля критичных инцидентов (с 19% до 16%).

«
Динамика закрытия уязвимостей в России существенно выше, чем в других странах – российские серверы составляют менее 5% от уязвимых в мире. Например, за 2019 год количество российских серверов на периметре, подверженных уязвимости EternalBlue, сократилось более чем в пять раз – с 260 до 49,7 тысяч единиц. Тем не менее, примерно 40% из тех серверов, которые все еще остаются уязвимыми, принадлежат крупным коммерческим или государственным компаниям,
подчеркнул Владимир Дрюков
»

Как и прежде, самыми популярными методами взлома корпоративных инфраструктур остаются заражение вредоносным ПО (вирусы, трояны, шпионское ПО и т.п.) и использование уязвимостей в веб-приложениях (веб-порталах, электронной почте, личных кабинетах и т.д.). Частота их использования выросла на 11% и 13% соответственно. Но если в 2018 году основной функциональностью вредоносного ПО было шифрование данных, то в 2019 – добыча криптовалюты.

DDoS-атаки демонстрируют существенный технологический прогресс. В 2019 году для проведения DDoS злоумышленники на 40% чаще использовали IoT-ботнеты – сети из зараженных «умных» устройств. Как правило, они слабо защищены и легко взламываются. С ростом количества IoT-устройств в мире, DDoS-атаки будут все дешевле и доступнее, а компании могут уже в ближайшее время столкнуться с очередным всплеском этой угрозы, предупреждают эксперты Solar JSOC.

Число атак на мобильный банкинг в первом полугодии возросло в 2 раза - Check Point

1 августа 2019 года компания Check Point Software Technologies выпустила отчет Cyber Attack Trends: 2019 Mid-Year Report. Хакеры продолжают разрабатывать новые наборы инструментов и методы, нацеленные на корпоративные данные, которые хранятся в облачной инфраструктуре; личные мобильные устройства; различные приложения и даже популярные почтовые платформы. Исследователи отмечают, что ни один из секторов полностью не защищен от кибератак.

Категории кибератак по регионам по данным Check Point Software Technologies

Эксперты Check Point выявили ключевые тренды киберугроз в первом полугодии 2019:

  • Мобильный банкинг: количество атак возросло вдвое по сравнению с 2018 годом. Банковские вредоносные программы — очень распространенная мобильная угроза. Банковское вредоносное ПО способно похитить платежные и учетные данные, средства с банковских счетов жертв. Новые версии банковских вредоносных программ готовы к массовому распространению для всех, кто готов за них заплатить.
  • Атака на цепь поставок: киберпреступники могут расширить свое влияние, использовав атаку на цепочку поставок компании. При таком типе кибератаки хакеры внедряют вредоносный код непосредственно в программное обеспечение компании-жертвы. После выполнения этого вредоносного кода преступники могут получить доступ к приватной информации компании.
  • Электронная почта: злоумышленники используют различные методы для обхода решений безопасности и спам-фильтров. Например, они рассылают сложные закодированные электронные письма, а также сложный базовый код, который смешивает обычные текстовые буквы с символами HTML. Кроме того, злоумышленники применяют методы социальной инженерии, а также изменение и персонализацию содержимого электронных писем.
  • Облачные хранилища: растущая популярность общедоступных облачных сред привела к увеличению числа кибератак, нацеленных на огромные объемы конфиденциальных данных, находящихся на этих платформах. Самые серьезные угрозы для безопасности облаков в 2019 году: неправильная конфигурация и плохое управление облачными ресурсами.

«
«Ни облачные хранилища, ни наши смартфоны и электронная почта — ни одна среда не застрахована от кибератак. Такие угрозы, как персонализированные атаки вымогателей, DNS-атаки и криптомайнеры, будут по-прежнему актуальны в 2019 году. Эксперты по безопасности должны быть в курсе последних угроз и техник атак, чтобы обеспечить для своих организаций наилучший уровень защиты»
»

Типы вредоносных программ по данным Check Point Software Technologies

Самое активное вредоносное ПО в первом полугодии 2019 года по данным Check Point Software Technologies:

  1. Emotet (29%) — продвинутый, самораспространяющийся модульный троян. Emotet когда-то использовался в качестве банковского трояна, а в последнее время используется в качестве доставки других вредоносных программ или вредоносных кампаний. Он использует несколько методов, чтобы избежать обнаружения. Также распространяется через фишинговые спам-сообщения, содержащие вредоносные вложения или ссылки.
  2. Dorkbot (18%) — червь на основе IRC, предназначенный для удаленного выполнения кода его оператором. Также с его помощью можно загрузить дополнительные вредоносные программы в зараженную систему для кражи конфиденциальной информации.
  3. Trickbot (11%) — Trickbot - это вариант Dyre, появившийся в октябре 2016 года. С момента своего первого появления он был нацелен на банки в основном в Австралии и Великобритании, а в последнее время он начал появляться также в Индии, Сингапуре и Малайзии.


Самые активные криптомайнеры в первом полугодии 2019 года:

  1. Coinhive (23%) — криптомайнер, предназначенный для добычи криптовалюты Monero без ведома пользователя, когда тот посещает веб-сайты. Coinhive появился только в сентябре 2017 года, но по данным на август 2019 года уже поразил 12% организаций по всему миру.
  2. Cryptoloot (22%) — майнер, встраиваемый в сайт с помощью JavaScript кода. Добывает криптовалюты Monero без разрешения пользователя.
  3. XMRig (20%) — Программное обеспечение с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero.


Самые активные мобильные угрозы первого полугодия 2019 года:

  1. Triada (30%) — Модульный бэкдор для Android, который предоставляет привилегии суперпользователя для загруженных вредоносных программ, а также помогает внедрить его в системные процессы. Triada также был замечен за подменой URL-адресов, загружаемых в браузерах.
  2. Lotoor (11%) — программа, использующая уязвимости в операционной системе Android для получения привилегированного root-доступа на взломанных мобильных устройствах.
  3. Hidad (7%) — Модульный бэкдор для Android, который предоставляет права суперпользователя для загруженного вредоносного ПО, а также помогает внедрить его в системные процессы. Он может получить доступ к ключевым деталям безопасности, встроенным в ОС, что позволяет ему получать конфиденциальные данные пользователя.


В России было очень активно вредоносное мобильное ПО, которое назвали «Агент Смит». Под видом скрытого приложения, связанного с Google, вредоносная программа использует известные уязвимости Android и автоматически заменяет установленные приложения вредоносными версиями незаметно для пользователя. Пользователи загружали приложение из популярного неофициального магазина приложений 9Apps. По данным на август 2019 года «Агент Смит» заразил в России около 57 тысяч устройств.

Топ вредоносных программ по данным Check Point Software Technologies

Топ вредоносного ПО для банков в первом полугодии 2019 года:

  1. Ramnit (28%) — банковский троян, который похищает данные учетных записей клиентов банка, пароли FTP, файлы cookies для сессий и личные данные.
  2. Trickbot (21%) — доминирующий банковский троян, постоянно пополняемый возможностями, функциями и векторами распространения. Это позволяет Trickbot быть гибким и настраиваемым вредоносным ПО, которое может распространяться в рамках многоцелевых кампаний.
  3. Ursnif (10%) —троян, работающий на платформе Windows. Обычно он распространяется через наборы эксплойтов - Angler и Rig. Он может похищать информацию, связанную с платежным программным обеспечением Verifone Point-of-Sale (POS). Для этого троян связывается с удаленным сервером, чтобы загрузить собранную информацию и получить инструкции. После этого он загружает файлы в зараженную систему и выполняет их.

Отчет за первое полугодие 2019 года «Cyber Attack Trends: Annual Report 2019» показывает весь возможный ландшафт киберугроз. Выводы основаны на данных Global Threat Impact Index и ThreatCloud Map, которые были разработаны ThreatCloud intelligence, сетью по борьбе с киберпреступностью, которая предоставляет данные об угрозах и тенденциях атак из глобальной сети датчиков угроз.

2018

Solar зафиксировал рост числа кибератак в России на 89%

24 апреля 2019 года компания Ростелеком-Solar, национальный провайдер технологий и сервисов защиты информационных активов, мониторинга и управления информационной безопасностью, представила аналитический отчет о кибератаках на российские компании за 2018 год.

Среднесуточный поток событий информационной безопасности, обрабатываемый SIEM-системами и используемый для оказания сервисов Solar JSOC, составил 72,2 млрд. Всего за 2018 год специалисты Solar JSOC зафиксировали свыше 765 тыс. компьютерных атак. Это на 89% больше, чем годом ранее. Доля критичных инцидентов выросла до 19%, достигнув, таким образом, самого высокого значения с 2015 года. Эта тенденция говорит о том, что инструментарий злоумышленников продолжает совершенствоваться. Темпы его создания в 2018 году также стремительно ускорились – уже через 2 дня после появления информации об уязвимости CVE-2018-159 группировка Cobalt уже рассылала эксплуатирующее ее вредоносное ПО.

Во второй половине 2018 г. количество атак, направленных на получение контроля над ИТ-инфраструктурой, выросло на 20%. Злоумышленники стремятся незаметно закрепиться в инфраструктуре, чтобы детально исследовать ее и получить как можно более глубокий доступ к информационным и технологическим системам.

«
Мы наблюдаем, что на старте злоумышленники зачастую используют совершенно непрофильные инструменты: так, часто фиксируются случаи рассылки банковских троянов на органы государственной власти и энергетические организации. В дальнейшем управляемые сегменты бот-сети перепродаются другим группировкам и развитие атаки идет уже с помощью специализированного инструментария.
Дрюков Владимир, директор центра мониторинга и реагирования на кибератаки Solar JSOC компании Ростелеком-Solar
»

На 37% относительно первой половины года выросло количество атак, направленных на кражу денежных средств. Развитие информационного обмена в рамках сообщества по-прежнему позволяет кредитно-финансовым организациям своевременно получать информацию о способе реализации атаки и препятствовать действиям злоумышленников. Однако, даже получив информацию о появившемся типе кибератаки, далеко не все компании предпринимают какие-либо меры защиты. Например, несмотря на ущерб от массовых атак в 2017-2018 гг, на апрель 2019 года 266 294 российских серверов все еще подвержены уязвимости EternalBlue, 953 единицы сетевого оборудования работают с незакрытым протоколом Cisco SMI. Эти организации до сих пор остаются уязвимыми перед такими, казалось бы, устаревшими атаками, как WannaCry или атаки на оборудование Cisco.

2018 год также ознаменовался рядом крупных вирусных заражений технологических сетей, изолированных от интернета (сегмент АСУ ТП). Поскольку в таких сетях антивирус обновляется вручную, случайное заражение одного узла приводит к быстрому распространению вируса, а процесс ликвидации угрозы, напротив, длится в несколько раз дольше, чем в корпоративном сегменте.

По данным Solar JSOC, около 70% сложных целенаправленных атак начинается с фишинга. В среднем каждый 7-й пользователь, не прошедший курсы повышения осведомленности, поддается на социальную инженерию. Однако этот показатель может варьироваться в зависимости от функционального подразделения компании. В юридической службе жертвой фишинга становится в среднем каждый четвертый сотрудник, в бухгалтерии, финансово-экономической службе и логистике – каждый пятый, в секретариате и службе техподдержки – каждый шестой.

Другая угроза информационной безопасности организаций, исходящая от сотрудников, - это утечки конфиденциальных данных. В 2018 году на них пришлась почти половина всех внутренних инцидентов ИБ. Примерно в каждом пятом случае действия сотрудников приводили к компрометации учетных записей от внутренних корпоративных ИТ-систем. Виновниками внутренних инцидентов обычно были рядовые сотрудники (около 60% случаев). Доля подрядчиков и аутсорсеров обычно колебалась возле отметки в 10%, однако во втором полугодии она до 15,2%. Вероятно, это связано с тем, что распространение сервисной модели способствует развитию рынка аутсорсинга, тогда как уровень информационной безопасности в российских компаниях остается достаточно невысоким.

Trend Micro: Заблокировано около 48 млрд кибератак

13 февраля 2019 года стало известно, что компания Trend Micro Incorporated представила статистику по киберугрозам в мире за 2018 год в разрезе самых популярных видов атак и «атакуемых» стран. За 2018 год больше 2,5 триллиона запросов было обработано решениями компании. В результате было заблокировано около 48 млрд атак, включая угрозы по электронной почте, вредоносные файлы и URL-адреса, а также было выявлено 222 «семейства» программ-вымогателей.

Фишинг по-прежнему остается самой популярной и многочисленной киберугрозой. В общей сложности за год было предотвращено 41 млрд случаев, при этом в период с ноября по декабрь их количество сократилось на 200 млн. Самый высокий уровень кибератак оказался в США - там было остановлено свыше 10 млрд атак, в Китае и Бразилии количество остановленных попыток превысило 2 млрд, в Индии - 1,5 млрд.

Самым распространённым вредоносным вложением стал формат .XLS, всего было зафиксировано 22 миллиона спам-атак. А число заблокированных URL-адресов, ссылающихся на вредоносные приложения или сайты-хостинги, превысило 1 млрд. Среди стран, жители которых чаще всего сталкивались с вредоносными URL, лидирует Япония (160 млн заблокированных атак), США (155 млн) и Тайвань (73 млн).

Возросло количество кибератак через компрометацию деловой электронной переписки (BEC). Например, в 2017 году зафиксировано около 10 тысяч случаев, а в 2018 уже свыше 12 тысяч. В основном сотрудники открывали письма, в которых запрашивалась оплата от имени поставщиков. Или в тех случаях, когда отправитель представлялся адвокатом или юристом компании, который отвечает за конфиденциальные вопросы. Однако самым популярным оказалось мошенничество со взломом учетной записи ТОП-менеджмента и рассылкой писем или с «подражанием» письмам от имени генерального и финансового директора, с целью перевода средств на контролируемый ими счета. Больше всего от подобных атак пострадали Австралия (4,230 заблокированных угроз) и США (3,694 заблокированных угроз).

По итогам 2018 года стоит выделить пятерку самых вредоносных программ – это криптовалютный майнер CoinMiner (1,350,951 атак), вымогатель WannaCry (616,399 атак) , Powload (378,825 атак), Downad (240,746 атак) и Sality (166,981 атак).

Если рассматривать вредоносные программы в разрезе так называемых «областей применения» то, например, для банковской сферы самыми опасными остаются файловые вирусы Emotet – с его участием было предотвращено почти 133,5 попыток взлома, и Ramnit - заблокировано 78,062 атак. В мобильном секторе для Android – это SMSreg (1,638,167) и Shedun (1,345,900), для iOS - IOS_Jail Break Tool.A (397) и IOS_I Back Door.A (65). В случае PoS – атак, чаще всего мошенники применяли такие вредоносные инструменты как TinyPOS (1,264) и Recoload (286).

«
Как в России, так и во всем мире, мы видим четко обозначившуюся тенденцию перехода от использования программ-вымогателей к майнерам криптовалюты. Если у вашего ноутбука или смартфона стал стремительно разряжаться аккумулятор, обязательно проверьте его современным антивирусом.
Михаил Кондрашин, технический директор Trend Micro в России и СНГ
»

2017: Eset зафиксировала 15 млн кибератак на пользователей торрентов

Компания Eset 18 августа 2017 года опубликовала результаты анализа кибератак, выполненных с помощью пиринговых сетей. С начала 2016 года система телеметрии Eset зафиксировала 15 млн инцидентов, в которых загрузка вредоносного кода была связана с популярными торрент-приложениями и файлообменными сервисами. Хакеры используют пиринговые сети для доставки вредоносного ПО двумя способами: компрометируя доверенные торрент-приложения или маскируя вредоносное содержимое в «раздачах».

В частности, в 2016 году злоумышленники атаковали пользователей macOS, взломав сайт торрент-клиента Transmission. Они переработали приложение, включив в его состав вредоносный код.

В апреле 2016 года с сайта Transmission загружался под видом легитимного приложения шифратор KeRanger. Разработчики удалили зараженный дистрибутив уже через несколько часов, но от угрозы пострадали тысячи пользователей. Авторы KeRanger использовали стойкий алгоритм шифрования, что свело к минимуму шансы на восстановление данных.

В августе 2016 года хакеры повторили атаку на сайт Transmission. На этот раз вместе с торрент-клиентом на компьютер устанавливалась вредоносная программа Keydnap, предназначенная для кражи паролей от «Связки ключей iCloud» и удаленного доступа к системе. Команда Transmission удалила троянизированное приложение с сайта в течение нескольких минут после обращения специалистов Eset.

Однако, по данным Eset, не все инциденты связаны с программным обеспечением, существует также риск загрузки вредоносных торрентов. В апреле 2017 года эксперты компании обнаружили троян Sathurbot, который распространялся таким способом — он скрывался в торрентах с пиратским софтом или фильмом, маскируясь под кодек.

Зараженные Sathurbot компьютеры входили в состав ботнета, который на момент исследования насчитывал 20 тыс. устройств. Ботнет искал в сети сайты на базе WordPress и взламывал их путем перебора паролей. Скомпрометированные сайты использовались для дальнейшего распространения вредоносных торрентов.

В феврале 2017 года злоумышленники раздавали через торрент-трекеры новый шифратор, замаскированный под Patcher — приложение для взлома Adobe Premiere Pro, Microsoft Office для Mac и другого платного софта. Восстановить зашифрованные файлы невозможно даже в случае оплаты выкупа — в лже-Patcher не предусмотрена функция связи с командным сервером, поэтому у операторов шифратора нет ключа расшифровки.

«
На всякий случай напоминаю об ответственности за нарушение авторского права и использование пиратского контента, — отметил Алексей Оськин, руководитель отдела технического маркетинга Eset Russia. — Тем не менее, экосистема Р2Р — не только и не столько пиратство, у нее есть ряд легитимных путей применения. И, как любая массовая технология, файлообменные сервисы интересны киберпреступникам. Базовые рекомендации: используйте только лицензионное ПО, игнорируйте подозрительные сайты и торренты, защитите компьютер комплексным антивирусным продуктом.
»

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания