Букет угроз: какие киберриски из 2022-го останутся актуальными в этом году
Под знаком утечек
В числе ключевых трендов, подмеченных аналитиками Positive, — прирост доли инцидентов, затронувших веб-ресурсы организаций: с 17% до 22% относительно итогов 2021 года. Наибольший удар пришелся на госучреждения: количество успешных атак, направленных на сайты, выросло в 2022 году более чем в два раза. «Обострение противостояния в киберпространстве вызвало со стороны хактивистов волну атак, направленных на сайты организаций. Последствия таких нападений хорошо заметны и обычно затрагивают основные бизнес-процессы, если компания предоставляет сервисы онлайн, — следует из отчета. — Инциденты с веб-ресурсами приводили к нарушениям деятельности организаций в 53% случаев. В основном злоумышленники старались сделать сайт недоступным или провести его дефейс (взлом сайта и публикация на нем сообщения атакующих. — Forbes)».
Минувший год прошел под знаком массовых утечек, указывают в Positive Technologies: в течение всего периода можно было наблюдать множество сообщений о компрометации данных различных компаний и их клиентов. В атаках на организации злоумышленникам удалось украсть конфиденциальную информацию в 47% случаев, в атаках на частных лиц — в 64%. Ущерб от утечек во всем мире растет: согласно отчету IBM, в 2022 году средняя стоимость утечки данных достигла рекордно высокого уровня — $4,35 млн, что на 2,6% больше, чем в прошлом году. «Архивы с украденными данными, как правило, продавались на теневых форумах. В будущем такие объемы данных позволяют злоумышленникам составлять цифровые портреты жертв и проводить более изощренные атаки с применением социальной инженерии», — предостерегают эксперты.
Агенты-шифровальщики
Растет и количество инцидентов с применением шпионского программного обеспечения (ПО), особенно в атаках на частных лиц: к концу 2022 года эти вредоносы (ВПО) использовались в каждой второй успешной атаке на пользователей, утверждают в Positive Technologies. Шифровальщики составили 51% используемого софта в атаках на организации и продолжают эволюционировать: в 2022 году еще больше группировок переписали используемое вредоносное ПО на кросс-платформенные языки или же создали версии, направленные как на Windows, так и на Linux-системы.
В восьми из 10 инцидентов с участием шифровальщиков основная деятельность организаций была нарушена: наблюдались потери доступа к инфраструктуре и данным, сбои в предоставлении сервисов клиентам, нарушения внутренних бизнес-процессов. В результате 55% инцидентов у организаций была украдена конфиденциальная информация, преимущественно персональные данные и коммерческая тайна. В 12% случаев жертвы понесли финансовые потери — выплаты выкупа и убытки из-за простоя, указывают эксперты.
Маскировка под удаление
«В 2022 году мы отметили распространение вредоносов для удаления данных — вайперов, некоторые из них маскировались под шифровальщиков. Рост количества инцидентов с вайперами составил 175% по сравнению с прошлым годом», — обращают внимание в Positive Technologies, добавляя, что восстановление, особенно если ВПО затронуло множество систем, может занять большое количество времени. При этом особую угрозу представляют вайперы, нацеленные на промышленные организации, так как их применение может вызвать остановку важнейших технологических процессов и аварии на производстве, убеждены аналитики.
Межотраслевое воздействие
Один из самых заметных трендов 2022 года — атаки на IT-компании, которые все чаще приводят к межотраслевым последствиям как за счет последующего взлома инфраструктуры клиентов, так и за счет нарушения бизнес-процессов клиентов из-за сбоев в работе сервисов.
Количество успешных атак, направленных на IT-компании, в прошлом году постепенно росло. В IV квартале 2022 года их число почти вдвое превысило показатели I квартала. Чаще всего инциденты приводили к утечкам конфиденциальной информации (63%), нарушению основной деятельности (35%), использованию ресурсов компаний для проведения атак (13%). «Решения, предлагаемые IT-компаниями, повсеместно используются другими организациями и частными лицами. Поэтому нарушение деятельности IT-компании может привести к негативным последствиям в отношении клиентов: например, в 46% таких инцидентов у организаций наблюдались сбои в предоставлении сервисов», — говорится в исследовании.
Жертвами злоумышленников становились крупнейшие IT‑компании мира: NVIDIA, Samsung, Microsoft, Globant. Атаки на IT-компании, по словам экспертов, провоцировали межотраслевые последствия — как за счет последующего взлома инфраструктуры клиентов, так и за счет нарушения бизнес-процессов клиентов. Например, пользователи медицинских и государственных учреждений не могли получить ряд услуг из-за атаки на поставщика IT-решений.
В некоторых случаях злоумышленники атаковали пользователей через поставщиков IT-продуктов и услуг. Так, на протяжении года компания Okta, предоставляющая решения для многофакторной аутентификации, подвергалась успешным атакам. В результате одной из них злоумышленники смогли получить доступ к данным более 300 клиентов компании.
Инженеры человеческих душ
Еще один тренд среди киберугроз — социальная инженерия по-прежнему активно используется злоумышленниками. В частности, из-за распространения модели phishing as a service (фишинг как услуга) в успешных атаках на организации этот метод применялся в 43% случаев, на частных лиц — в 93%. В атаках на частных лиц злоумышленники активно используют социальные сети и мессенджеры, а в инцидентах, затронувших организации, отмечены успешные атаки на второй фактор аутентификации; эти тенденции могут усилиться в 2023 году, полагают специалисты.
Также в 2022 году значительно вырос интерес злоумышленников и к криптовалюте. Количество успешных атак на блокчейн-проекты увеличилось более чем в два раза по сравнению с прошлым годом, пишут в Positive Technologies. В 78% инцидентов атакующим удалось похитить средства, при этом размеры ущерба в некоторых случаях составляли до нескольких сотен миллионов долларов. При этом частные пользователи становятся жертвами атак с применением социальной инженерии: злоумышленники распространяют в социальных сетях и мессенджерах сообщения о бесплатных раздачах токенов и NFT, а также предлагают перевести средства, обещая вернуть намного больше активов, чем было вложено. В 2023 году аналитики ожидают увеличение числа случаев мошенничеств, направленных на держателей криптовалютных активов.
Уязвимость на подряде
Наиболее значимыми трендами ушедшего года были атаки на ресурсы компаний, доступные из интернета, и атаки через подрядчика, подтверждают опрошенные Forbes эксперты. «И если в первом случае компании могли превентивно повысить уровень защищенности за счет использования соответствующих технологий кибербезопасности, то вторая угроза была и остается актуальной для большинства российских компаний, вне зависимости от количества используемых ИБ-решений», — говорит Андрей Дугин, руководитель МТС SOC компании «МТС Кибербезопасность».
Сейчас процесс проверки уровня информационной безопасности IT-поставщиков существует только у самых крупных и зрелых компаний, продолжает он. Для многих других, по его словам, единственный вариант противодействия таким атакам — это мониторинг событий в инфраструктуре, который, по крайней мере, может вовремя обнаружить вредоносную активность. Но большинство никак не защищены от того, что их взломают, воспользовавшись легитимной точкой доступа, которая есть у подрядчика, заключает Дугин.
«Еще в 2021 году мы отмечали всплеск атак через подрядчиков и цепочки поставок на компании различных отраслей, относящихся к критической информационной инфраструктуре (КИИ), — обращает внимание директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Алексей Павлов. — Тогда мы фиксировали их двукратный рост. Зачастую целями злоумышленников становились именно IT-компании. Последние интересны хакерам, так как имеют широкий доступ в инфраструктуру клиентов и из-за отсутствия формальных compliance-требований к IT-подрядчикам».
В 2022 году количество атак через подрядчиков и поставщиков услуг, которыми зачастую являются IT-компании, выросло еще больше, размышляет Павлов: «Всплески действительно наблюдались в I и в IV кварталах. В I квартале злоумышленники активно атаковали наиболее незащищенных подрядчиков и через них добирались до изначальных целей. А в IV квартале всплеск связан с тем, что основные цели хакеров, КИИ, значительно повысили свою защищенность и пришлось вновь искать слабые места через подрядчиков». Существуют формальные требования ФСТЭК и ФСБ, говорит эксперт, для использования ПО и программно-аппаратных комплексов в защищенных контурах, а также требования к подрядчикам по доступу в защищенные сегменты сети. «Но если речь идет о корпоративной сети, то специальных требований регуляторов к подрядчикам не выдвигается, и те ограничиваются техническим заданием на выполнение работ», — резюмирует Алексей Павлов.