Киберпреступники бьют в цель

Эксперты Positive Technologies проанализировали актуальные киберугрозы 2019 г. Анализ показал, что доля целевых атак существенно превысила долю массовых, а наиболее атакуемыми отраслями оказались госучреждения, промышленность, медицина, сфера образования и финансовая отрасль.

По данным исследования, количество уникальных кибератак выросло на 19%, а доля целенаправленных атак составила 60%, что на 5 п.п. больше, чем в 2018 г. При этом эксперты компании фиксировали поквартальный рост числа атак, и если в I квартале целевыми были менее половины атак (47%), то в конце года их доля составила уже 67%.

"Рост доли целенаправленных атак обусловлен рядом причин, - говорит директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков. - Ежегодно появляются новые группы злоумышленников, специализирующиеся на атаках класса APT (Advanced Persistent Threat). В течение года мы отслеживали APT-атаки 27 групп, среди которых есть как широко известные (Cobalt, Silence, APT28), так и относительно новые, малоизученные. Однако более пристальное внимание организаций к кибербезопасности, внедрение и использование специализированных средств защиты, нацеленных на выявление и противодействие сложным атакам - в частности, внедрение решений anti-APT, - позволяет более качественно детектировать активность злоумышленников, существенно сокращать время их присутствия в организациях. В итоге в публичном поле оказываются данные об инцидентах, а главное - информация о тактиках и инструментарии APT-группировок, что позволяет повысить эффективность противодействия в целом".

По мнению экспертов, компании сегодня должны сместить фокус внимания с защиты периметра на возможность своевременно выявить развитие атаки внутри сети, регулярно проверять, не были ли они атакованы ранее. Учитывая рост целенаправленных атак, постоянно меняющиеся подходы преступников и усложнение ВПО, ключевыми факторами в обеспечении защиты в ближайшие годы станут непрерывный мониторинг инцидентов ИБ, глубокий анализ сетевого трафика и ретроспективный анализ событий в сети.

Наиболее часто кибератакам подвергались госучреждения, промышленность, медицина, сфера науки и образования, финансовая отрасль. При этом доля атак на промышленные компании выросла до 10% против 4% в 2018 г.

Значительные изменения коснулись мотивации злоумышленников в атаках против частных лиц: как показал анализ киберугроз в 2019 г., более половины атак осуществлялись с целью хищения данных, в то время как в 2018 г. аналогичный показатель составлял 30%. В целом кража информации стала главным мотивом атак - и для частных (57%), и для юридических лиц (60%). Наибольший интерес для злоумышленников в 2019 г. представляли персональные данные, учетные записи и данные банковских карт.

Как показал анализ, трояны-шифровальщики стали одной из наиболее актуальных киберугроз для юридических лиц по всему миру. В 2019 г. на их долю пришлось 31% заражений, а средняя сумма выплат злоумышленникам достигла нескольких сотен тысяч долларов США. В конце года эксперты Positive Technologies отметили новый тренд: операторы шифровальщиков в случаях отказа платить выкуп начали шантажировать жертв публикацией данных, которые они скопировали перед тем, как зашифровать их. По данным исследования, на конец 2019 г. такие кампании проводили операторы шифровальщиков Maze и Sodinokibi. Информация о том, что преступникам удалось заработать на выкупах, позволяет предположить, что в 2020 г. нас ожидает новая волна атак шифровальщиков, а возникшая в конце года тенденция к публикации файлов жертв, отказавшихся платить выкуп, получит развитие.

Аналитик информационной безопасности Positive Technologies Яна Авезова сказала корреспонденту ComNews, что большинство описанных трендов относятся к России тоже. "Исключение, пожалуй, составляет только тренд в атаках шифровальщиков, которые шантажируют жертв санкциями в соответствии с GDPR. Для чисто российских компаний на данный момент не предусмотрены высокие штрафы за разглашение персональных данных в результате кибератаки. На наш взгляд, количество кибератак как в России, так и в мире в 2020 г. вырастет. I квартал года ознаменовался сложной экономической и политической ситуацией во всем мире. В таких условиях киберпреступность процветает: злоумышленники манипулируют чувствами людей, люди легче входят в доверие, легче поддаются методам социальной инженерии. К тому же многие компании сейчас перевели сотрудников на удаленную работу, что снижает уровень защищенности периметра организаций, а значит - повышает число успешных атак. Кроме того, тренд на продажу доступов к скомпрометированным компаниям, о котором написано в исследовании, также способствует росту числа успешных атак. Киберпреступники, не обладающие некоторыми отдельными видами компетенций, ищут сообщников в дарквебе за процент от общей прибыли. Такая кооперация сильно повышает шансы на успех, что, несомненно, ведет к росту числа атак", - считает Яна Авезова.

Она рассказала, какие меры надо принимать компаниям для защиты от направленных атак: "Без обеспечения комплексной защиты не обойтись. Необходимо регулярно проводить обучение сотрудников основам информационной безопасности. Персонал должен знать об опасности открытия вложений из писем. Важно понимать, что с каждым годом целенаправленные атаки становятся все сложнее и хитроумнее, особенно это касается APT-атак, поскольку их выполняют профессиональные киберпреступники с большими ресурсами и опытом. Никогда нельзя быть уверенным, что вы распознали и отразили все целевые рассылки. Не исключено, что злоумышленники скомпрометировали филиал, дочернюю компанию или подрядчика услуг и рассылали письма от их имени. Сегодня защита от киберугроз не может ограничиваться только защитой периметра. Необходим мониторинг событий ИБ внутри сети, глубокий анализ сетевого трафика, возможность проводить ретроспективный анализ. Подозрительные файлы, в том числе из вложений к письмам, стоит проверять в изолированной виртуальной среде (песочнице). Это позволит проанализировать действия, которые файл совершает в системе, и выдать заключение о том, безопасен он или нет. Любой киберинцидент требует профессионального расследования, так как, из нашей практики, зачастую даже несущественный, на первый взгляд, инцидент позволяет при тщательном расследовании вскрыть затаившихся в инфраструктуре злоумышленников".

Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев отметил, что активизация APT-группировок находит отражение в общем росте доли утечек конфиденциальной информации по вине внешних злоумышленников. "По данным InfoWatch, если в 2018 г. на долю хакеров пришлось менее 40% всех утечек, то в 2019 г. - почти 50%. Наибольший вред уже давно наносят не сетевые хулиганы-одиночки, а политически мотивированные группировки, в арсенале которых передовые технические решения для взлома. Защита от целевых атак предполагает реализацию целого комплекса мероприятий. Самое главное - необходимо обеспечить непрерывную и проактивную защиту информационных активов компании. Это, в частности, предполагает внедрение средств мониторинга угроз с выявлением векторов атак из журналов событий, организацию процесса безопасной разработки приложений - сканирование кода на наличие уязвимостей, автоматический выпуск обновлений", - рассказал Андрей Арсентьев.

Директор и партнер компании "Интеллектуальный резерв" Павел Мясоедов уверен: то, что многие жертвы готовы оплатить свою безопасность и анонимность, дало мошенникам уверенность, что в этом направлении стоит работать. "Киберпреступления очень медленно и редко раскрываются, преступники бывают технически оснащены лучше, чем компании, которые подвергаются атакам. Более того, хакеры чувствуют себя практически безнаказанными, работая в других странах. Они воруют данные, которые могут выставить компанию в дурном свете. Например, перед налоговыми органами. Пострадавшая фирма предпочтет заплатить откуп, нежели попасть под проверку контролирующих органов и полиции. Помогает защититься хороший отдел безопасности, специалисты, которые настроят системы и закроют уязвимости. Важно также регулярно оповещать работников о новых видах угроз и методах борьбы с ними. Помогает также контроль за действиями сотрудников. Не обязательно устанавливать везде камеры, но нужно следить, чтобы на компьютеры не устанавливалось стороннее программное обеспечение. Это очень важно в период пандемии, когда люди работают дома и велик шанс, что угроза уже есть у них в компьютере. Сейчас идет снижение реальных доходов населения, поэтому найдутся те, кто захочет поправить финансовое положение с помощью кибератак", - прокомментировал Павел Мясоедов.

Представитель Group-IB отметил, что, говоря о России, данные компании Group-IB не позволяют констатировать, что число целевых атак превышает массовые. "Логика киберпреступников достаточно проста - чем больше охват, тем выше вероятность, что какая-то из жертв попадется на их уловку. Говоря о наиболее атакуемых отраслях, финансовые организации, государственные учреждения и промышленные предприятия - это типичные жертвы злоумышленников, которые из года в год подвергаются атакам. Отдельно стоит выделить предприятия в сфере телекома и энергетики - последние, по данным Group-IB, пользуются особым вниманием со стороны APT-групп, которых исследователи связывают с такими странами, как Иран и Северная Корея. Для того чтобы защититься от целевой атаки, необходимо понимать, кто и как вас атакует, какие инструменты для этого использует, а это понимание даст возможность спрогнозировать готовящуюся атаку, а значит, и предотвратить ее.

Современные системы раннего обнаружения угроз способны выявлять целевые угрозы, фиксируя сетевые аномалии и используя сигнатурный анализ трафика, а также поведенческий анализ передаваемых в сети файлов. Так, например, периметровые решения, такие как Group-IB Threat Detection System, отсекают любую подозрительную активность на входе, не позволяя вредоносным файлам и программам оказаться в компьютере пользователя", - рассказал представитель компании.