В первом полугодии 2021 г. количество атак на объекты российской критической информационной инфраструктуры (КИИ) увеличилось более чем в два раза (на 150%) по сравнению с предыдущим годом. При этом 40% атак осуществляют киберпреступники и 60% - прогосударственные акторы.
© ComNews
14.07.2021

Об этом сообщает Научно-технический центр Главного радиочастотного центра (НТЦ ФГУП "ГРЧЦ"). Эксперты использовали открытые источники, а также отчеты Group-IB, Positive Technologies, "Лаборатории Касперского" и других крупных компаний, специализирующихся на кибербезопасности.

Каждая третья атака в I квартале 2021 г. происходила с участием операторов программ-вымогателей, согласно данным Positive Technologies. По итогам 2020 г. первое место в топе часто атакуемых отраслей занимали медучреждения. В I квартале этого года антилидерами стали промышленность и организации в сфере науки и образования. Суммарная доля их инцидентов составляет 30% всех атак с участием шифровальщиков. Еще 28% атак направлены на государственные и медицинские учреждения.

По оценкам Всемирного экономического форума, в прошлом году потери мировой экономики от кибератак составили $2,5 трлн (180 трлн руб.), прогнозируемый рост в 2022 г. - $8 трлн (600 трлн руб.). В 2020 г., по сравнению с предыдущим, количество инцидентов увеличилось на 51%, при этом на организации направлено 86% всех атак.

Больше всего злоумышленников интересовали государственные и медицинские учреждения, а также промышленные компании. Наибольший интерес для атак представляют персональные данные - 31%, коммерческая тайна - 24%, учетные данные - 23%, медицинские данные - 6%, базы данных клиентов - 6%, информация платежных карт - 6%, переписка - 3%, другая информация - 1%.

Руководитель Научно-технического центра ГРЧЦ Александр Федотов отмечает, что с 2019 г. количество кибератак растет очень быстро. И все чаще хакеры нападают именно на критическую инфраструктуру государства. Основываясь на данных исследования, Александр Федотов заявляет, что в отдельных сферах число атак по итогам текущего года может увеличиться в полтора-три раза.

Он отмечает, что вирусы-шифровальщики, безусловно, останутся одним из основных способов проведения кибератаки, хотя бы по той причине, что в настоящее время некоторые группировки продают такое ПО как услугу. Это значительно упростило всю процедуру кибератаки и увеличило потенциальное количество атакующих. 64% всех атак вымогателей, проанализированных в 2020 г., связаны с операторами, которые используют модель RaaS (вымогательство как услуга).

"Однако вирусы-шифровальщики для КИИ - не основная угроза. Намного опаснее не тот злоумышленник, который хочет получить выкуп, а тот, который хочет завладеть чувствительной информацией или, например, вывести из строя систему электроснабжения региона. Сегодня главные тренды хакерских нападений - это значительный рост числа IoT-атак и атак на удаленные рабочие места и возрастающая роль социальной инженерии в совершении таких преступлений. Человеческий фактор - по-прежнему самое уязвимое место в системе информационной безопасности. В 2020 г. на фоне ковидных ограничений хакеры все чаще использовали претекстинг, фишинг и другие обманные приемы для доступа в сеть организации", - подчеркивает Александр Федотов.

Ведущий менеджер по развитию бизнеса Kaspersky Industrial CyberSecurity Антон Шипулин отмечает, что изменение количества атак зависит от методики подсчета авторов исследования.

"Поэтому мы не можем ни подтвердить, ни опровергнуть конкретную цифру. Однако можем сказать: по нашим техническим данным со средств защиты на объектах критической инфраструктуры по всему миру - автор ссылается в том числе на них в своем исследовании, - значение количества хостов, на которых детектируется вредоносная активность, остается на высоком уровне. Это говорит о том, что проблема кардинально не меняется в лучшую сторону уже давно", - подчеркивает Антон Шипулин.

Он считает, что разделение на киберпреступников и прогосударственных акторов довольно условно. Стоит принимать во внимание, что многие техники атак используются как криминальными структурами, так и государственными подразделениями. Поэтому с точки зрения защиты более важно не то, к какой категории относится источник проблемы, а то, какие техники более опасны и как их обнаружить как можно раньше и предотвратить.

"Киберпространство стало новым театром военных действий и новым пространством, где практически безнаказанно можно вести коммерчески успешную криминальную деятельность. Поэтому правительства стран будут продолжать вести разведывательную деятельность и получать незаметный контроль над ресурсами геополитических соперников, эксплуатируя информационные технологии. А криминал будет продолжать зарабатывать деньги доступными злоумышленникам способами. Это то, в чем я уверен на 100%", - отмечает Антон Шипулин.

Эксперт подчеркивает, что бъекты КИИ будут привлекать больше внимания криминала и правительственных подразделений из-за того, что имеют важное значение для их владельцев и правительств, а также из-за относительной доступности.

Руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева отмечает, что, по данным Positive Technologies, в топ-3 атакуемых отраслей в I квартале 2021 г. входят госучреждения, промышленные компании и организации из сферы науки и образования.

"После атаки на Colonial Pipeline преступные группировки, распространяющие шифровальщиков, оказались под особым вниманием спецслужб, некоторые криминальные форумы закрыли рекламу, связанную с шифровальщиками, а отдельные группировки временно приостановили свою деятельность. Однако мы предполагаем, что в ближайшем будущем активность шифровальщиков существенно не стихнет, они будут действовать осмотрительнее, а суммы запрашиваемых выкупов будут только увеличиваться. Компаниям стоит проверять возможность реализации недопустимых событий, чтобы минимизировать потенциальный ущерб от атак", - подчеркивает Екатерина Килюшева.

Она пока не видит тенденции к снижению числа атак на КИИ. Например, за первые пять месяцев 2021 г. число атак с использованием программ-вымогателей в отношении промышленных компаний уже составило 69% от общего числа таких атак за весь 2020 г. Для распространения вредоносного ПО злоумышленники активно используют известные уязвимости на сетевом периметре, кроме того, доступы в сети промышленных компаний продаются на теневых форумах, чем также пользуются кибергруппировки.

Ведущий системный инженер Varonis Александр Ветколь отмечает, что произойти может что угодно, особенно при появлении новых системных уязвимостей, которыми может воспользоваться любая учетная запись.

"На ближайшую перспективу изменений в ландшафте не предвидится, поскольку первичные стадии атак слишком легко доходят до конечного результата, чтобы считать, что атака - это именно проникновение и банальный сбор информации, как, например, это было ранее. Но следует помнить, что до шифровальщика как такового, в активной стадии, при грамотном плане атаки может появиться и спектр APT, и средства проникновения в сегмент, где хранятся резервные копии, чтобы зашифровать и их, и т.д.", - подчеркивает Александр Ветколь.

Эксперт считает, что в ближайшем будущем в области атак на КИИ будут наблюдаться все те же тенденции, что были ранее. Это отказ в обслуживании и вызов техногенных катастроф, если говорить только о той части, что является КИИ. Новое в отношении КИИ - вброс дезинформации на "доверенные" новостные порталы, в прессу и на телевидение через взлом новостных потоков крупных информагентств или напрямую; внесение хаоса и создание финансовых потерь вследствие изменения расписаний для пассажиров (но не для транспорта) и т.д.

Новости из связанных рубрик