Все еще впереди
Руководитель направления аналитики внешних угроз Solar JSOC Александр Ненахов 16 марта на вебинаре "Кто и как угрожает российским финансовым компаниям в киберпространстве?" представил результаты исследования "Экономика кибератак. Анализ ущерба в банковском секторе", посвященного подведению итогов второго полугодия 2021 г. Источником данных для исследования стали данные, полученные как Solar JSOC, так и инфраструктурой сенсоров и разнообразных ловушек, развернутой "Ростелеком-Солар" по всему миру.
Как показало исследование, злоумышленники атаковали банковские учреждения через подрядчиков, а также используя украденные учетные записи и такой проверенный инструмент, как фишинг. Злоумышленники пользовались тем, что подрядчики и партнеры финансовых организаций защищены намного хуже, чем банки, где действуют строгие требования регуляторов, которые имеют тенденцию к ужесточению. Плюс ко всему, проблема дефицита кадров в небанковском секторе стоит намного острее. Как показывает опыт пентестов, проведенных "Ростелеком-Солар", в инфраструктуру половины компаний может проникнуть злоумышленник даже низкой квалификации.
Александр Ненахов обратил внимание, что злоумышленники невысокой квалификации, использующие готовый инструментарий, могут проникнуть в инфраструктуру банка, особенно небольшого, но квалификации для того, чтобы повысить уровень прав доступа, у них недостаточно. Поэтому они переуступают доступы более серьезным группировкам, которые уже могут пытаться совершать нечто более серьезное.
Новой тенденцией в фишинге является подход "фишинг как сервис". Разработчики фишинговых сценариев выбираются среди носителей языка той страны, где находится атакуемая компания, и тщательно анализируют ситуацию вокруг и внутри нее. В итоге на фишинг приходится около 60% от общего числа атак.
Также относительно новой проблемой стало то, что злоумышленники активно эксплуатируют небрежности разработчиков, которые выкладывают код на внешних репозиториях. При этом в текст программ все чаще внедряются аутентификационные данные привилегированных пользователей. Учитывая, что многие компании продолжают использовать удаленный и гибридный режимы работы, применение таких аутентификационных данных может восприниматься как вполне легитимное.
Тенденции этого периода сохранялись до начала февраля уже 2022 г., однако последние события внесли существенные коррективы. Главной угрозой стали политически мотивированные DDoS-атаки. Как подчеркнул Александр Ненахов, в них участвовало до 500 тыс. человек, координация между которыми велась в специально созданных Telegram-каналах. Там же желающие могли получить специальное ПО, которое нужно было просто запустить. Соответственно, никаких специальных знаний и навыков для участия в такой атаке не требовалось. Мощность атак достигала 70 Гбит/с. А профессиональные преступники сосредотачивали свою активность на компаниях, которые попали под санкции, и на госучреждениях, где аккумулируются большие объемы востребованных данных. При этом злоумышленники активно пользуются тем, что с рынка ушли многие зарубежные вендоры.
Однако, как предупреждает Александр Ненахов, серьезная атака продвинутой или прогосударственной группировки разворачивается не меньше чем за шесть месяцев. Так что выводы пока делать рано. Тем не менее можно ожидать продолжения волны массовых DDoS-атак. Также Александр Ненахов предупредил, что вполне возможны политически мотивированные атаки с использованием шифровальщиков, организаторы которых не будут требовать выкуп.