Компьютерный терроризм характеризуются высоким уровнем латентности и низким уровнем раскрываемости. Обнаружить и нейтрализовать виртуального террориста весьма сложно из-за слишком малого количества оставляемых им следов, в отличие от реального мира, где следов содеянного остается все же больше. коммуникационные возможности сети, в случае кибертерроризма является основным. Это свойство – анонимность. Ни личных встреч, ни имен, ни привязки к конкретному месту. Прогнозировать или отследить готовящийся теракт практически невозможно.
В настоящее время, все больше руководителей организаций и компаний приходят к выводу о необходимости построения результативной, бизнес-ориентированной кибербезопасности, растет их интерес к проверке имеющихся возможностей своевременного предотвращения недопустимых событий в корпоративных информационных системах. Это принципиально иной подход, который характерен для организаций, имеющих подразделения информационной безопасности (ИБ) с наработанным опытом по выявлению и отражению киберугроз. Такие организации не только знают свои риски, но и проводят работы по их верификации, при этом преследуя конкретные цели: определение эффективности подразделений ИБ; оценка эффективности процессов и средств защит ИБ, и конечным итогом такой работы является получение полного понимания того, что происходит в инфраструктуре компании и как улучшить кибербезопасность в целом.
Такое положение вещей в процессах, связанных с IT-технологиями, становится понятным, так как нынешний уровень защищенности ключевых отраслей промышленности, финансовых организаций, чреват для общества драматическими последствиями. Общее число инцидентов растет и можно сказать с прогрессией ежемесячно, а их негативная эффективность повышается.
Государственные учреждения традиционно находятся в центре внимания хакерского «сообщества» и естественным образом занимают первое место по количеству атак. От числа всех атак, 16% нацелено именно на госучреждения. В своей основе, хакеры используют методы социальной инженерии – 51% атак, хакинг – 26% и эксплуатацию веб-уязвимостей – 16%. По сравнению с 2021 г., заметно увеличилась доля атак, направленных на веб-ресурсы – с14% до 23% в 2022г. Анализ показывает, что такое положение связано с активным внедрением в обиход услуг, которые представляются онлайн, с увеличивающимся объемом данных в государственных информационных системах и желанием злоумышленников получить такие данные. Показательный и очень негативный пример такой деятельности, это одна из самых громких атак, взлом инфраструктуры правительства Аргентины, в ходе которого были украдены удостоверения личности (паспорта) всего населения страны.
Также, в секторе госучреждений, вредоносное программное обеспечение (ОП) использовалось в 62% атак. Причем, более 40% из них, составили так называемые «шифровальщики»: Avaddon, AvasLocker, Babuk, Conti (Ryuk), DoppelPaymmer (PayOrGriet), REvil. Помимо кражи информации, атаки вымогателей приводили к сбоям в работе государственных IT-систем и даже и инфраструктуре умного города, как это произошло во время атаки на системы греческого города Салоники, последствием которой была парализована работа электронного правительства, систем налогообложения и транспорта. Подобной разрушительной ситуации подверглась итальянская область Лацио. Хакеры прервали работу всей IT-инфраструктуры данного региона на длительный период.
Помимо «шифровальщиков», злоумышленники на протяжении 2021 г. активно использовали вредоносные программы для удаленного управления – 27% атак, загрузчики – 11%, шпионское ПО – 12%.
Таким же чутким внимание хакеров, не обделен и производственно-промышленный сектор. Большинство атак совершается по средства шпионажа и направлена на похищение официально засекреченной информации. В течении 2021 г. российские организации подвергались кибератакам и из всего числа: авиакосмическая отрасль – 31%, государственные предприятия и IT-компании — 23%, военно-промышленный комплекс – 15% и ТЭ0К — 8%.
На частых лиц было направлено 14% атак. Преимущественно, киберпреступники прибегали к метода социальной инженерии — 88% атак, а мотивом таких атак были получение учетных данных- 46%, персональных данных – 20%, данных платежных карт – 14% и в последующем использование личных сетевых устройств пользователей для создания ботнетов и проведения других целенаправленных атак. В 2021 г. 58% случаев проведенных атак, злоумышленники заражали устройства пользователей вредоносными ПО для удаленного доступа – 34%, шпионское ПО – 32%, банковские трояны – 32%. Чаще всего, источником заражения становились электронная почта – 29%, сайты – 35%. В массовых фишинговых атаках, хакеры использовали актуальную новостную повестку в рамках множественных предложениях о покупке поддельных сертификатов о вакцинации, рассылки и создание мошеннических сайтов перед чемпионатом Европы по футболу, премьерой нового эпизода серила «Друзья» или накануне «черной пятницы».
Однако, следует отметить сравнительную устойчивость к кибератакам финансового сектора и их количество, имеет совсем незначительный рост в 2021 г. по сравнению с другими компаниями. Такое положение объясняется тем, что для вывода денег из банка, злоумышленник должен иметь очень высокую квалификацию хакерского мастерства. Также, банки вкладывают значительные финансовые средства в информационную безопасность по сравнению с другими не производственными кампаниями. Что, в свою очередь, переключило киберпреступников от проведения прямых атак на счета клиентов в банке, на производственные компании и использование «шифровальщиков», которые менее всего защищены, а основным источником прибыли для преступников становится вымогательство, где не нужна высокая квалификация и глубокие знания инфраструктуры финансовых организаций. В данных условиях, становится более ценной информация, которую можно использовать как для развития атак, так и для вымогательства или продажи в дарквебе.
И конечно же, необходимо обозначить, что за кибератакой может стоять любое государство. В 2021 г. множество атак носили целенаправленный характер, за многими из таких атак стояли организованные АРТ-группировки. Исторически, как считалось до недавних времён, что АРТ-группировки принадлежат к той или иной стране, у которой имеется высокотехнологичная IT-индустрия. В настоящее время, это уже не так, все изменилось. Назовем некоторые обстоятельства повлиявшие на данные изменения. Любой инструментарий, вместе с инструкцией по эксплуатации, сегодня может приобрести на соответствующих форумах в дарквебе кто угодно. Более того, наличие понятной инструкции и популярность продажи взлома, как услуги, максимально снижает технический порог входа в киберпреступность, и соответственно размывает привычную геолокацию АРТ-группировок. Сегодня киберпреступная группировка может оказаться резидентом любой страны. Также, устоялся тренд на переиспользование группировками инструментария друг друга, обмен, перепродажа и «шеринг» технологических наработок внутри преступного сообщества. Злоумышленники закупают разработку инструментов под конкретные задачи, а накопленных опыт и специфические техники атак доступны любой группировки злоумышленников.
Из выше изложенного, становится ясно, что на фоне глобальных событий отмечается беспрецедентный рост количества хакерских атак на цифровые ресурсы критически значимой инфраструктуры России. Число DDoS-атак в стране и их емкость превысила 750 Гбит/с. В частности, атакованы сайты Роскомнадзора, Пенсионного фонда России, Федеральной антимонопольной службы, Министерства цифрового развития, Министерства культуры и арбитражных судов России. По массовые атаки попали такие крупные российские компании, как «Газпром», «Лукойл», «Норникель», «Яндекс», «Сибур» и «СБЕР». Помимо этого, хакеры провели массовый дефейс крупных российских СМИ, в том числе ТАСС, «Известий», «Коммерсанта», РБК, «Лента.ру».
Все перечисленные события и инциденты резко обнаружили проблемы в кибербезопасности в российский компаниях из разных отраслей экономики. И становится очевидным, что кибербезопасность является одним из наиболее важных аспектов быстро развивающегося всего цифрового мира, включая и частный (личный) сектор пользователя IT-технолгиями. Угрозы в кибербезопасности трудно отрицать, поэтому очень важно научиться защищаться от них и научить других, как это делать.
Материал подобран и подготовлен на основании данных и информации статей по практической кибербезопасности ежегодного Сборника «Positive Research» 2022г.