Поделиться
Лаборатория цифровой криминалистики компании Group-IB представила исследование высокотехнологичных преступлений, совершенные в России в течение года.
Согласно данным, приведенным в исследовании, самым популярным типом киберугроз стали атаки с использованием программ-шифровальщиков, на них пришлось 68% всех инцидентов.
Шифровальщик - специальная программа, которая, получая доступ к устройству, шифрует операционную систему или отдельные файлы. Затем злоумышленники требуют от жертв взлома выкуп за разблокировку устройств, баз данных или отдельных файлов.
Такое доминирование одного криминального инструмента связано с несколькими причинами. Программы-шифровальщики сегодня используют не только преступники, ищущие финансовую выгоду, но и хактивисты - политически мотивированные хакеры, чья цель, как правило, направлена на разрушение или повреждение ИТ-инфраструктуры жертвы и создание общественного резонанса. Кибердиверсии стали трендом 2022 года.
Второй причиной популярности программ-шифровальщиков стало превращение киберпреступности в полноценную криминальную индустрию. Сегодня это напраление существует и развивается за счет партнерских программ. Разработчики продают или сдают в аренду вредоносное ПО своим партнерам для дальнейшего взлома сети и развертывания программ-вымогателей. Исследователи Group-IB обнаружили 20 новых публичных партнерских программ, появившихся в теневом-интернете в течение года.
В 2022 году рекорд по сумме требуемого выкупа от зашифрованных данных поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей.
Среднее время простоя атакованной организации сократилось с 18 до 14 дней. Это связано в том числе и с тем, что процесс выплаты выкупа и восстановления после атаки происходили значительно быстрее, чем ранее.
Согласно исследованию, число атак с участием финансово-мотивированных хакеров в 2022 году в России увеличилось в три раза, что во многом обусловлено изменившейся геополитической ситуацией. Также отмечается, что инциденты, связанные со шпионажем, стали характерны не только для спонсируемых иностранными государствами групп, но и для обычных киберпреступников.
Помимо использования шифровальщиков деятельность хактивистов и прогосударственных групп проявилась также и в виде DDOS-атак на сайты госучреждений, медиаресурсы, а также рекордном количестве выложенных бесплатно в публичный доступ украденных баз данных. По данным системы Group-IB Threat Intelligence (Киберразведка), которая отслеживает теневые форумы и Telegram-каналы, количество российских баз данных, выложенных в публичный доступ в 2022 году, увеличилось в пять раз.
Анализируя методы проникновения в информационные системы компаний и организаций, эксперты пришли к неожиданному выводу - самой популярной техникой взлома стал не фишинг - выманивание логинов и паролей у пользователей методами социальной инженерии, а атака на публично доступные приложения - почтовые и веб-сервера и внутренние информационные ресурсы компаний.
Таким образом был взломан 61% всех жертв киберпреступлений. На фишинг пришлось лишь 22%.
Многие эксперты в области кибербезопасности утверждают, что именно поведение пользователей является причиной большинства инцидентов в области кибербезопасности, но исследование Group-IB это не подтверждает, и скорее говорит о большом количестве ошибок при разработке ПО и недостаточно квалифицированном администрировании информационных систем.
В компании "РТК-Солар" сообщили "Российской газете", что по их данным в 2023 волна массовых атак идет на спад, но угрозы не становятся менее значимыми. Массовые удары со стороны хакеров с низкой квалификацией, сменят более точные и сложные удары профессионалов по конкретным отраслям и компаниям.
По мнению директора по развитию бизнеса центра противодействия кибератакам компании "РТК-Солар" Алексея Павлова в 2023 году будет сокращаться и количество хактивистов. "Уже сейчас такие злоумышленники либо пропадают, либо повышают свою квалификацию и объединяются под руководством более профессиональных хакеров. Последние координируют реализацию конкретных задач и целенаправленно атакуют российские компании. Для их координации злоумышленники будут использовать уже закрытые ТГ-чаты, сообщества и защищенную почту, а не публиковать "предложения о работе" на общедоступных ресурсах", - говорит Павлов.
Оценивая степень готовности российских компаний и организаций противостоять кибератакам и минимизировать ущерб, управляющий директор "Лаборатории Касперского" в России и странах СНГ Анна Кулашова отмечает, что бизнес вынужден был перестроить многие рабочие процессы на фоне ухода крупных зарубежных поставщиков защитных решений и изменений требований российских регуляторов. И хотя процесс "нормализации" еще далек от завершения, но большинство компаний сумели адаптироваться под текущие реалии и перейти на российские продукты.
По мнению Кулашовой, бизнес сейчас не просто внедряет многоуровневую систему защиты, но инвестирует в экспертные сервисы и развитие команд, которые смогут оперативно обнаруживать и нейтрализовать инциденты и проводить расследования.