Киберпреступность переросла в пандемию
По мере того как мир погружается в цифру, он все больше погружается и в некую неопределенность. Количество кибератак растет угрожающими темпами. Они непосредственно несут угрозу новому цифровому миру и индустриализации 4.0, о которой мы так много говорим. На данный момент кибератаки входят в пять глобальных угроз наравне с такими, как изменение климата, эпидемии и естественные катастрофы (в Докладе о глобальных рисках – 2020 Всемирного экономического форума кибератаки упомянуты в составе одного из пяти глобальных рисков, связанных с развитием технологий. – «Ведомости»). Об этом говорят на всех высоких уровнях, кто-то даже называет эту ситуацию киберпандемией. По оценкам Всемирного экономического форума, потери мировой экономики от кибератак составили в прошедшем году $2,5 трлн, а к 2022 г. они могут достичь $8 трлн.
Ущерб от таких атак, как NotPetya и WannaCry, оценили более чем в $10 млрд, а реальная цифра ущерба до сих пор не известна. Это только вершина айсберга – многие эксперты склоняются к тому, что бо́льшая часть атак остается неизвестной (по разным оценкам, до 80%).
В августе Интерпол выпустил отчет о киберпреступности в период пандемии. Он отмечает следующее: чтобы максимально увеличить финансовую выгоду, киберпреступники начали все больше переносить свои цели с частных лиц и малого бизнеса на крупные корпорации, госкомпании, критически важные инфраструктуры, включая медицинские учреждения.
Интерпол подчеркивает, что необходимо более тесное сотрудничество между государственным и частным секторами. Также необходимо обратить особое внимание на повышение осведомленности о кибератаках и соблюдении основных правил кибергигиены.
Поскольку организации и предприятия развертывают удаленный доступ, и развертывают очень быстро, не уделяя внимания его безопасности, киберпреступники стали активно пользоваться этими уязвимостями. Их атаки также связаны с кражей данных, получением прибыли от этих данных, проникновением в саму инфраструктуру организаций. Использовались даже рассылки подарочных зараженных устройств для получения доступа к сети. В том числе киберпреступники использовали различные уязвимости, связанные с приложениями организации конференций. Думаю, что многие слышали про те проблемы, которые возникли весной у любимого всеми приложения Zoom.
Киберпреступность развивает и усиливает атаки, используя страх, неуверенность, вызванные социально-экономической ситуацией. На фоне распространения различных фейковых новостей, связанных с COVID-19, атаки на граждан, на организации набирают обороты. В качестве примера можно привести рост числа фишинговых рассылок и онлайн-мошенничества с использованием темы ковида. Используется отправка писем от имени медицинских организаций, государственных органов. Практически все страны заявили о заметном использовании темы ковида.
Интерпол также отмечает, что ковид дал рост зловредного программного обеспечения (примерно в 5 раз) и регистрацию различных злоумышленных доменов, которые касались темы ковида.
2,5 трлн руб.
составили в 2019 г. потери российской экономики от действий кибермошенников. Это оценка аналитиков Сбербанка, которую привел на Всемирном экономическом форуме – 2020 зампред правления банка Станислав Кузнецов. Возможный ущерб от кибератак в 2020 г. Сбербанк оценил в 3,5–3,6 трлн руб.
Растущая онлайн-зависимость, связанная с переходом в цифру, с изменением подходов к работе, оплаты товаров, услуг, создает для киберпреступности новые возможности. Можно отметить активность банковских мошенников. Мошенники очень часто достаточно осведомлены: у них есть информация по счетам в банках, по персональным данным. Это, в свою очередь, свидетельствует об актуальности темы, связанной с утечками персональных данных и сведений, составляющих банковскую тайну.
Отдельно Интерпол отмечает значительный рост атак, связанных с шифровальщиками, которые направлены на критическую инфраструктуру и организации здравоохранения.
Атаки, связанные с шифровальщиками, – не что-то новое, они возникли давно. Но если прежде атаки происходили в основном на пользователей, заражались пользователи, то сейчас эти атаки направлены на выведение из строя масштабных инфраструктур больших компаний.
Шифровальщики сейчас – одна из наиболее актуальных угроз, и целями атак шифровальщика все чаще становятся промышленные предприятия. Один из самых известных случаев – атака шифровальщика LockerGoga на алюминиевого гиганта Norsk Hydro. В результате атаки компании пришлось перевести производство в ручной режим управления, и лишь налаженный процесс резервного копирования смог спасти компанию от значительного ущерба.
Последнее время атаки с применением шифровальщиков трансформировались, теперь они еще крадут данные и шантажируют потом компании угрозами их публикации. Основная цель киберпреступников, которые используют такие атаки, естественно, финансовая. Они просят значительные выкупы за возможность бизнеса продолжить нормальную работу. При этом не известно, получится ли расшифровать эти данные и вернуть доступ к ним. К сожалению, такой статистики нет.
Очевидно, что многие компании под давлением таких ситуаций готовы платить деньги, чтобы восстановить инфраструктуру. И чем больше группировки, использующие эти шифровальщики, зарабатывают, тем больше они могут инвестировать в дальнейшее развитие, и в целом данное семейство эволюционирует. Они сегодня используют различные зловреды, которые разрабатывают в целенаправленных атаках, для того чтобы не только скомпрометировать инфраструктуру и вывести ее из строя, но и погружаться в эту инфраструктуру как можно глубже, находиться в ней как можно дольше и использовать эти зловреды для кражи данных, для промышленного шпионажа и т. д.
Как оценить, изменилась ситуация или нет? Предполагаю, что нет. Нас часто компании просят провести экспресс-аудит, чтобы оценить, насколько они могут быть уязвимы к внешнему воздействию. Мы находим различные критичные уязвимости с использованием простых методов OSINT (разведка на основе открытых источников) и тестов на проникновение. Практика показывает, что в 90% случаев компании можно взломать, потратив от одного до пяти дней.
Большинство атак происходит уже с использованием известных уязвимостей, и многие организации не уделяют внимания контролю уязвимостей даже на своем периметре. В период массового перехода на удаленку это становится особенно актуально. Один из распространенных векторов проникновения шифровальщиков – RDP (протокол удаленного рабочего стола). Мы рекомендуем уделять контролю удаленного доступа особое внимание, внедрять процессы управления уязвимостями и использовать обязательную многофакторную аутентификацию.
Необходимо уделять больше внимания сегментации сети и мониторингу событий информационной безопасности в пользовательском сегменте. Нужно понимать, что атакующие имеют разный потенциал и могут преследовать различные цели. Сейчас многие компании внедрили различные средства защиты – от антивирусов до SIEM (решения, которые осуществляют мониторинг информационных систем, анализируют события безопасности в реальном времени), и это хорошо. Но недостаточно использовать даже самые передовые средства защиты. Исследования показывают, что большая часть компаний не имеет четкого плана реагирования и восстановления от атак. А даже если они есть, эти планы зачастую не тестируются, не проверяются. Мы считаем, что необходимо проводить периодическое тестирование таких процедур.
Текст подготовлен по материалам конференции «Умные решения – умная страна: инновационные технологии для новой реальности», проведенной 21–22 октября 2020 г. ГК «Ланит» и газетой «Ведомости» в Москве