Коронавирус, хакеры и немного психологии

Как цифровая гигиена влияет на защищенность компаний
PhotoXpress

2020 г. принес компаниям всего мира уникальный опыт перехода на дистанционный режим работы. По статистике количество кибератак в мире в прошлом году выросло в 1,5 раза по сравнению с 2019 годом, 86% из них были направлены на организации, такие данные приводит Positive Technologies. С нарушениями информационной безопасности со стороны сотрудников столкнулось 88% российских компаний, говорится в исследовании SearchInform, и в трети случаев такие инциденты привели к финансовому ущербу.

Киберугроза – в беспечности сотрудников

С началом пандемии количество кибератак на юридических лиц выросло на 600%, следует из отчета специализирующейся на информационной безопасности американской компании Purplesec. В отчете анализируются данные по США, но аналитики отмечают, что рост киберугроз – общемировой тренд. 

Причинами атак стали недостаточная защищенность сервисов организаций, которые оказались уязвимы для проникновения злоумышленников, работа на недостаточно защищенных устройствах плюс неготовность сотрудников компаний противостоять социальной инженерии, которую умело используют злоумышленники.

Хакеры активизировали атаки на компании еще в начале 2020 г., согласно исследованию Научно-технического центра Главного радиочастотного центра (находится в подчинении Роскомнадзора). Так, за первое полугодие 2020 г. количество атак на компании – объекты критической инфраструктуры в России выросло на 40%. А в первом полугодии 2021 г. их количество увеличилось еще в 1,5 раза. Как следует из исследования, в первую очередь хакеры атаковали государственные органы, промышленные предприятия, а также компании, работающие в сфере науки и образования.

/PhotoXpress

Количество атак на промышленные предприятия в мире выросло за год на 91%, согласно исследованию Positive Technologies за 2020 г.: семь из 10 атак носили целенаправленный характер. В топ-3 потенциальных жертв, по данным экспертов этой компании, вошли государственные учреждения (19%), промышленные компании (12%) и медицинские организации (9%). Еще буквально пару лет назад главной целью злоумышленников были в основном банки и вывод оттуда средств, сейчас же охота идет не только за деньгами, но и за информацией или же цель атак – парализация деятельности компаний. 

Эксперты указывают: во многих случаях слабым звеном, через которое злоумышленникам удается проникнуть в компанию, становятся ее собственные сотрудники. 98% кибератак так или иначе основано на социальной инженерии, отмечает американская ID Agent. Она проанализировала инциденты, произошедшие с ее клиентами в США, но отметила, что все они характерны и для других стран. 

Так, 45% сотрудников компаний открывают подозрительные электронные письма «на всякий случай, если это важно». А 47% сотрудников компаний – клиентов ID Agent назвали отвлечение внимания злоумышленниками основным фактором, из-за которого они не смогли обнаружить попытки фишинга. 

Социальная инженерия в атаках на сотрудников компании

Евгений Царев, управляющий RTM Group

Хорошая подготовка злоумышленников плюс использование социальной инженерии позволяют злоумышленникам достичь удивительных результатов. Вот примеры скриптов (сценариев), которые использовали злоумышленники при атаках на российские компании:
1. Мне бы подарок доставить
Целью атаки был руководитель техподдержки компании. Чтобы с ним связаться, злоумышленники сначала позвонили в колл-центр, сообщили о необходимости доставить подарок, а заодно выяснили имя интересующего сотрудника, время работы и т. д.
2. Пишет начальство или коллега
Сотрудник компании получает письмо с личного ящика генерального директора с требованием срочно выгрузить и отправить ему базу по всем клиентам, впоследствии данные могут быть использованы для атаки на контрагентов.
3. Письмо от техподдержки или HR

Злоумышленники мимикрируют под подразделение компании – либо техподдержка, которая сообщает об обновлении почтового сервера или установлении новой системы конференц-связи, побуждая сотрудника перейти по ссылке из письма (и тем самым загрузить вредоносную программу). Вариант атаки – письмо от HR о премии, новом режиме работы, мерах по борьбе с коронавирусом и т. д., во вложении к письму – вирус.
4. У меня все не работает
Популярный в период удаленной работы скрипт, когда специалисты техподдержки компании получали письмо с личного ящика сотрудника, что «все отвалилось, ничего не работает, файл не грузится и т. д.». Цель та же, что и всегда, – побудить открыть файл или перейти по ссылке.
5. Надо помочь
Встречались атаки, когда злоумышленники пользовались тщеславием работников. Например, когда в неурочное время звонил якобы представитель крупного клиента, ссылался на руководителя и просил срочно помочь – открыть файл, пройти по ссылке. Вариантом атаки были схожие обращения, но якобы из СМИ со ссылкой на руководителя или главу пресс-службы.
6. Люди в спецодежде
Способ задействования людей в спецодежде для физического проникновения к устройствам показал свою эффективность даже в хорошо защищенных организациях. Злоумышленники могут действовать под видом работника «Скорой помощи», монтажника-высотника или уборщика.

«Пандемия создала огромное количество инфоповодов, которые мошенники стали использовать для фишинговых атак. Например, злоумышленники рассылали сотрудникам организаций письма, в которых было написано, что в связи с пандемией они могут получить какие-то налоговые льготы или доплаты от своей компании, государства либо от банка, через который они получают зарплату. Для этого необходимо нажать на ссылку и ввести какие-то данные. В тот период, когда тема коронавируса заполонила наши умы, многие сотрудники открывали такие ссылки», – рассказал «Ведомости&» руководитель по облачным платформам и инфраструктурным решениям «Мегафона» Александр Осипов (подробнее см. интервью).

Средние потери от кибератаки с использованием социальной инженерии, по данным ID Agent, составляют $130 000. Согласно исследованию Positive Technologies, в атаках текущего года в 71% случаев основными векторами доставки вредоносного ПО была электронная почта, социальная инженерия в атаках на компании используется в 55% случаев. Фишинг в атаках на компании использовался в 74% случаев, в 20% случаев – атаки на веб-приложения, свидетельствуют данные Solar JSOC, исследующей российскую практику.

По словам управляющего RTM Group Евгения Царева, их компания проводила пентесты на проникновение в инфраструктуру среди сотрудников региональных банков. Результат оказался удручающим: 50% работников кредитных организаций в ходе киберучений открыли опасное письмо. 

Учим уроки прошлых атак

2020-й и западные, и отечественные эксперты по информационной безопасности уверенно называют годом вирусов шифровальщиков-вымогателей. 

«Шифровальщик действует по проверенному сценарию: шифрует данные жертвы, удаляя оригиналы файлов, а затем требует круглую сумму в качестве выкупа, – рассказывает директор центра компетенций «Гарда технологии» Роман Жуков. – Наиболее часто такой вирус распространяется через фишинговые письма, который открывают сотрудники компании». Чтобы восстановить работоспособность сервисов, хакеры предлагают перевести выкуп в криптовалюте, как правило в биткойнах, продолжил эксперт. Восстановить данные, не имея резервных копий, по его словам, невозможно.

Ярким примером атаки с использованием шифровальщика в 2020 г. стала атака на компанию Garmin, одного из крупнейших производителей GPS-навигаторов и умных часов из США, говорит Жуков. Вечером 22 июля прошлого года сервис Garmin Connect, предназначенный для синхронизации данных о физической активности владельцев умных часов, оказался полностью недоступен. Возникли перебои в работе сайта компании, была парализована работа службы поддержки. Причиной стала хакерская атака на компанию с использованием шифровальщика – вымогателя WastedLocker. Злоумышленники запросили у компании выкуп в $10 млн, и компания заплатила за дешифратор. 

Еще один популярный в 2020 г. шифровальщик – Netwalker распространялся исключительно с использованием фишинговых писем сотрудникам потенциальных жертв. Тематика сообщений – коронавирус, во вложении к письму – вредоносное программное обеспечение (ПО). 

По оценкам экспертов, на долю шифровальщика Netwalker пришлось более 10% всех хищений средств от подобного типа атак. Письма с вредоносным ПО атаковали логистических гигантов, промышленные концерны, энергетические корпорации и другие крупные организации. Всего за несколько месяцев 2020 г. выручка преступников превысила $25 млн, по данным компании McAfee, которая изучила шифровальщик, отследила биткойн-кошельки хакеров и подсчитала, сколько они зарабатывают. Использовать вредоносное ПО для вымогательства мог даже начинающий хакер. Владельцы Netwalker распространяли вирус по своего рода франшизе, раздавая его бесплатно с инструкциями по применению. В случае успешной атаки они забирали себе около 30% прибыли, следует из сообщений Kaspersky Team. 

Для успешной работы злоумышленники создали специальный сайт, где автоматически публиковали всю похищенную информацию по истечении срока, назначенного на выплату выкупа. 

В 2020 г. впервые зафиксирован случай смерти человека из-за действий вируса-вымогателя. Осенью 2020 г. шифровальщики атаковали Университетскую клинику в Дюссельдорфе, парализовав ее деятельность. Больница не могла принимать пациентов и переправляла их в другие учреждения. Это стоило жизни женщине, нуждающейся в срочной медицинской помощи: она скончалась по дороге в другую больницу. Клиника официально сообщила, что причина смерти – шифровальщик, парализовавший работу больницы. 

Самое печальное, что на сегодня компании просто не готовы противостоять подобным атакам, отмечает Purplesec. Опрос специалистов по информационной безопасности, который компания провела в 2020 г., показал, что половина из них не уверены, что смогут отразить атаку с использованием вирусов-вымогателей. Среди атакованных в 2020 г. в США организаций 75% использовали самые современные защитные средства информационной безопасности, но человеческий фактор свел всю защиту к нулю.

70%

кибератак в 2020 г. носили целенаправленный характер

Источник: Positive Technologies

Еще один громкий кейс прошлого года – успешная атака на IТ-компанию SolarWinds, а затем и ее клиентов. Злоумышленники взломали этого производителя ПО и внедрили вредоносное обновление в программу Orion. При загрузке обновления злоумышленники получили доступ к сетям клиентов SolarWinds. Среди пострадавших – FireEye, минфин США, Национальное управление по телекоммуникациям и информации США (NTIA), государственный департамент США, национальные институты здоровья (NIH) (часть министерства здравоохранения США), министерство внутренней безопасности США (DHS), министерство энергетики США (DOE), Национальное управление ядерной безопасности США (NNSA), некоторые штаты США (конкретные штаты не разглашаются), Microsoft, Cisco. Приводились данные о пострадавших 18 000 клиентах SolarWinds, среди которых были и специализирующиеся на информационной безопасности. 

Эксперты сходятся во мнении, что тренд по атаке компании для проникновения в инфраструктуру его контрагентов, в первую очередь с помощью электронных писем, будет только нарастать. В частности, крупнейший в США разработчик ПО для виртуализации VMware в своем отчете указал, что на сегодня минимум половина атак нацелена на цепочку контрагентов взломанной компании. 

«Атаки, когда взламывается контрагент, а через него уже идет проникновение через дружеское письмо, не редкость и для нашей страны, – указывает глава службы информационной безопасности Росгосстрахбанка Иван Шубин. – Примеры подобных атак были при проникновении в компании разных отраслей, включая кредитные организации». Он напомнил громкий случай с атакой на банк «Юнистрим», когда, по данным газеты «Коммерсантъ», получившие доступ к почтовому серверу банка злоумышленники разослали фишинговые письма его партнерам. Сам банк подтвердил одну из атак (источники «Коммерсанта» говорили о двух), но указал, что существенного ущерба банк не понес. «Наличие атаки никто не отрицает, но это не значит, что она была успешной», – цитировал представителя банка «Коммерсантъ». 

Как защититься

Как отмечает в своем исследовании Purplesec, ситуация с кибератаками в мире уже вынудила США ужесточить требования к информационной безопасности юридических лиц. Штат Мэриленд, например, даже будет выплачивать компаниям компенсацию в $2500 для повышения уровня защищенности (обычно это покупка софта, обучение и проч. – «Ведомости&»). У малого бизнеса нет средств на информационную безопасность, объясняют эксперты Purplesec в исследовании. Они уверены, что в ближайшее время инвестиции в кибербезопасность станут приоритетным направлением для любого бизнеса. Совокупный размер мирового рынка кибербезопасности в 2020 г. составил $167 млрд и будет расти до 2028 г. на 11% ежегодно, прогнозирует Grand View Research.

Это весьма возможно, так как все больше компаний готово инвестировать в информбезопасность. Проведенный аудиторской компанией «большой четверки» PwC глобальный опрос 3249 компаний показал, что 96% компаний в России и в мире намерены скорректировать стратегию обеспечения кибербезопасности в связи с пандемией. При этом более половины опрошенных намерены увеличивать бюджеты на информбезопасность.

По мнению экспертов, крайне важно для повышения защищенности не только инвестировать в так называемые софт и железо, но и проводить работу с персоналом. «Для повышения киберзащищенности компании необходимо проводить киберучения, в ходе которых разъяснять, как распознать подозрительное письмо, как перепроверять информацию, по каким каналам безопасно взаимодействовать с коллегами», – указывает Шубин.

/PhotoXpress

«Сотрудники компаний чаще становятся жертвами мошенников, а не соучастниками преступлений. Конечно, таких сотрудников нужно дополнительно мотивировать все-таки соблюдать элементарные правила информационной безопасности. Но любая утечка – это повод для компании задуматься о том, все ли сотрудники понимают, как нужно действовать в той или иной ситуации», – полагает Осипов из «Мегафона». 

Проблема в том, отметил Шубин, что обычно сотрудники компании просто не представляют, какой ущерб могут нанести те или иные их непродуманные действия, отсутствие представлений об элементарной цифровой гигиене. Например, согласно опросу аналитического центра «Альфастрахования», скриншоты с рабочей перепиской в мессенджеры отправляют 60% россиян. По данным «Лаборатории Касперского», 59% россиян используют личную почту для решения рабочих вопросов, 55% общаются по работе в мессенджерах. Естественно, что привыкший к подобному общению сотрудник банка легко может открыть письмо «с личного ящика» коллеги.

В итоге, по данным ID Agent, эффективность целевых атак на компании с использованием фишинга и социальной инженерии – порядка 80%, при этом в 45% случаях открывшие опасное письмо или ссылку сотрудники компании не сообщают руководству о сделанном из страха лишиться премии или потерять работу. В связи с этим ID Agent рекомендует не просто проводить учения, но и заставить каждого сотрудника почувствовать себя частью команды информационной безопасности, защищающей компанию от злоумышленников.