Как изменились методы киберпреступников

По данным одной из крупнейших исследовательских компаний, работающих в сфере IT-безопасности, количество киберинцидентов стремительно растет: в первом и втором кварталах 2020 года выявлено на 22,5% больше атак, чем в последнем квартале 2019 года. Как отмечают эксперты, внимание кибермошенников все больше фокусируется именно на корпоративных сетях, нападения на которые достигли в этом году просто рекордного размаха.

Только за три «ковидных» месяца, с апреля по июнь, число кибернападений выросло, если сравнивать с аналогичным периодом прошлого года, на 59%. Особенно остро почувствовали на себе хакерский интерес юрлица, доля атак на которые выросла с начала года с 10 до 15%. Самый большой энтузиазм у злоумышленников вызывали при этом госучреждения (16% атак), промпредприятия (15%) и всевозможные разнокалиберные компании, которые вообще сложно привязать к конкретной отрасли (21%). В девяти из десяти случаев хакеры шли на абордаж с вредоносным программным обеспечением (ПО) наперевес.

Добро пожаловать на борт

Особенно полюбились преступникам в этом году программы-шифровальщики, из-за которых файлы на компьютере превращаются в нечитаемое черт-те что, и, чтобы получить ключ к шифру, нужно увеличить банковский счет нападающего на приятную для него сумму. И речь, конечно, не только о безобидных вордовских файлах или красивых фоточках — в случае с юрлицами шифровальщики лихо останавливали и промышленные системы управления. Например, в начале июня автомобильному гиганту Honda пришлось на несколько дней прекратить работу своих заводов и офисов по всему миру, так как и производство, и продажи парализовали шифровальщики. Не повезло в конце полугодия и энергетикам. По данным Positive Technologies (международной компании со штаб-квартирой в Москве, которая специализируется на разработке ПО для инфобезопасности), вирусы-вымогатели изрядно помотали нервы сотрудникам Enel Group и некоего гиганта ТЭК, который, видимо, не стал афишировать свое вынужденное участие в кибервойне из скромности. Кстати, подобная застенчивость накрывает компании довольно часто, так что об истинных масштабах бедствия можно только гадать.

8 сентября сообщалось об атаке китайской кибергруппировки Winnti на более чем полсотни корпоративных компьютеров по всему миру, среди которых оказались пять разработчиков ПО для финансовых организаций из Германии и России. Судя по всему, хакеры искали плацдарм для дальнейшего вторжения, так как всегда проще пробиться на закрытый периметр не в лобовую, а окольно — через менее защищенных партнеров, поставщиков, клиентов… Более того, как отмечают эксперты, в последние годы в России примерно треть АРТ-атак (целевая продолжительная атака повышенной сложности) идут именно на разработчиков ПО и организации, занимающиеся системной интеграцией. Через них хакеры пытаются проникнуть в виртуальную святая святых банков, промпредприятий и госконтор. Причем в компании могут даже не узнать о чужаке, так как, если разведка (а тут, как в настоящей войне, разведчики — вперед) покажет, что ничем существенным в конторе не поживиться, заморачиваться с загрузкой полноценного алгоритма для кражи АРТ-группировка просто не будет.

Но не всем же быть такими щепетильными. Месяцем раньше киберполицейские из Group-IB объявили о неизвестной прежде хакерской группе RedCurl, специализирующейся исключительно на корпоративном шпионаже. Меньше чем за три года их жертвами стали десятки организаций по всему миру — от России до Северной Америки. Цель атакующих — документы, представляющие коммерческую тайну (контракты, финансовые ведомости, личные дела сотрудников, документация по судебным делам и т.д.). Список жертв разнообразен: строительные, финансовые, консалтинговые компании, ретейлеры, банки, страховые, юридические, туристические агентства… Чаще всего в систему хакеры проникали с помощью старых добрых фишинговых писем, максимально достоверно мимикрирующих под стандартную корпоративную корреспонденцию. А проникнув, преспокойно оставались там незамеченными вплоть до полугода, неспешно тыря все, что плохо лежит.

Еще один цифровой умелец, хакер Fxmsp, обретающийся, как говорят, где-то в Алма-Ате, специализируется на том, что предоставляет всем желающим доступ в корпоративные сети компаний. За три года ему удалось пробраться в самое нутро 135 организаций в 44 странах мира, став абсолютным лидером по числу проданных «билетов» на борт чужих компаний. Список его жертв возглавили предприятия легпрома, на втором месте — провайдеры ITcервисов, далее — ретейл. Успех алмаатинца так воодушевил его коллег, что с начала нынешнего года уже более 40 хакеров стали промышлять на специализированных форумах тем же самым.

— Мы в этом году тоже отмечаем всплеск атак на организации, — говорит ведущий аналитик компании, специализирующейся на интернет-безопасности, Александр Вураско. — В первую очередь это связано с тем, что на фоне пандемии многие организации перевели своих сотрудников на удаленку. А она по сути разрушает всю традиционную концепцию обеспечения информационной безопасности, ведь одно дело — защищать периметр компании, когда все ресурсы находятся внутри, и совсем другое, когда сотрудники работают со своих домашних устройств, которые невозможно полноценно контролировать. Так что безопасникам пришлось серьезно перестраиваться, чего не скажешь о хакерах, для которых работа, наоборот, облегчилась. В августе мы проверяли безопасность 47 компаний малого и среднего бизнеса, так уязвимости были обнаружены абсолютно у всех, причем у 45 из них — серьезные, позволяющие реализовывать сложные атаки в отношении этих организаций.

Именно поэтому, уверен Александр Вураско, безопасность в компании зависит сейчас не только от профессионализма айтишников, но и от бдительности каждого, потому что даже рядовой сотрудник, совершив ошибку, может поставить под угрозу инфраструктуру всей организации.

— Пример из жизни. Сотрудница работала на удаленке через VPN-cоединение, то есть из дома могла получать доступ по защищенному каналу к внутренней сети компании, — рассказывает Вураско. — В какой-то момент отошла куда-то, не разорвав соединение. За компьютер сел ее муж, побродил по сетям, открыл ссылку, скачал файл… В итоге троян-вымогатель зашифровал данные на их домашнем компьютере, добрался до файлового сервера организации и парализовал ее работу.

Но даже если бы женщина работала в офисе, не факт, что это кого-нибудь спасло бы. Ведь не шифром единым жив хакер.

— В этом году стали очень популярными атаки на производственные предприятия по схеме «человек посередине», — продолжает Вураско. — То есть злоумышленники узнают о готовящейся сделке и перехватывают какое-то одно письмо (этого достаточно) между менеджерами двух контрагентов. Из него они получают необходимую информацию о сделке, потом создают два доменных имени, созвучных с официальными доменами этих двух компаний, и начинают с каждым из менеджеров общаться от имени другого. И те ничего не замечают, потому что в современной бизнес-переписке, если открыть любой популярный почтовый клиент, мы видим не почтовый адрес человека, а его имя. И если нам присылают письмо с прикрепленной предыдущей перепиской, мы просто продолжаем общение. А когда речь доходит до сделки, хакеры просто присылают свои платежные данные, и деньги улетают им. В этом году было несколько случаев как в России, так и на просторах бывшего СССР, когда ущерб от таких атак исчислялся сотнями тысяч евро, а в ряде случаев речь шла и о миллионах. Недавно, например, нам удалось вовремя остановить переписку о закупке промышленного насоса за 400 тысяч евро — один наш большой завод покупал его в Германии. Раскрыли эту схему буквально в самый последний момент…

Советы в столь напряженной обстановке кажутся, может, и стандартными, но от этого не менее эффективными: бдительность, ответственность, профессионализм.

— Очень хорошо помогает понять, что нужно подлатать в системе, аудит безопасности инфраструктуры компании, — говорит Александр Вураско. — Но проводить его лучше силами сторонней организации, потому что она по определению найдет гораздо больше, чем собственные специалисты, которым и глаз замыленный часто мешает, и свои косяки вряд ли захочется признавать. Совсем не помешает и серия тренингов сотрудников по вопросам, связанным с информационной безопасностью. Причем проводить их следует в три этапа: контрольные испытания, обучение, еще одни контрольные испытания. Так оценить эффективность полученных знаний намного проще.

Цифровая «Зарница»

К слову, с тренингами скоро станет совсем хорошо. К концу этого — началу следующего года в Москве заработает киберполигон, на котором сотрудники компаний (в первую очередь их руководители и безопасники) смогут отрабатывать все необходимые навыки по отражению атак злоумышленников из виртуала. Ну а поскольку дело это государственное, организаторы обещают абсолютно безвозмездное участие в цифровых «Зарницах».

— Это будет полувиртуальная платформа, максимально приближенная к корпоративной реальности, — рассказывает Михаил Климов, директор по развитию проекта «Национальный киберполигон». — То есть, если нужно провести учения по защите от киберугроз, связанных с хищением финансов, банковские специалисты по инфобезопасности смогут на инфраструктуре, повторяющей ту, что реально существует в их организации, отрабатывать навыки обнаружения, реагирования и защиты от таких атак. Если нужна будет тренировка для сотрудников ТЭЦ, система сэмулирует атаки на системах, которые используются именно в ТЭЦ. Со временем мы сможем воссоздать любую систему любого предприятия критической информационной инфраструктуры. И не только виртуально — например, автоматизированная система управления технологическим процессом подразумевает вполне реальное оборудование: шкафы, контроллеры, прочие технологические элементы. Все это у нас тоже будет на полигоне. Вообще, его создание — очень значимая инициатива, поскольку растущее число и сложность угроз со стороны хакеров требуют от специалистов по безопасности постоянного наращивания навыков по отражению атак. Но тренироваться на собственной инфраструктуре чревато, ведь если в результате киберучений заблокируется какой-то производственный процесс, это грозит простоем и убытками.

По словам Михаила, полигон будет иметь четыре «физических» места дислокации, одно в Москве и три в регионах.

— Первый этап строительства, который стартовал в начале этого года, подразумевает воссоздание банковской и энергетической организаций. Их планируют запустить в этом декабре, — поясняет эксперт. Потом киберполигон прирастет нефтегазом, металлургией, телекомом и другими цифровыми «объектами». При этом его виртуальное сердце будет находиться в Москве, в специальном ЦОДе. Но вслед за московской будут созданы еще как минимум три подобные площадки. Одна из них будет на острове Русский, благо Дальневосточный университет выращивает сейчас сильнейшие кадры по цифровой безопасности.

Кстати, молодые специалисты и студенты — еще одна категория потенциальных посетителей полигона.

— При всем желании система IT-образования не в состоянии уследить за стремительно меняющимся миром киберпреступлений, — объясняет Михаил. — А студенты и молодые специалисты, которые приходят после окончания высших учебных заведений на предприятия, должны быть в курсе самых последних хакерских «достижений», чтобы эффективно отражать кибератаки. Вот в этом мы им и будем помогать. Конечно, все руководители стараются по мере сил обезопасить предприятия самыми современными средствами обнаружения атак, системами контроля, защиты, резервирования и т.д. Но не все понимают, что главное — это не дорогое ПО, а подготовленные кадры, умеющие с ним управляться. Можно вложиться в железо, но, если люди будут слабо подготовлены, оно, увы, не спасет.

ПРЯМАЯ РЕЧЬ

Антон Серго,юрист:

— Если проанализировать судебные решения, исходя из открытых данных, в прошлом году реальные сроки за киберпреступления фигурировали меньше чем в десяти из них. Разумеется, это не объективная картина. Потому что часто «конфликтующие стороны» — скажем, хакер и служба безопасности организации — утрясают этот вопрос между собой, аккуратно замалчивая дело без привлечения правоохранительных органов. Серьезной проблемой является и то, что немалая часть преступных следов (и это, к сожалению, нормально для такого бизнеса) ведет за границу: российские хакеры атакуют иностранные дата-центры, иностранные — наши. Делается это в том числе и потому, что в силу политических причин между государствами часто существует проблема взаимной выдачи преступников, передачи материалов, рассмотрения дел и тому подобные препоны, которые вовсю используют кибермошенники. Тут все по известной формуле: хороших людей больше, но плохие лучше объединены.

РЕПЛИКА

А попугай не врал

Дмитрий Трунцов, директор Департамента безопасности крупной сетевой компании:

— Не так давно нашим именем тоже воспользовались злоумышленники — направляли представителям российских компаний электронные письма, в которых сообщали о признании их победителями в закрытых закупках на право заключения договоров по выполнению работ. Работы выбирались в зависимости от сферы деятельности предприятия. Для большей достоверности аферисты прикладывали фальшивые подтверждающие документы (протоколы рассмотрения, извещения запроса предложений) от цифрового провайдера. Рассылка шла с домена rsk.msk.su, не зарегистрированного в глобальной системе учета доменных имен, а в самих сообщениях не было сведений о тех ресурсах, с помощью которых они были отправлены. Понятно, что «Ростелеком» никогда не объявлял всех этих тендеров. Но это ничуть не смущало джентльменов удачи, которые перед заключением договора предлагали победителям мифических торгов за несколько десятков тысяч приобрести сертификат подтверждения деловой репутации. И ведь кто-то, возможно, клюнул на эту приманку.

Долгое время инструкции по кибербезопасности воспринимались многими как говорящий попугай, кричащий всем, кто готов слушать, о том, что близится роковой час. И действительно, раньше мошенники в основном шли по пути наименьшего сопротивления — искали слабые места у компаний, а если сталкивались с более-менее защищенной сетью, двигались дальше, подыскивая цели полегче. Но сегодняшние последователи Остапа Бендера — это высокомотивированные профессионалы, зачастую хорошо финансируемые, которые гораздо более терпеливы и настойчивы в своих усилиях прорвать оборону организации.

Только за прошлый год крупнейший центр мониторинга и реагирования на инциденты кибербезопасности в России (Solar JSOC) выявил и отразил свыше 1,1 миллиона внешних атак на информационные ресурсы организаций. По нашей статистике, наибольшей популярностью среди аферистов пользуются вредоносные программы. Второе место рейтинга хакерских методов занимает уязвимость в веб-приложениях (интернет-банках, на веб-порталах, в электронной почте, личных кабинетах). И третье место — это подбор логинов и паролей от интернет-ресурсов организаций и администраторов. Следом идут DDoS-атаки, цель которых — сделать сайт организации недоступным для пользователей.

При этом увеличилось количество редких атак. Их отличает цепочка вредоносной активности, состоящей, как правило, из четырех этапов. Такие нападения остаются незаметными для антивирусов, которые могут обнаружить атаки из одного, максимум двух этапов. Около 80% таких нападений приходится на финансовый сектор, а 20% направлены на энергетические компании. Уинстон Черчилль писал: «За безопасность необходимо платить, а за ее отсутствие расплачиваться». Поэтому для обеспечения своей безопасности организации должны тщательно рассмотреть все возможные решения. Ведь предупрежден — значит вооружен.

Читайте также: Никаких больше откровений в Сети