Кибергод: кого уже взломали и кому готовиться дальше

09.01.202210:12

Злоумышленники уже не столько добывают данные с помощью кибератак, сколько рекламируют свои услуги перед продажей. Показывают: «смотрите, как я могу». Подобных атак в минувшем году было много. Как бизнесу защищаться в будущем, в колонке для журнала «Компания» рассказывает Ксения Трохимец, замглавы департамента специальных проектов hh.ru.

Атака на деньги, репутацию и цепочку поставок

Кибератака — вредоносное вмешательство в информационную систему компании. Ключевая цель — получить выгоду от утечки данных, шантажа или репутационных потерь компании.

В России распространены таргетированные атаки. То есть такие, к которым преступники готовятся, собирают информацию о жертве и подбирают инструменты индивидуально. Ущерб от одной атаки обходился малым и средним российским компаниям в 2021 году примерно в $32 000, свидетельствуют данные «Лаборатории Касперского».

Выкуп. Чаще в целевых атаках на компании используют вирусы-вымогатели, позволяющие преступникам получить доступ к данным, потребовать выкуп. На этом принципе основаны 70-80% кибератак.
Репутационные потери. Примерно в половине случаев кибератаки направлены на то, чтобы нанести удар по репутации компании. Кража самих данных или денег не стоит на первом месте у киберпреступников.
Атака на цепочку поставок. Подбираются преступники через компании-производителей ИТ-решений к клиентам и конечным пользователям. Например, крупный вендор ПО может стать распространителем уязвимости через софт, который он поставляет, благодаря внесению в исходный код продукта несанкционированных изменений.

Крупные кибератаки, о которых говорили в 2021 году

Яндекс. Атакой года стало нападение на российского техногиганта в сентябре 2021 года. Серверы компании пережили крупнейшую DDoS-атаку в истории рунета 21 млн запросов в минуту. Атака не отразилась на работе сервисов, скорее всего, была демонстрацией силы создателя ботнета, включавшего 250 тыс. устройств.
Госуслуги. В ноябре 2021 года портал Госуслуг пережил мощную атаку — с нагрузкой более 680 Гигабит в секунду. Часть пользователей не смогли получить доступ к сервисам.
Colonial Pipeline. Крупнейший американский оператор сети трубопроводов заплатил хакерам $5 млн в криптовалюте. Из-за кибератаки компания приостановила работу части своих систем. Из-за этого в ряде штатов были перебои в работе автозаправочных станций.

прочитать весь текст

Суммы выкупа, которые затем требуют злоумышленники, зависят от величины бизнеса-жертвы и аппетитов преступников. В среднем это 3 млн рублей, максимум, зафиксированный в России — 40 млн рублей, говорится в отчете компании Group-IB. Максимум запрашивала группировка OldGremlin: 250 млн рублей.

Мир больших выкупов захватывает дух, но на сегодняшний день ключевая опасность развития этого рынка — продажа вирусов-вымогателей, как сервиса. Многие атаки уже совершают не те, кто написал код.

Вместо периметра

Много лет специалисты по кибербезопасности фокусировались на защите «периметра» компании. На рабочие машины ставили проверенные антивирусы, сотрудникам не разрешали скачивать никакие утилиты или открывать сайты социальных сетей, было запрещено подключать флешки, принесенные из дома.

С распространением пандемии и удаленной работы понятие периметра фактически перестало существовать. А киберпреступники пытаются получить доступ к инфраструктуре компаний через наиболее уязвимые точки к коим относятся сотрудники, которые могут не обладать достаточными знаниями в вопросах безопасности.. Сложность еще и в том, что пандемия подстегнула развитие технологий, комбинации инструментов мошенников становится все более изощренным.

При атаке на конечных пользователей, обычных людей, применяют самые простые инструменты: социальную инженерию и фишинговые рассылки. Основная уязвимость в этом случае — отсутствие критического мышления на фоне парализующего страха.

Страх работает на мошенников, потому что жертва не знает, чего ожидать и как действовать в нестандартной ситуации. Залог успеха: обучение и, как необходимый минимум, создание сложных для подбора паролей.

Тактика вашей службы безопасности в 2022 году

Ни одна система не может быть полностью защищена от взлома. Способных на это программ, инструментов и антивирусов просто не существует. Строить киберзабор бесполезно.
Скорость реагирования и устранения. Эти два пункта становятся ключевыми при отражении онлайн-атаки. Стоит работать над бдительностью сотрудников и членов распределенных команд. Их нужно обучать цифровой гигиене, проводить вебинары, знакомить с профильными статьями, учить подходить внимательно к любому источнику информации, развивать критическое мышление. Основываясь на практике можно сказать, что после серии вебинаров сотрудники на 50% лучше распознают, например, подозрительные ссылки и не переходят по ним. Дополнительный эффект: они несут эти знания домой и просвещают родных.
Пользователь — мишень. Мошенничество превращается в сервис, часто атаку совершают не хакеры, которые написали программу. А те, кто ее приобрел. Эволюционируют и мишени: ими становятся не только корпорации, но и конкретные лица, их аккаунты в социальных сетях.
Уязвимое API. В 2022 году мы ожидаем прирост атак на компании, работающие на интерфейсах прикладного программирования или API (Application Programming Interface). Туда идет более 80% трафика, а значит и интерес кибермошенников направлен на такие сервисы. Также популярный источник атак — веб-сервис для хостинга IT-проектов GitHub. Там злоумышленники могут получить доступ к учетным записям с правом внесения изменений в коды проектов и дописать вредоносную часть.
Рост скорости. Не стоит относиться к киберпреступникам как к школьникам. Это серьезные структуры, способные делать уникальные вещи. Они уже способны разрабатывать уязвимости жертвы не несколько дней, а несколько часов.

Наиболее интересными для кибермошенников в 2022 году будут IT-сфера, здравоохранение, банки. Все компании, у которых есть серьезные базы данных. Там, где есть большие данные — всегда есть большие деньги.