Каждый день в мире становится все больше угроз с приставкой «кибер». Бизнес, государственные организации, интернет-гиганты и простые люди, которые порой даже не пользуются интернетом, ‒ от современных видов мошенничества не застрахован никто. В том числе и в Беларуси: наша страна находится на 12-й строчке «Индекса киберпреступности», составленного Оксфордским университетом и UNSW.
Рассмотрим самые громкие, масштабные и трендовые атаки вместе с Антоном Тростянко ‒ главой центра кибербезопасности (SOC) hoster.by. Заодно узнаем, какие атаки наиболее актуальны для нашей страны, можно ли им противостоять и если да, то как именно.
Самые массовые кибератаки в истории
Шифровальщики не теряют популярности
Можно ли за несколько часов парализовать работу тысяч организаций: от европейских аэропортов до производства шоколада в Австралии и системы мониторинга за ситуацией в Чернобыле? Да, именно этим прославились шифровальщики, которые уже 8 лет подряд возглавляют все рейтинги самых массовых кибератак ‒ WannaCry и NotPetya. Первый проникал во все компьютеры на системе Windows без разбора, заразив за 4 дня более 200 000 устройств в 150 странах.
NotPetya был направлен преимущественно на бизнес и принес ущерб на небывалые $10 млрд.
В обоих случаях принцип был одним и тем же ‒ вредоносные программы шифровали все данные компьютеров и предлагали пользователям перевести определенную сумму в биткоинах для расшифровки. При этом никакого механизма восстановления данных не подразумевалось, они безвозвратно исчезали.
Актуальна ли проблема шифровальщиков для Беларуси? Центр кибербезопасности компании hoster.by, которая оказывает услуги ⅔ интернет-проектов в стране, в месяц фиксирует более 200 подобных атак. Около 90% из них отражаются средствами защиты провайдера.
Остальные обнаруживаются через анализ событий непосредственно на рабочих устройствах и серверах клиентов. Этот тип киберпреступлений ‒ один из самых популярных в стране и мире.
Как работают шифровальщики?
- Проникновение. Чаще всего они попадают в систему через спам-рассылки и фишинг: пользователь переходит по опасной ссылке, вредоносный код запускается и инфицирует систему. Вирус также может попасть через зараженные внешние носители (флешки, винчестеры и т.д.) и уязвимости в программном обеспечении.
- Распространение и обнаружение целей. Шифровальщик начинает распространяться по сети и параллельно обнаруживает ценные файлы для шифрования. Он может сканировать локальные диски, сетевые папки и подключенные устройства.
- Шифрование. Когда вирус обнаруживает целевые файлы, он применяет алгоритмы шифрования для изменения их структуры таким образом, что они становятся недоступными для пользователя без ключа расшифровки.
- Требования. После зашифровки вирус отображает сообщение с требованием выкупа. Какие-то программы отличаются «благородством» и высылают ключи для расшифровки после получения выкупа, но никаких гарантий тут не существует.
При обнаружении вируса важно быстро изолировать зараженный сегмент. Затем проводится расследование: выявляется источник и способ заражения, собирается информация для восстановления файлов и работоспособности системы, принимаются меры по предотвращению подобных инцидентов.
Как себя обезопасить?
«Необходимый минимум ‒ это, разумеется, антивирус. Но он помогает не всегда: вирусы постоянно видоизменяются и умеют маскироваться, ‒ комментирует Антон Тростянко. ‒ Каждый месяц мы фиксируем 10‒12 вредоносных файлов, которые обходят антивирусы. Для их обнаружения необходим комплексный анализ – мониторинг серверов и запущенных процессов, фильтрация трафика и ряд других мер. В нашем центре кибербезопасности есть вирусные аналитики, работа которых ‒ обнаруживать вредоносную активность в исполняемых файлах».
Самые актуальные типы атак
Фишинг выходит на новый уровень, используя утечки данных
Мы живем в эпоху фишинга, что подтверждается данными центра кибербезопасности (SOC) hoster.by, где этот вид интернет-мошенничества фиксируют чаще других киберинцидентов.
Цель фишинг-атаки ‒ выманить у пользователя ценные данные вроде номера банковской карты или пароля от личного кабинета. Часто это делается через спам-рассылки и подставные сайты, копирующие дизайн банка, интернет-магазина, платежной системы и т.д.
Фишинг мог бы быть меньшей проблемой, если бы не стал активно играть в одной команде с утечками персональных данных.
Так, в июне 2023 года в течение 48 часов в открытом доступе оказались клиентские базы российских гипермаркетов «Ашан», «Твой Дом», Leroy Merlin, Gloria Jeans, «Буквоед», «ТВОЕ» и еще 6 крупных компаний ‒ около 20 миллионов строк персональных данных.
Утечки делают атаки на компании до 10 раз опаснее, а количество переходов по ссылкам из персонализированных писем увеличивается на порядок. По данным SOC hoster.by, более 90% кибератак начинается с рассылки фишинговых писем.
Но даже слив клиентских баз десятков компаний выглядит мелкой неприятностью на фоне самой крупной утечки в истории. Ее обнаружили в начале этого года, и, похоже, она затронула пользователей почти всех крупных соцсетей, мессенджеров и тысяч сайтов из десятков стран. База содержит невообразимые 26 млрд записей и весит 12 терабайт.
Утечки данных в Беларуси: рост на 50% в год
За минувший год в нашей стране также прокатилась череда утечек, в том числе у крупных интернет-магазинов, онлайн-сервисов, салонов цифровой техники. Самая крупная база включала данные более 730 000 пользователей.
По данным центра кибербезопасности hoster.by, рост объема слитых данных в Беларуси увеличился почти на 50% за 2023 год. Частично это можно связать с ростом популярности онлайн-услуг, приходом в Беларусь новых крупных игроков и, соответственно, появлением больших хранилищ персональных данных.
«Более 80% утечек произошло в результате кибератак, а каждая вторая напрямую была связана с халатным отношением к технической и криптографической защите информации: ошибки в конфигурации оборудования, слабая политика в отношении паролей и т.д., ‒ комментирует Антон Тростянко. ‒ Небольшие компании наиболее уязвимы, так как у них меньше ресурсов для обеспечения информационной безопасности».
По словам эксперта, SOC hoster.by непрерывно занимается киберразведкой и отслеживает данные об утечках. Причем не только в отношении своих клиентов, но и других компаний, чтобы снизить риск проведения последующих атак.
Каждая масштабная утечка персональных данных значит, что в скором времени со скомпрометированных ящиков с большой долей вероятности пойдет волна фишинговых сообщений. Поэтому центр кибербезопасности предпринимает меры по снижению таких рисков.
Как себя обезопасить?
Компаниям важно понимать, что простых и универсальных решений не существует. Недостаточно просто закупить средства технической и криптографической защиты ‒ необходимы постоянный мониторинг инфраструктуры, обработка инцидентов и совершенствование системы защиты. В ряде случаев эту функцию имеет смысл отдать на аутсорс в SOC, когда риски от потенциальных утечек по-настоящему велики.
Самые неожиданные атаки
Компрометация цепочек поставки
Недавно Агентство Европейского Союза по кибербезопасности (ENISA) опубликовало список крупнейших угроз кибербезопасности, которые повлияют на цифровой ландшафт к 2030 году. Одной из ключевых проблем станет так называемая компрометация цепочек поставки.
Другими словами, чтобы получить доступ к данным клиентов банка, злоумышленникам будет проще взломать не сам банк, а разработчиков их программного обеспечения. А затем внести необходимые изменения в код: например, в систему дистанционного банковского обслуживания.
После штатного обновления ПО это позволит осуществлять переводы от имени пользователя, которые для любых систем защиты будут выглядеть совершенно обычными. Опасность таких атак в том, что порой они остаются незамеченными на протяжении долгого времени.
В 2020 году «модифицированное» хакерами ПО Orion от SolarWinds открыло доступ к сотням федеральных учреждений США, а также более чем к 80% компаний из списка Fortune500. Злоумышленникам продолжительное время удавалось оставаться незамеченными и заниматься кражей информации.
В Microsoft атаку назвали «крупнейшей и самой сложной» в организационно-технологическом отношении. По оценкам экспертов, она потребовала вовлечения более чем тысячи хакеров.
В Беларуси тоже происходят атаки этого типа. Например, в систему управления контентом для сайтов белорусской разработки был внедрен код, позволяющий удаленно вносить изменения на сайт клиентов.
«Я хотел бы подчеркнуть, что каким бы ни был онлайн-проект, важно перенести вопрос информационной безопасности в топ приоритетов. К сожалению, многие делают это только после совершения атаки, когда урон уже нанесен, ‒ считает Антон Тростянко. ‒ Важно понять, что недостаточно установки антивирусов и сетевых экранов.
Информационная безопасность ‒ это непрерывный процесс, каждый аспект которого должен находиться под полным контролем специалистов вашей компании или центра кибербезопасности, которому вы доверили защиту своего онлайн-проекта».