Каждая десятая российская организация из числа субъектов критической информационной инфраструктуры (КИИ) уже скомпрометирована различными семействами вредоносного ПО, согласно исследованию центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар»,
При этом, часть уязвимостей, которые эксперты находят в объектах КИИ, хоть и были опубликованы еще десять лет назад, до сих пор не закрыты. Таким образом, совершить успешную атаку на большинство критически важных для страны инфраструктур могут даже хакеры с низкой квалификацией.
В ходе анализа данных с сенсоров команда Solar JSOC CERT отметила наибольшую активность четырех типов вредоносного ПО:
- Glupteba - кража пользовательских данных и добыча криптовалюты;
- PonyStealer - ботнет, известный с 2011 г., и предназначенный для похищения паролей учетных записей и другой чувствительной информации;
- Trojan-Spy.Win32.Windigo осуществляет рассылку спама, кражу конфиденциальных данных и кликфрод;
- NjRAT (он же Bladabindi) – троян 2012 г., используемый злоумышленниками для удаленного администрирования.
Это вирусное ПО, несмотря на свою несовременность, несет существенные риски для компании. В случае если профессиональная группировка захочет развить свою атаку, ей достаточно приобрести в даркнете доступ к скомпрометированным узлам. Далее с помощью современных инструментов она сможет получить гораздо более глубокий доступ к инфраструктуре и повлиять на непрерывность бизнес-процессов, а также осуществить хищение конфиденциальной корпоративной информации или денежных средств.
Защита периметра
Остаются актуальными и проблемы защиты периметра. Более чем 90% организаций отсутствует процесс обновления ПО, а среднее время установки обновлений превышает 42 дня. В результате во многих компаниях встречаются старые, но функциональные уязвимости.
Наиболее распространены появившаяся в 2011 г. уязвимость Heartbleed, а также EternalBlue, ставшая в 2017 г. причиной распространения шифровальщика WannaCry, и BlueKeep, обнаруженная в еще в 2019 г. Все они активно используются хакерами для реализации кибератак.
АСУ ТП
Пандемия также значительно ослабила ИТ-периметры. За последний год более чем на 60% выросло число автоматизированных систем управления технологическими процессами (АСУ ТП), доступных из интернета. Это увеличивает риски промышленного шпионажа и кибертерроризма.
Файловые протоколы
Кроме того, почти в два раза увеличилось количество хостов с уязвимым протоколом SMB. Это сетевой протокол для общего доступа к файлам, принтерам и другим сетевым ресурсам, который применяется практически в каждой организации. Такие уязвимости особенно опасны, так как позволяют хакерам удаленно запускать произвольный код без прохождения аутентификации, заражая вредоносным ПО все компьютеры, подключенные к локальной сети.
И вновь пароли
Основной же проблемой во внутренних сетях является некорректное управление паролями. Крайне распространены слабые и словарные пароли, которые позволяют злоумышленнику проникнуть во внутреннюю сеть организации. Подбор пароля используют как хакеры-любители, так и профессиональные злоумышленники. И скомпрометированная учетная запись позволяет преодолевать внешние средства защиты организации.