В 2022 году специалисты зафиксировали в киберпространстве РФ рекордное количество DDoS-атак и других цифровых преступлений — в первую очередь взломов и утечек данных.
В этой статье мы расскажем, изменилась ли ситуация за первые шесть месяцев 2023 года, и каких киберугроз следует ждать в перспективе. Отметим сразу: основной топ цифровых опасностей сохранился прежним, однако в 2023 году наметились интересные нюансы, которые могут сигнализировать о будущем повороте в динамике.
Первый квартал 2023
Январь
Год начался с больших утечек — хакеры из группировки NLB взломали базу данных пользователей крупнейшего почтового сервиса РФ и выложили в сеть 3,5 млн строк. В открытый доступ попали номера телефонов, почтовые адреса и имена пользователей. Аналогичная ситуация произошла с клиентами крупной сети спортивных магазинов РФ, но в куда большем объеме. Злоумышленники скомпрометировали не менее 100 миллионов строк пользователей.
Утекли в сеть и другие имена — в этот раз доменные. Крупнейший российский регистратор доменных имен стал жертвой хакеров из DumpForums, которые заполучили самые чувствительные данные — сведения о клиентах и файлы с конфигурациями сервиса.
В январе 2023 года произошло сразу несколько крупных утечек исходного кода — популярного корпоративного мессенджера, сервисов доставки, такси, и прочих услуг большого российского агрегатора, а также нескольких популярных онлайн-игр. Во всех случаях владельцы сервисов заявили, что никакой опасности для клиентов утечки не несут, а сам код не актуален для текущей версии их продуктов.
Из других событий следует отметить масштабную волну ransomware-атак в Великобритании, где около 300 ресторанов быстрого питания сетей KFC, Pizza Hut и Taco Bell закрылись на целый день из-за хакерской атаки. Ransomware атаки в прошлом году пошли на значительный спад, по сравнению с их популярностью в начале 2020-х, но этот эпизод оказался примечателен как возможная весточка перед новым всплеском.
При атаках типа Ransomware (вымогательских) — файлы в системе жертвы шифруются и становятся недоступны. За ключ-расшифровщик хакер требует выкуп, как правило, очень приличный. Важно, что после выплаты выкупа ничего не препятствует хакеру просто исчезнуть, не дав ключа, или вдобавок еще и похитить файлы.
Февраль
Второй зимний месяц также ознаменовался большим количеством утечек данных, в том числе внутренней документации крупнейшего американского форума. Фишинг продолжает оставаться актуальной угрозой и точкой хакерского проникновения в систему, несмотря на то, что подобные атаки многократно описаны и как правило имеют типичный характер.
Ряд крупных западных компаний из самых разных отраслей стали жертвами утечек баз данных своих клиентов. Это показывает, что без профессиональной защиты от хакерских атак сегодня не застрахован никто. Примечательна утечка, которую организовали хакеры из Clop. За 10 дней группировка украла данные более 130 компаний через одну и ту же уязвимость нулевого дня в инструменте безопасной передачи файлов.
DDoS-атаки на российский сектор сети не прекращались всю зиму, но в феврале произошло несколько примечательных эпизодов и на Западе. Главному немецкому авиаперевозчику пришлось отменить из-за DDoS все рейсы, крупнейший университет Швейцарии был недоступен онлайн несколько дней, а сайты ряда медицинских учреждений Европы и США были выведены из строя при помощи новой платформы автоматизации DDoS-атак.
Март
С наступлением весны тренд на утечку данных сохранился. В открытый доступ были выложены базы данных абитуриентов российских вузов, а также пользователей известного ИТ-издательства. Хакеры слили данные более 2 млн кредитных карт с номерами, именами и CVV-кодами.
Большая часть исходного кода популярной соцсети была выложена на платформе GitHub, после чего разработчикам пришлось обратиться к правовой защите DMCA (Digital Millennium Copyright Act) для блокирования доступа. У аэрокосмической компании в США украли 3000 чертежей деталей для космических кораблей. Правда неясно, какой в этом для хакеров практический смысл.
Продолжились также игровые утечки: в сеть попали 30 гигабайт материалов игры «S.T.A.L.K.E.R. 2: Heart of Chornobyl».
Что касается DDoS-атак, то их общее количество в первом квартале 2023 года держалось на том же уровне, что и летом 2022-го — оно осталось высоким, но без значительного прироста. Вместе с тем, наметились некоторые интересные изменения.
Изображение: DDoS-Guard
СМИ и финансовые организации в первые три месяца 2023 года оставались приоритетными целями для злоумышленников, на второе и третье место вышли ресурсы из категории «Искусство и досуг» и «Работа и образование». Также серьезно страдали от атак электронные доски объявлений.
В целом с начала 2023 года хактивисты стали избегать сайты, которые используют профессиональную защиту от DDoS. Они начали тратить свои ресурсы только на цели без защиты, которые гарантированно не выдержат атаку. Выросла мощность атак, при этом в несколько раз сократилась их длительность. Ботнеты начали собирать из более мощных устройств. Пиковая активность DDoS сместилась с выходных на будние дни. Динамика UDP-флуда превысила TCP-атаки.
Второй квартал 2023
Апрель
Число крупных взломов продолжало нарастать, как в Европе, так и в России. В сети появляются все новые и новые базы данных, содержащие миллионы строк, с именами пользователей и их персональными данными. Сопоставление таких баз воедино могло бы привести к весьма вредоносным последствиям и нарушению права на частную жизнь граждан.
Тенденция на возвращение «шифровальной мафии» действительно оказалась актуальной: в апреле стало известно о появлении в сети хакерской группировки Shadow, которая атакует российские компании при помощи программы-шифровальщика Lockbit 3 и требует миллион долларов за расшифровку.
Май
История со сливом второго «Сталкера» продолжилась: хакеры разместили в сети
актуальный билд игры размером 200 Гб. Правда, слитые файлы были зашифрованы.
Тем временем в Индонезии произошел крупнейший взлом, в ходе которого хакеры вывели из строя работу индонезийского банка и похитили 1,5 Тб конфиденциальных данных 15 млн пользователей. В сеть также было слито 133 Гб конфиденциальной информации популярного VPN-сервиса.
В США хакеры атаковали городские службы при помощи шифровальщиков, нарушив нормальную работу коммунальных служб. Предыдущие такие инциденты массово происходили в 2020-м году. Таким образом, можно с уверенностью сказать, что ransomware-атаки могут вернуться как большая проблема.
Июнь
Последний месяц первого полугодия 2023 года стал самым жарким в плане утечек крупных российских ритейлеров. Было украдено и опубликовано более 30 млн строк. Предположительно взломы осуществила группировка NLB.
В России была взломана отечественная образовательная платформа, а в Турции местный аналог «Госуслуг».
DDoS-атаки во втором квартале 2023 года пошли в рост: за 3 месяца их общее количество выросло на 13,5%, а среднее в сутки — на 11,7%.
Изображение: DDoS-Guard
Самое важное, что произошло с DDoS во втором квартале — изменились приоритеты. Теперь чаще всего атакуют вузы, тревел-сервисы и сайты, связанные с товарами и услугами для сада и ремонта. Очевидно, что эта тенденция связана с сезонностью, сейчас спрос на эти ресурсы повышен в силу приемных кампаний, дачного сезона и отпусков. Массированным атакам подверглись сельскохозяйственные цифровые сервисы.
Пик атак во втором квартале пришелся на выходные с небольшим приростом. Средняя продолжительность осталась без изменений.
Главные тенденции
Основные тенденции киберугроз в 2023 году пока что сохраняются те же, что и в 2022-м, и к ним добавилась новая (а точнее хорошо забытая старая) — ransomware-угрозы.
- Утечки данных из-за взломов хакерами
Значительное число хакерских взломов осуществляется через фишинг, уязвимости нулевого дня или неправильную конфигурацию сервера. Последствия таких утечек, особенно для компаний в сфере услуг — утрата доверия со стороны пользователей и соответствующие убытки.
- DDoS-атаки
Крупнейшая киберугроза прошлого года в лице DDoS-атак продолжает таковой оставаться. Во втором полугодии наметился ощутимый рост динамики числа атак. Учитывая, что возрастает и их мощность, а также то, что хакеры не трогают сайты под профессиональной защитой — подключить ее будет разумным решением для бизнеса. Более подробно о динамике DDoS-атак во второй половине 2023 года можно узнать из дайджеста DDoS-Guard.
- Шифровальщики (ransomware)
Большинство ИБ-экспертов (см. например 2023 Thales Data Threat Report) сходятся во мнениях, что после годового перерыва в 2023-м году вымогательское ПО снова вошло в число популярных методов кибератак. Чаще всего ему подвергаются большие корпорации или коммунальные службы, однако по мере роста ransomware-активности увеличиваются и шансы стать жертвой вымогателей у средних и малых компаний. Основной канал доставки такого вируса — фишинг через рабочую почту, в соцсетях или мессенджерах.
Экспертный прогноз на второе полугодие 2023
По оценке Дмитрия Никонова, руководителя направления защиты на уровне L7 DDoS-Guard, анализ динамики киберпреступлений за первые 6 месяцев года позволяет выделить несколько наметившихся трендов киберугроз, которые с высокой вероятностью будут развиваться в дальнейшем:
Увеличение атак на облачные сервисы
С увеличением использования облачных сервисов, киберпреступники будут стремиться взломать их для получения доступа к чувствительным данным или использования их в качестве платформы для проведения атак.
Рост атак на интернет вещей (IoT)
С развитием и распространением «умных устройств», уязвимости в их безопасности становятся все более привлекательными для киберпреступников. Атаки на IoT-устройства могут быть направлены на получение доступа к домашним сетям, использование устройств как элементов ботнета для проведения DDoS-атак или для кражи личной информации.
Расширение угроз от социальной инженерии
Киберпреступники стали чаще использовать методы социальной инженерии, такие как фишинг. Их цель — обмануть пользователей и получить доступ к учетным записям или чувствительным данным. Это может включать отправку поддельных электронных писем, вредоносных ссылок или запросов на предоставление личной информации.
Атаки с использованием искусственного интеллекта (AI)
С развитием искусственного интеллекта у киберпреступников появилась возможность использовать его для проведения атак. Например, AI может быть использован для создания более сложных и непредсказуемых вредоносных программ или для автоматизации процесса взлома уязвимых систем.
Расширение атак на криптовалюты
С увеличением популярности криптовалют, киберпреступники будут стремиться получить доступ к кошелькам и обменникам криптовалют для кражи средств или майнинга без разрешения владельца.
Рост атак на мобильные устройства
Мобильные устройства с каждым годом становятся все более распространенными и содержат большое количество личной информации. Киберпреступники будут стремиться взломать их для получения доступа к этой информации или использования в качестве платформы для проведения атак.
В целом, текущие тренды киберугроз будут продолжать развиваться и становиться все более сложными и изощренными. Владельцу бизнеса важно быть начеку и принимать превентивные меры для защиты своих систем и данных от потенциальных атак.
Коллега Дмитрия Никонова, руководитель направления защиты сети на уровне L3-4 DDoS-Guard Денис Сивцов считает, что во второй половине года продолжится политически-мотивированная динамика атак на финансовые организации, операторов связи, государственные организации, сайты заказов билетов, а также ключевые СМИ и маркетплейсы.
Подтверждение слов экспертов DDoS-Guard можно наблюдать уже сейчас, в июле 2023 года. Например, 5 июля РЖД подтвердила, что ее сайт и мобильное приложение подверглись массированной хакерской атаке.