Самые массовые кибератаки в историиШифровальщики не теряют популярностиМожно ли за несколько часов парализовать работу тысяч организаций: от европейских аэропортов до производства шоколада в Австралии и системы мониторинга за ситуацией в Чернобыле? Да, именно этим прославились шифровальщики, которые уже 8 лет подряд возглавляют все рейтинги самых массовых кибератак ‒ WannaCry и NotPetya. Первый проникал во все компьютеры на системе Windows без разбора, заразив за 4 дня более 200 000 устройств в 150 странах. NotPetya был направлен преимущественно на бизнес и принес ущерб на небывалые $10 млрд.В обоих случаях принцип был одним и тем же ‒ вредоносные программы шифровали все данные компьютеров и предлагали пользователям перевести определенную сумму в биткоинах для расшифровки. При этом никакого механизма восстановления данных не подразумевалось, они безвозвратно исчезали.Актуальна ли проблема шифровальщиков для Беларуси? Центр кибербезопасности компании hoster.by, которая оказывает услуги ⅔ интернет-проектов в стране, в месяц фиксирует более 200 подобных атак. Около 90% из них отражаются средствами защиты провайдера. Остальные обнаруживаются через анализ событий непосредственно на рабочих устройствах и серверах клиентов. Этот тип киберпреступлений ‒ один из самых популярных в стране и мире.Как работают шифровальщики?Проникновение. Чаще всего они попадают в систему через спам-рассылки и фишинг: пользователь переходит по опасной ссылке, вредоносный код запускается и инфицирует систему. Вирус также может попасть через зараженные внешние носители (флешки, винчестеры и т.д.) и уязвимости в программном обеспечении. Распространение и обнаружение целей. Шифровальщик начинает распространяться по сети и параллельно обнаруживает ценные файлы для шифрования. Он может сканировать локальные диски, сетевые папки и подключенные устройства.Шифрование. Когда вирус обнаруживает целевые файлы, он применяет алгоритмы шифрования для изменения их структуры таким образом, что они становятся недоступными для пользователя без ключа расшифровки. Требования. После зашифровки вирус отображает сообщение с требованием выкупа. Какие-то программы отличаются «благородством» и высылают ключи для расшифровки после получения выкупа, но никаких гарантий тут не существует. При обнаружении вируса важно быстро изолировать зараженный сегмент. Затем проводится расследование: выявляется источник и способ заражения, собирается информация для восстановления файлов и работоспособности системы, принимаются меры по предотвращению подобных инцидентов.Как себя обезопасить?«Необходимый минимум ‒ это, разумеется, антивирус. Но он помогает не всегда: вирусы постоянно видоизменяются и умеют маскироваться, ‒ комментирует Антон Тростянко. ‒ Каждый месяц мы фиксируем 10‒12 вредоносных файлов, которые обходят антивирусы. Для их обнаружения необходим комплексный анализ – мониторинг серверов и запущенных процессов, фильтрация трафика и ряд других мер. В нашем центре кибербезопасности есть вирусные аналитики, работа которых ‒ обнаруживать вредоносную активность в исполняемых файлах».Самые актуальные типы атакФишинг выходит на новый уровень, используя утечки данныхМы живем в эпоху фишинга, что подтверждается данными центра кибербезопасности (SOC) hoster.by, где этот вид интернет-мошенничества фиксируют чаще других киберинцидентов.Цель фишинг-атаки ‒ выманить у пользователя ценные данные вроде номера банковской карты или пароля от личного кабинета. Часто это делается через спам-рассылки и подставные сайты, копирующие дизайн банка, интернет-магазина, платежной системы и т.д.Фишинг мог бы быть меньшей проблемой, если бы не стал активно играть в одной команде с утечками персональных данных. Так, в июне 2023 года в течение 48 часов в открытом доступе оказались клиентские базы российских гипермаркетов «Ашан», «Твой Дом», Leroy Merlin, Gloria Jeans, «Буквоед», «ТВОЕ» и еще 6 крупных компаний ‒ около 20 миллионов строк персональных данных. Утечки делают атаки на компании до 10 раз опаснее, а количество переходов по ссылкам из персонализированных писем увеличивается на порядок. По данным SOC hoster.by, более 90% кибератак начинается с рассылки фишинговых писем.Но даже слив клиентских баз десятков компаний выглядит мелкой неприятностью на фоне самой крупной утечки в истории. Ее обнаружили в начале этого года, и, похоже, она затронула пользователей почти всех крупных соцсетей, мессенджеров и тысяч сайтов из десятков стран. База содержит невообразимые 26 млрд записей и весит 12 терабайт.Утечки данных в Беларуси: рост на 50% в годЗа минувший год в нашей стране также прокатилась череда утечек, в том числе у крупных интернет-магазинов, онлайн-сервисов, салонов цифровой техники. Самая крупная база включала данные более 730 000 пользователей.По данным центра кибербезопасности hoster.by, рост объема слитых данных в Беларуси увеличился почти на 50% за 2023 год. Частично это можно связать с ростом популярности онлайн-услуг, приходом в Беларусь новых крупных игроков и, соответственно, появлением больших хранилищ персональных данных.«Более 80% утечек произошло в результате кибератак, а каждая вторая напрямую была связана с халатным отношением к технической и криптографической защите информации: ошибки в конфигурации оборудования, слабая политика в отношении паролей и т.д., ‒ комментирует Антон Тростянко. ‒ Небольшие компании наиболее уязвимы, так как у них меньше ресурсов для обеспечения информационной безопасности».По словам эксперта, SOC hoster.by непрерывно занимается киберразведкой и отслеживает данные об утечках. Причем не только в отношении своих клиентов, но и других компаний, чтобы снизить риск проведения последующих атак. Каждая масштабная утечка персональных данных значит, что в скором времени со скомпрометированных ящиков с большой долей вероятности пойдет волна фишинговых сообщений. Поэтому центр кибербезопасности предпринимает меры по снижению таких рисков.Как себя обезопасить?Компаниям важно понимать, что простых и универсальных решений не существует. Недостаточно просто закупить средства технической и криптографической защиты ‒ необходимы постоянный мониторинг инфраструктуры, обработка инцидентов и совершенствование системы защиты. В ряде случаев эту функцию имеет смысл отдать на аутсорс в SOC, когда риски от потенциальных утечек по-настоящему велики.Самые неожиданные атакиКомпрометация цепочек поставкиНедавно Агентство Европейского Союза по кибербезопасности (ENISA) опубликовало список крупнейших угроз кибербезопасности, которые повлияют на цифровой ландшафт к 2030 году. Одной из ключевых проблем станет так называемая компрометация цепочек поставки.Другими словами, чтобы получить доступ к данным клиентов банка, злоумышленникам будет проще взломать не сам банк, а разработчиков их программного обеспечения. А затем внести необходимые изменения в код: например, в систему дистанционного банковского обслуживания. После штатного обновления ПО это позволит осуществлять переводы от имени пользователя, которые для любых систем защиты будут выглядеть совершенно обычными. Опасность таких атак в том, что порой они остаются незамеченными на протяжении долгого времени.В 2020 году «модифицированное» хакерами ПО Orion от SolarWinds открыло доступ к сотням федеральных учреждений США, а также более чем к 80% компаний из списка Fortune500. Злоумышленникам продолжительное время удавалось оставаться незамеченными и заниматься кражей информации. В Microsoft атаку назвали «крупнейшей и самой сложной» в организационно-технологическом отношении. По оценкам экспертов, она потребовала вовлечения более чем тысячи хакеров.В Беларуси тоже происходят атаки этого типа. Например, в систему управления контентом для сайтов белорусской разработки был внедрен код, позволяющий удаленно вносить изменения на сайт клиентов.«Я хотел бы подчеркнуть, что каким бы ни был онлайн-проект, важно перенести вопрос информационной безопасности в топ приоритетов. К сожалению, многие делают это только после совершения атаки, когда урон уже нанесен, ‒ считает Антон Тростянко. ‒ Важно понять, что недостаточно установки антивирусов и сетевых экранов. Информационная безопасность ‒ это непрерывный процесс, каждый аспект которого должен находиться под полным контролем специалистов вашей компании или центра кибербезопасности, которому вы доверили защиту своего онлайн-проекта».«Индекс киберпреступности», составленный Оксфордским университетом и UNSW, можно изучить по ссылке.
Заразили за 4 дня более 200 000 устройств в 150 странах NotPetya и другие громкие киберугрозы современности
6 минут
25 апреля