изображение: recraft
В России наблюдается тревожная тенденция — всё больше атак на бизнес заканчиваются утечкой конфиденциальной информации. По данным, полученным из отчётов компаний, специализирующихся на защите цифровых систем, уже 56% инцидентов приводят к краже данных, тогда как годом ранее этот показатель составлял 44%. Увеличилось и число случаев, когда атаки дестабилизируют работу организаций — о сбоях заявлено в 40% случаев против 37% в предыдущем периоде.
Компания Positive Technologies сообщила, что хакеры всё чаще интересуются не столько нарушением операционной деятельности, сколько ценными массивами информации. Перемена фокуса произошла во второй половине 2024 года и продолжается в 2025-м. Если ранее основным мотивом киберпреступников был шантаж или демонстративная остановка сервисов, то теперь в приоритете — кража того, что можно монетизировать на теневом рынке.
Служебные документы, содержащие сведения с пометкой коммерческой тайны, становятся основной целью — на них приходится около 30% атак. Ещё 24% инцидентов связаны с хищением учётных записей и доступов к внутренним системам. Персональные данные клиентов, сотрудников и партнёров попадают в руки злоумышленников в 17% случаев.
Скомпрометированная информация почти сразу уходит в оборот. Ею обмениваются на хакерских форумах, даром раздают на теневых ресурсах или продают. Более половины публикаций с утечками касаются именно бесплатной выкладки украденных баз — цель таких действий не в прибыли, а в нанесении репутационного или финансового удара по конкретной компании. В случаях вымогательства часть архива может быть опубликована в открытом доступе как способ давления.
Специалисты компании уточнили, что 27% теневых объявлений касаются коммерческой продажи данных, причём в 81% таких случаев цена не превышает $1 тыс. Чаще всего в этих архивах содержится не более 100 тыс. строк, что указывает на выборочный, но массовый характер атак.
Встречаются и крупные прорывы. Каждое десятое предложение на подпольных интернет-площадках содержит массивы объёмом свыше 5 млн записей. Около 6% публикаций предлагают архивы, превышающие 100 ГБ.
Алексей Лисовицкий, директор по маркетингу, Filestone, прокомментировал для CISOCLUB: «Зачастую угрозу создаёт сам факт хранения чувствительных данных. Компании думают о внедрении инноваций, передовых продуктов с ИИ и другими модными вещами, хотя на базовом уровне можно сократить количество уязвимых точек, разобравшись с бесконтрольным хранением. Не надо хранить за контуром то, что передаёшь однократно.
Реальность такова, что коммерческую информацию подчас можно добыть социальной инженерией или в открытом, даже индексируемом доступе. Её складывают, нарушая политики безопасности (если таковые есть), ошибаются в шеринге и правах. Хуже всего, что в результате может возникать незаметный, отложенный ущерб. Например, конкурент в поисках данных о разработках, продуктах и маркетинге своего соперника может наткнуться на них в Яндексе или Google, оттолкнулся, построил успешную стратегию.
Согласитесь, звучит не так технологично, как длительный мультимодальный взлом ЦОД и продажа миллионов строк БД в даркнете. Скинуть такое на прогрессивных хакеров, потратив миллиард на очередной контур защиты, не получится. А многим хотелось бы.
Мысль в том, что пока бизнес строит активную защиту, что абсолютно правильно, данные, как вода, текут другими путями. Поэтому в организации защиты важно стратегическое видение, которое учитывает все каналы коммуникации и хранения, помогает сократить их количество и повысить защиту того, без чего обойтись нельзя».
Вадим Яценко, генеральный директор «Тантор Лабс»: «Системы обеспечения информационной безопасности сегодня достигли уровня, когда для проведения успешной атаки и завладения чувствительными данными злоумышленникам необходимо обладать высокими компетенциями и значительными ресурсами. Анализ инцидентов с утечками персональных данных показывает, что большая их часть – не следствие деятельности внешних групп, а результат халатности или умысла сотрудников.
И эту тенденцию не удастся переломить лишь административными методами, необходимо так выстраивать инфраструктуру хранения персональных данных, чтобы доступ к ним имели лишь те, кто непосредственно обеспечивает их обработку. Мы фиксируем растущий запрос на внедрение не просто инструментов контроля доступа к базам данных, а инструментов сокрытия хранимой информации, когда даже администратор баз данных управляет БД, не видя ее содержимого».
Артем Грибков, директор Центра киберустойчивости Angara MTDR: «Согласно исследованиям Angara MTDR, за последние полтора года мы наблюдаем изменение мотивации атакующих. Если раньше на протяжении долгого времени за группировками наблюдались преимущественно мотивы, связанные со шпионажем, то теперь арсенал обогащается инструментами для шифрования целевой инфраструктуры. Большинство политически мотивированных группировок не только демонстрируют свои взгляды, но и используют разного рода шантаж и вымогательства. При этом реализованные ими цепочки атак могут кардинально отличаться от заявленных публично.
Мы также наблюдаем смену вектора атак, они становятся более целенаправленными, а похищенные сведения используются для дальнейших нападений. Согласно нашей статистике, почти в половине кейсов, расследованием которых занимались эксперты Angara MTDR, действия хакеров носили деструктивный характер, чаще всего с использованием программ-вымогателей».
Андрей Мишуков, генеральный директор iTPROTECT: «С моей точки зрения, можно выделить три ключевых фактора, которые помогают киберпреступникам чаще добиваться своих целей.
Первое, оптимизация самой цепочки атак. Как и сказали эксперты Positive Technologies, на теневом рынке поменялся фокус. Злоумышленники поняли, что красть и продавать данные им выгоднее, чем вымогать выкуп у компаний. Поэтому они сосредоточились на такой механике, отсюда и результаты, которые мы обсуждаем.
Второй фактор связан с первым: если хакеры понимают, что смогут продать данные, значит кто-то захочет их купить. Этот «кто-то» — фактический бенефициар от таких взломов. Специалисты по киберразведке смогут точнее прокомментировать, кто может покупать информацию российских компаний на чёрном рынке. Очевидно, среди таких покупателей есть и крупные направленные группировки, и геополитические акторы.
Наконец, третий важный фактор — ИИ. Он автоматизирует, ускоряет и усиливает цепочку атаки. Теперь злоумышленникам не надо на практике знакомиться с техниками и инструментами. ИИ-системы берут на себя большую часть работы, так что теперь организовать кибератаку может практически любой человек с минимальными техническими навыками. А с ростом количества атак увеличивается и объём похищенных данных».
Алина Ледяева, эксперт компании StopPhish: «Рост кибератак с утечкой данных показывает: хакеры перестали действовать вслепую и начали целенаправленно «охотиться» за информацией. Их цель — не просто нарушить бизнес-процессы, а украсть то, что можно выгодно продать.
В таких условиях защита должна работать на всех уровнях: включать многофакторную аутентификацию, регулярные обновления паролей и систем, а также строгий контроль доступа к данным.
Почти четверть атак связана с кражей логинов и паролей. Один клик по «письму от IT-службы» — и хакеры уже внутри системы бизнеса. Вот почему обучение — не формальность, а реальный инструмент защиты. Когда люди умеют распознавать фишинг и уловки злоумышленников, риск утечки снижается в разы.
Только сочетание технологий и осведомленности сотрудников обеспечивает реальную защиту от киберугроз».
Фёдор Музалевский, директор технического департамента RTM Group: «Мы видим, что сейчас злоумышленники все чаще продают на сторону добытые уязвимости крупных организаций. Используя их, заинтересованные структуры наносят удар, и жертвы получают серьезный ущерб, включая полное удаление чувствительных данных. А в целом хотим отметить, что не всегда шантаж говорит об утечке. В ряде случаев (порядка 20%) злоумышленники просто блефуют, оперируя общедоступными данными, или данными из старых утечек. В любом случае, шантажируемые не спешат платить выкуп — ведь надеяться на добросовестность злоумышленников странно по определению».
Оригинал публикации на сайте CISOCLUB: "Почти каждая вторая кибератака в России завершатся утечкой данных и шантажом с вымогательством".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
