Итоги-2022 в сфере ИБ – версия «Информзащиты»
Эксперты компании «Информазащита» подвели итоги года в киберпространстве, на котором, как отмечают в компании, значительно отразились политические события в 2022 г. Во-первых, отечественные компании подверглись массовым кибератакам. Как следствие, организации, которые ранее не задумывались об обеспечении полноценной информационной безопасности, стали обращаться к услугам центров мониторинга (Security Operations Center), спрос на которые значительно вырос.
В 2023 г. специалисты по ИБ также ожидают существенный рост количества кибератак, а также их значительное усложнение. В результате будет наблюдаться усиление требований регуляторов (Банк России, Роскомнадзор, ФСТЭК РФ, ФСБ РФ) к обеспечению кибербезопасности. Во-вторых, вследствие западных санкций российский рынок покинули зарубежные вендоры, поэтому отечественным производителям и интеграторам пришлось срочно решать вопрос с импортозамещением. Сложность этой задачи заключается в отсутствии сформировавшейся российской ИТ-инфраструктуры, и на решение этого вопроса могут уйти годы.
С конца февраля наблюдался всплеск DDoS-атак на российские организации – их число, мощность и продолжительность увеличились до 10 раз. Злоумышленников в первую очередь интересовали банки, государственные учреждения, ритейл и СМИ. Так, количество DDoS-атак на финансовый сектор выросло более чем в 20 раз по сравнению с началом 2022 г. Пик атак пришелся на март, когда количество инцидентов выросло в несколько раз по сравнению с началом года и в несколько десятков раз по сравнению с аналогичным периодом 2021-го. Средняя продолжительность атак в I квартале 2022 г. превышала сутки, тогда как в тот же период 2021 г. она составляла около 15 мин.
Поменялся характер атак: в киберкампании помимо профессиональных хакеров участвовали хактивисты – пользователи, которые не умеют проводить сложные атаки. Они запускали специальные команды на своих компьютерах, атаковали организации с помощью ботнетов, с арендованных VPS, распространяли приложения, атакующие ресурсы из заданного списка от имени пользователя. Активность хактивистов обычно сопровождается поиском инсайдеров, с помощью которых можно проникнуть в инфраструктуру компании. Всплеск инсайдерских предложений в даркнете и в публичном поле (в том числе в телеграм-каналах) наблюдался весной.
Количество целевых атак (таргетированных) в I квартале 2022-го увеличилось примерно на 15–20% по сравнению с последним кварталом 2021 г. Их проводят профессиональные хакеры, использующие инструменты, которые разрабатывались для аудита безопасности, – metasploit, cobalt strike и другие. Иногда для атак применяли средства антивирусной защиты. Опыт «Информзащиты» показывает, что ключевыми векторами проникновения по-прежнему остаются социальная инженерия и взлом внешнего периметра организаций.
В I квартале 2022 г. аналитики компании предупреждали о росте мошенничеств с программами лояльности. По данным экспертов, из-за злонамеренных действий с бонусными картами российские ритейлеры каждый месяц теряют по несколько миллионов рублей.
Весной среди хакеров стала популярна фишинговая атака «браузер в браузере» (browser-in-the-browser, BitB). При такой кибератаке создается полностью поддельное окно браузера, включая значки доверия. Исследователи в области ИБ выражали опасения, что атака browser-in-the-browser будет активно применяться в сфере рекламы.
Продолжился рост числа мошенничеств с QR-кодами. Наиболее часто преступники распространяли фейковые QR-коды через приложения в Google Play; рекламные листовки; меню заведения, в котором практикуется расчет с QR-кодом; банковские страницы с оплатой; поддельные парковочные талоны; изображения с QR-кодами; фейковые сайты портала «Госуслуг»; адресную книгу. Эксперты «Информзащиты» рекомендуют компаниям использовать ПО мобильной безопасности, которое включает в себя сканер QR-кодов.
Также, по данным «Информзащиты» за 2022 г., более 30% от общего числа киберинцидентов пришлось на атаки через веб-приложения. Хакеры используют уязвимости в коде приложения, чтобы получить доступ к базам, которые содержат конфиденциальные данные.
Наконец, эксперты «Информзащиты» сообщали о распространении новых тактик тройного вымогательства. Киберпреступники добиваются так называемого хет-трика со службами вымогателей, сочетая их с кражей данных и DDoS-атаками. Такая схема повышает вероятность выплаты выкупа. Во-первых, злоумышленник подтверждает, что он представляет серьезную угрозу для компании. А, во-вторых, постоянное давление на организацию – еще один фактор стресса для службы безопасности, которая уже вложила много ресурсов в первые два инцидента, связанные с действиями шифровальщиков и кражей данных. Наряду со всем этим группировки хакеров с каждым годом становятся более организованными, многие работают на совершенно новом уровне профессионализма и дисциплины.