Вижу цель. Почему угроза хакерского взлома сейчас велика как никогда

В январе—мае 2022 года на российские организации совершено в 3,8 раза больше атак, чем за тот же период 2021 года, подсчитала «Лаборатория Касперского». Большая часть кибератак — массовые, например, DDoS, но около 20% приходится на тщательно спланированные целевые атаки, и доля таких атак только растет.

Как злоумышленники взламывают ваш бизнес, сколько вам это может стоить и что с этим можно сделать прямо сейчас — в партнерском материале The Bell и «Лаборатории Касперского».

Массовая или целевая

За первые 5 месяцев 2022 года на организации из России совершено в 3,8 раза больше атак, чем за тот же период 2021 года, подсчитала «Лаборатория Касперского». Быстрее остальных растет частота атак «отказа в обслуживании» — это тот самый DDoS, когда хакеры пытаются вывести из строя сайт или приложение. Так, в феврале число атак этого типа выросло в 5 раз по сравнению с прошлым годом, а в марте — в 8,5 раз, говорят эксперты «Лаборатории Касперского. Но и другие атаки случаются все чаще: например, число атак шифровальщиков в марте по сравнению с февралем увеличилось на треть и продолжает расти, указывают эксперты «Лаборатории Касперского».

Большая часть всех атак — массовые. От них можно защищаться, установив соответствующие решения — от антивируса до системы защиты от DDoS и соблюдая базовые правила кибергигиены (например, не открывать вложения от незнакомых отправителей).

Целевые атаки сложнее массовых, отмечает эксперт по кибербезопасности «Лаборатории Касперского» Алексей Шульмин. Массовые атаки обычно готовятся быстро, не требуют от злоумышленников серьезной подготовки и инвестиций; при их реализации злоумышленникам не очень важна жертва — вредоносное ПО распространяется максимально широко. Целевые же требуют тщательного планирования и всегда направлены на конкретную жертву: компанию или человека. Успешно проведенные взломы приводят к убыткам в десятки и сотни миллионов долларов, наносят существенный ущерб репутации бизнесов. Например, атаки хакерской группировки Lazarus — специалисты связывают ее с Северной Кореей — в среднем приводят к ущербу в десятки миллионов долларов. А в своей самой известной атаке в 2016 году на Центробанк Бангладеш хакерам группировки едва не удалось вывести $1 млрд.

Целевые взломы — это около 20% всех атак, и их доля растет, говорит Шульмин. Кроме того, увеличивается число атак на критическую инфраструктуру, которые могут нести серьезные угрозы экономике. Так, прошлогодний взлом американской Colonial Pipeline, которая управляет крупнейшим трубопроводом в США, на несколько дней оставил несколько регионов США без топлива. По данным «Лаборатории Касперского», в прошлом году главными целями сложных и хорошо спланированных атак становились финансовые организации, телеком-бизнес и IT-компании. Но под угрозой может оказаться совершенно любая компания.

Банки, маркетплейсы, поставщики

Банки особенно часто становятся целями для хакеров. Так, группа Carbanak провела целую серию атак на банки, один из них после нападения на свою платформу онлайн-банкинга потерял $7,3 млн, другой — около $10 млн. Всего к пику своей активности хакеры группировки украли больше $1 млрд у сотен разных банков.

Парадоксально, но никаких особо сложных манипуляций хакеры из этой группировки не делали: ​​основной метод, который использовали Carbanak для первоначального проникновения в сеть жертвы, — фишинговые письма. Киберпреступники рассылали сотрудникам банков файлы с вредоносными ссылками или вложениями под видом обычных писем, сотрудники их открывали, заражая рабочие компьютеры вредоносным ПО Carbanak. Затем хакеры, собрав данные, имитировали действия сотрудников для перевода денег на свои счета.

Хакеры взламывают не только банки. Частой мишенью целенаправленных атак становятся, например, ритейлеры и маркетплейсы, говорит Шульмин.

Британский магазин канцтоваров и книг The Works в апреле 2022 года вынужден был закрыть более 500 магазинов по всей стране после атаки вируса-шифровальщика, который нарушил работу касс и доставку товара в магазины. Кибератака, сообщала компания, привела к временной приостановке поставок новых товаров в его магазины и увеличению сроков доставки онлайн-заказов, но данные ее клиентов не пострадали.

Особую опасность представляют собой атаки на объекты критической инфраструктуры: промышленность, транспорт, связь. Считается, что на этом поле действуют несколько крупных хакерских группировок, например, тот же Lazarus, а еще — группировка APT31, которую некоторые специалисты связывают с китайскими спецслужбами. Последняя в том числе тоже рассылает фишинговые письма, которые имитируют домены разных госорганов и заражают корпоративные устройства вирусами, дающими удаленный доступ к устройствам.

Защита критической инфраструктуры имеет свою специфику — нужны специализированные решения. Без них у таких объектов могут возникнуть проблемы с безопасностью. Например, в начале 2021 года во Флориде хакеры взломали очистные сооружения и пытались отравить воду для 15 тысяч местных жителей. Страдают от хакеров и компании пищевой промышленности: мясоперерабатывающая JBS в прошлом году заплатила хакерам $11 млн, чтобы восстановить доступ к своим системам, которые подверглись атаке шифровальщика.

Еще одна популярная цель для атак — цепочки поставок, когда атакуется, например, поставщик софта или других решений для того, чтобы добраться до его контрагентов. Это очень опасные атаки, говорит Шульмин, потому что их очень сложно заметить: обычно поставщики друг другу доверяют. Именно по такому принципу была устроена атака на программное обеспечение, предназначенное для очистки реестра и оптимизации конфигурации компьютера CCleaner. Сама атака на слуху, говорит Шульмин, но в этой истории есть малоизвестный факт: вторая стадия взлома происходила, только если жертва принадлежала к одной из заранее заданных организаций, среди которых были крупнейшие глобальные разработчики электроники. То есть хакеры заразили поставщика софта, через него поразили широкий круг жертв, но целились в конкретные компании.

Другой громкий пример — атака на SolarWinds, когда через уязвимость производимого компанией софта оказались заражены 18 тысяч ее клиентов, в том числе техногиганты вроде Microsoft. На примере этой атаки особенно хорошо видно, как долго и тщательно готовятся целевые взломы. Первый доступ к инфраструктуре SolarWinds хакеры получили осенью 2019 года, затем несколько месяцев они бездействовали, но готовили софт для взлома, который начали внедрять в феврале 2020 года. К июню — полностью удалили свои следы. А информация о том, что была атака, стала известна только в декабре.

Впрочем, есть случаи, когда действия злоумышленников удается нейтрализовать. Так, в 2019 году «Одинцовский водоканал» подвергся атаке программы-шифровальщика. Она зашифровала все данные как на самом зараженном устройстве, так и в сетевых папках. В результате под угрозой оказалась сохранность технической документации и данных абонентов организации, а также процедура выставления счетов.

Целью злоумышленников было получение выкупа, однако «Одинцовский водоканал» отказался его платить и обратился за помощью в «Лабораторию Касперского». Проанализировав образцы зашифрованных данных и самой вредоносной программы, эксперты «Лаборатории Касперского» нашли способ полностью восстановить информацию и в течение нескольких часов отправили пострадавшей компании ПО для дешифровки.

Особо опасны

Объем хакерских атак в мире постоянно растет, урон от них становится все более разрушительным. В прошлом году только за первые шесть месяцев и только в США компании заплатили хакерам-вымогателям почти $600 млн. Ущерб компаний при успешной атаке исчисляется миллионами долларов. Часть этих денег компании платят вымогателям за то, чтобы восстановить работу систем и доступ к зашифрованным данным (о том, как устроен бизнес группировок, которые занимаются шифрованием, и почему у бизнеса часто не остается выбора, кроме как заплатить, мы рассказывали здесь. — The Bell). Другая часть — это косвенные затраты, потери от простоя. Например, после того как иранские хакеры распространили вредоносное ПО Shamoon, нефтяной гигант из Саудовской Аравии Saudi Aramco, оказавшийся среди жертв, некоторое время не мог нормально функционировать.

Нельзя недооценивать и ущерб репутации, который несет пострадавший бизнес. Проблема в том, что если раньше хакеры после успешной атаки просто шифровали данные, то теперь они крадут важные данные — которые могут быть чувствительными или представлять коммерческую ценность. Если жертва отказывается платить, их публикуют в даркнете. Для бизнеса это очень большая проблема. В том числе и потому, что если компания подпадает под действия законов о защите персональных данных, например, европейского GDPR, то утечка персональных данных грозит бизнесу штрафом до $20 млн или 4% от оборота, предупреждает эксперт. В России за утечку данных предусмотрена административная ответственность.

Сейчас российский бизнес оказался уязвимее для хакерских атак. Проблема в том, что софт, который многие российские компании раньше использовали для защиты от хакеров, теперь в стране не работает. Так, за последние два с половиной месяца из-за геополитической обстановки из страны ушла существенная часть глобальных игроков рынка кибербезопасности.

В некоторых сегментах их решения занимали больше 50% российского рынка: например, большая часть рынка файерволов была поделена между израильской Check Point и американской Cisco, последняя из России ушла. В области защиты веб-трафика активнее всего были японская TrendMicro и американская Fortinet, последняя ушла. Заметную часть рынка решений для защиты почты делили Cisco, Fortinet и Barracuda, все три ушли. Одни компании ушли по мягкому сценарию, объявив, что не будут продлевать лицензии после их окончания, другие — резко отозвав лицензии и превратив свои устройства, по сути, в кирпичи.

В России традиционно сильный бизнес кибербезопасности и продукты, которыми можно заменить ушедших игроков, в стране есть. Для защиты от целевых атак подойдут два решения — Kaspersky Anti-Targeted Attack, усиленное возможностями Kaspersky EDR Expert, и Kaspersky Symphony XDR, говорит Шульмин.

Kaspersky Anti Targeted Attack совместно с Kaspersky EDR Expert — это решение класса XDR, которое защищает все активы компании от сложных угроз и целевых атак. Это так называемый нативный XDR, то есть построенный на продуктах одного вендора. Решение позволяет анализировать сетевой трафик и телеметрию с рабочих мест, эмулировать угрозы с помощью передовой песочницы и использует целый набор современных детектирующих технологий для своевременного обнаружения действий злоумышленников. Все это — в сочетании с доступом в глобальную базу знаний об угрозах «Лаборатории Касперского» и сопоставлением обнаружений с базой знаний MITRE ATT&CK — упрощает расследование инцидентов и реагирование на них.

Kaspersky Symphony — это целая линейка продуктов, у которой есть несколько уровней для компаний разного масштаба. Максимальный набор компонентов защиты — Kaspersky Symphony XDR. Это уже другой вид XDR – гибридный, он предполагает взаимодействие с продуктами других поставщиков. Впрочем, в продукт уже входит набор из 11 продуктов и сервисов «Лаборатории Касперского», что позволяет построить полноценную оборону любой компании и закрыть все потребности по защите, в том числе от целевых атак. В состав Kaspersky Symphony XDR входят средства защиты конечных устройств, сетевого и почтового трафика, интернет-шлюзов, система мониторинга событий, помощь в повышении информационной грамотности среди персонала. А еще здесь доступна полная информация об актуальных угрозах и активности кибергруппировок, которая нужна, чтобы защищаться от конкретных целевых атак.

Фото, использованные в материале: Unsplash, Pexels

редактор Дарья Громова