13 июня 2024

Пароль «Рыба-меч»: как кибератаки перебрались из блокбастеров в нашу жизнь

Алексей Леднев Автор

По оценке Positive Technologies, количество кибератак на российские организации в I квартале этого года выросло в шесть раз по сравнению с аналогичным периодом 2023-го. Эксперты полагают, что эта цифра еще будет расти. Насколько? Как будет меняться профиль и вектор атак? Как вышло, что мы сегодня не можем прожить и дня без сообщений о крупном киберинциденте? Разбирается Алексей Леднев, руководитель отдела обнаружения атак экспертного центра безопасности Positive Technologies

Жизнь в вихре кибератак

Практически каждый день мы слышим из новостей о том, как хакеры в очередной раз нарушили работу известной компании или выложили в открытый доступ данные пользователей, которые получили в результате взлома. Сложно найти человека, который за последние годы не ощутил бы на себе последствия этих атак. Так, в один неудачный день ты не сможешь воспользоваться сервисом или услугой, к которым так привык, например получить свой заказ от транспортной компании, а в другой — не получится расплатиться картой в продуктовом магазине. Как сообщают СМИ, именно из-за кибератак недавно произошли проблемы в работе логистической компании СДЭК и крупного ретейлера «Верный».

Другой пример — телефонное мошенничество, которое волной накрыло страну. Из-за постоянных утечек данных пользователей мошенники знают о тебе все: где ты работаешь, на какой адрес заказываешь еду, какими банками пользуешься, даже что у тебя со здоровьем. Всю эту информацию хакеры кропотливо собрали о нас, простых гражданах, из украденных данных у компаний. Сейчас их используют в телефонном мошенничестве, но что они смогут сделать еще?

Материал по теме

С ростом количества кибергруппировок, цель которых — навредить российским организациям, в зоне риска оказались все. Если раньше владелец малого бизнеса с простым лендингом по продаже спортивного питания мог не думать о кибербезопасности, то теперь его могут «задефейсить» (подменить контент на сайте). А компанию всего на 15 сотрудников — «зашифровать». Если говорить про крупный бизнес, то тут множество рисков: остановка производства, вывод со счетов крупной суммы денег, утечка персональных данных клиентов и многое другое.

Компьютерные атаки стали частью нашей жизнью, хотя раньше обычный обыватель видел хакеров только в голливудских фильмах вроде «Пароль «Рыба-меч» и «Хакеры». Как же это произошло?

Эволюция злого умысла

Вернемся на несколько лет назад. Российские организации всегда подвергались кибератакам, но их было гораздо меньше, а главное — цели были другими. Злоумышленники стремились заполучить доступ внутрь компаний и как можно дольше оставаться незамеченными. Атаки были сложными, и выполняли их подготовленные специалисты. Если говорить опять же на языке голливудских фильмов, представьте себе этакого Итана Ханта или Джеймса Бонда.

Злоумышленников можно было поделить на две категории. Первые преследовали собственную выгоду и старались украсть деньги у компаний. Делать это могли разными способами — от взлома банкоматов, чтобы они сами выдавали все деньги в нужный момент, до подмены реквизитов счетов, по которым компания проводила платежи. Злоумышленникам приходилось долгое время находиться внутри, чтобы изучить бизнес-процессы и понять, как в них внедриться. Согласитесь, не так просто с ходу понять, как устроена работа банкомата с технической стороны. Яркий пример здесь — группировка Cobalt. По сообщениям СМИ, которые ссылаются на Европол, к 2018 году хакеры украли около €1 млрд у 100 банков России, Великобритании, Испании, Румынии и других стран.

Другая категория злоумышленников занималась шпионажем. В их интересах был взлом преимущественно государственных организаций для получения информации, ценной и полезной для других государств. Чаще всего о таких атаках знали единицы, но в некоторых случаях последствия были столь деструктивными, что просачивались в СМИ. Так, в 2010 году был обнаружен первый в истории вирус Stuxnet, который преследовал цель вывести из строя оборудование для обогащения урана в Иране. Червь, специально разработанный для этой диверсии, отбросил развитие ядерной программы Ирана на несколько лет назад.

Материал по теме

Наравне с такими кибератаками начал развиваться совершенно другой тип атак — шифровальщиков. Наибольший их бум пришелся на 2017 год, когда весь мир подвергся сначала атаке WannaCry, а позже и другим. От массированной атаки пострадали организации из всех секторов экономики по всему миру. Целью киберпреступников было вымогательство денег. Им больше не нужно было придумывать сложные схемы по краже денег со счетов организаций. Достаточно проникнуть внутрь, распространиться, зашифровать и оставить сообщение с требованием выкупа. Злоумышленники дорожили своей репутацией, а иначе, в случае получения выкупа и непредоставления данных для расшифровки, другие организации отказались бы платить. Российские компании такие атаки затронули меньше, чем зарубежные. Есть несколько мнений на этот счет. Я считаю, это связано с менталитетом (нежелание помогать обогащению злоумышленников) и иным подходом к страхованию. За рубежом преимущественно платят страховые компании, в которых застрахованы организации.

Как эволюционировали атаки и что происходит сейчас? На смену или, скорее, вдобавок к группировкам, занимающимся шпионажем и вымогательством, пришли хактивисты с различным уровнем подготовки. Раньше злоумышленники предпочитали скрытно воровать данные или заниматься шантажом. Сейчас почти все атаки преследуют цель кражи данных для последующего их раскрытия, а также нанесения прямого и репутационного ущерба компаниям и их клиентам. Эти группы также используют уже знакомые шифровальщики, но делают это для нарушения работы компаний и сокрытия своих следов. Если же организация совершает ошибку и все же выплачивает выкуп — для злоумышленников это, скорее, приятный бонус. Группы хакеров все равно что соревнуются в своих достижениях, буквально понтуются, и часто это им не идет на пользу.

Хвастовство гусара

В моей практике были случаи, когда злоумышленники начинали хвастаться получением доступа в инфраструктуру организации сразу же после проникновения. Еще в то время, когда у них не было на руках хоть сколько-то значимых данных или доступов. Как результат — компании реагировали и купировали атаку.

Схожий пример — злоумышленники успешно украли данные и уничтожили инфраструктуру, включая резервные копии. Однако после атаки сами же поделились в социальных сетях содеянным, а спустя время для большего драматизма и вовсе опубликовали украденные данные, включая резервные копии, которые помогли в восстановлении. Пока что «скромность — сестра таланта» — кодекс жизни далеко не каждого хакера. И специалисты по информбезопасности этим пользуются. Но есть подозрения, что так будет не всегда.

Что дальше

Хакеры-спецагенты, работающие в режиме строгой секретности, злоумышленники-понторезы, а что нас ждет впереди? Количество кибератак, которое обрушивается на нас, заметно растет. Причем злоумышленники готовы идти дальше. Вместо того чтобы отправить, например, десятки такси на Кутузовский проспект и устроить пробку на несколько часов или же дать сигнала ложной тревоги по радио, чем вызвать панику у населения, хакеры явно переходят на следующий этап — к реализации недопустимых событий. При этом инциденты вроде атаки на Rutube, а также свежие кейсы со СДЭКом и «Верным», подноготная которых все еще неизвестна, — все это словно триальная версия того, что на самом деле могут реализовать хакеры. Могут ли злоумышленники устроить полный блэкаут мегаполиса, выключить интернет или взломать банк? Да, в 2019 году во мрак погрузилась практически вся Венесуэла. Перебои в работе провайдеров — уже обыденность. И даже операторы платежных систем подвергаются кибератакам.

Конечно, я не говорю, что завтра мы проснемся в мире, где все эти инциденты случатся разом. Но предупрежден — значит, вооружен.

Материал по теме

Как защититься от натиска

Главное — пройти все стадии отрицания до точки. Взломать можно всех, любую компанию — это подтверждают результаты наших проектов по анализу защищенности. Ваша задача — максимально усложнить хакеру реализацию этой атаки. Если вы обычный пользователь, используйте сложные пароли, разные для всех сервисов (буквы разного регистра, цифры, символы), двухфакторную аутентификацию и соблюдайте кибергигиену — не переходите по незнакомым ссылкам, установите антивирус.

Компаниям, конечно, сложнее. Чтобы эффективно защититься от киберугроз, необходимо определить, какие риски являются для вашего бизнеса недопустимыми. Это поможет выстроить эшелонированную защиту и вовремя купировать атаку. Если раньше для большинства атак достаточно было антивируса, то сейчас к кибербезопасности нужно подходить комплексно. Тут в помощь — целый набор продуктов информбезопасности, которые, соединяясь вместе, как детали Lego, выстраивают киберзащиту без брешей: NGFW (Next Generation Firewall), Network Traffic Analysis (NTA), Endpoint Detection and Response (EDR), SIEM (Security information and event management), VM (Vulnerability Management), песочницы Sandbox, Web Application Firewall (WAF) и многие другие.

Материал по теме

Если вы все же подверглись атаке, а ваша служба ИБ понимает, что хакеры уже внутри, — надо действовать немедленно и обращаться к экспертам, которые способны провести расследование кибератаки и максимально нивелировать последствия. К сожалению, на моей практике было много случаев, когда халатность приводила к ужасным последствиям. Повторять их пример лучше не стоит, а сценарии эти оставить для сюжета фильма.

Мнение редакции может не совпадать с точкой зрения автора