Разведение угроз: с какими кибератаками столкнулись российские компании в 2023 году

«Стратегический характер»

Forbes ознакомился с новым ежегодным отчетом «Киберпреступность в России и СНГ, 2023–2024 гг. Тренды, аналитика, прогнозы», который готовит российский разработчик технологий для борьбы с киберпреступлениями F.A.С.С.T. (раньше — Group-IB). В 2023 году Россия и часть стран СНГ вновь столкнулись с новой мощной волной кибератак. Приоритетной целью для хакерских групп по-прежнему оставались государственные ведомства и военные организации, следует из отчета: «Это подчеркивает стратегический характер кибератак, направленных на получение контроля или сбора информации, имеющей важное значение для национальной безопасности».

Росло количество атак и на промышленные предприятия. Стабильно высокий интерес атакующих к топливно-энергетическому комплексу демонстрирует важность этих отраслей, «особенно в регионе, богатом энергоресурсами», указывают в F.A.С.С.T. Телеком и IT-сектор, несмотря на меньшее количество атак на них, продолжают оставаться привлекательными целями из-за их важной роли в поддержании коммуникационной инфраструктуры и хранении больших объемов данных, констатируют эксперты.

Рост числа политически мотивированных атак для хищения конфиденциальной информации или разрушения IT-инфраструктуры российских компаний в 2023 году составил 116% по сравнению с 2022-м. Специалисты F.A.C.C.T. Threat Intelligence выделили 14 прогосударственных хакерских APT-групп (Advanced Persistent Threat (APT), целевая продолжительная атака повышенной сложности. — Forbes), активно работавших в 2023 году на территории России и стран СНГ.

За большинством DDoS-атак и публикацией скомпрометированных баз данных российских компаний в 2023 году стояли проукраинские хактивисты, но при этом кибершпионажем в России и СНГ по-прежнему занимаются страны, прямо не участвующие в конфликте на Украине, например, Китай или Северная Корея, говорится в отчете.

Приводятся в отчете и данные по утечкам. Так, в 2023 году эксперты зафиксировали 246 новых случаев публичных утечек, которые содержали суммарно 296 млн строк. Почти 142,5 млн записей содержали электронные адреса, более 81,6 млн из них были уникальными.

Кроме компрометации служб удаленного доступа, а также фишинговых рассылок вредоносного ПО, атакующие активно использовали уязвимости у подрядчиков для получения доступа в инфраструктуру, связанную с их крупными клиентами-заказчиками.

Проблемы с давлением

Шифровальщики не сдают своих позиций: по оценкам F.A.C.C.T., в 2023 году количество атак программ-вымогателей с целью получения выкупа выросло на 160%. Жертвами чаще всего становились ретейлеры, производственные, строительные, туристические и страховые компании.

При этом открытием года стали группы двойного назначения, которые преследуют как финансовые, так и политические цели. «Наиболее яркий пример — преступный синдикат Comet (Shadow) — Twelve, в котором Comet (Shadow) выступает в роли вымогателя — требует выкуп за расшифровку и нераспространение похищенных данных, а Twelve — хактивиста-диверсанта, уничтожающего IT-инфраструктуру жертвы без выставления финансовых требований», — следует из отчета. По данным F.A.C.C.T., хакеры из Comet (Shadow) дважды поставили в прошлом году рекорд по «жадности», потребовав за расшифровку данных у одной из жертв 200 млн рублей, а чуть позже у другой — 321 млн рублей при средней сумме первоначального выкупа в прошлом году 53 млн рублей.

Впервые также появились группировки вымогателей (например, Shadow (Comet) и Werewolves), выкладывающие данные об атакованных российских компаниях на собственные ресурсы. «Публичное сообщение об атаке и угроза публикации украденных данных — дополнительный инструмент давления на жертву, который уже давно и успешно применялся за пределами России», — поясняют эксперты.

Одной из новых тактик, применяемых злоумышленниками, стала кража сессий Telegram-клиентов, установленных на рабочих станциях жертвы. После шифрования IT-инфраструктуры жертвы участники Shadow/Comet создавали группы в Telegram по теме инцидента, в которые добавляли IT-специалистов и руководство пострадавшей компании.

По мнению авторов исследования, в условиях продолжающегося геополитического конфликта российские компании и госучреждения в 2024 году столкнутся с новыми, более мощными кибератаками со стороны групп «двойного назначения», хактивистов и банд вымогателей. Итогом подобных атак может стать разрушение инфраструктуры, крупный материальный ущерб и появление похищенных баз данных компаний на андеграундных форумах и в тематических Telegram-каналах.

Сторонние наблюдения

Число событий ИБ за 2023 год выросло более чем на 60%, приводит данные центра противодействия кибератакам Solar JSOC Антон Каргин, эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар». «Пока мы не видим спада этой активности или потери интереса со стороны различных злоумышленников. С ПО, крадущим Telegram-сессии, мы не сталкивались, но наблюдали фишинговые рассылки и кейсы заражения вредоносом KamiKakaBot (ВПО для удаленного управления устройством и кражи данных через Telegram), реализуемые различными группировками, в том числе и DarkPink APT», — говорит он.

«В этом году с хакерскими атаками могут столкнуться все, вне зависимости от того, с госучастием это компания или нет. Причем чем выше значимость учреждений в конкретных бизнес- или технологических процессах, тем выше резонанс и ущерб, в том числе репутационный», — рассуждает Денис Гойденко, руководитель отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT Expert Security Center). Хакеры, по его словам, показали в прошлом году, что им стало сложнее атаковать компании напрямую, они начали изобретать обходные пути: так, «поломав» одну компанию, создающую софт для конкретной отрасли, они получают доступ ко всей этой сфере.

«С конца прошлого года мы наблюдаем всплеск активности прогосударственных группировок», — говорит Антон Каргин. По его мнению, это может быть связано с тем, что все «козыри» (старые доступы, уязвимости, учетные данные из утечек и т. д.) уже ими использованы, и сейчас они активно изучают инфраструктуры, ищут новые точки входа для проведения очередных атак. «В связи с этим многие группировки могли временно сменить свои тактики и переключиться с локального воздействия (шифрование и вайперы) на кибершпионаж для подготовки более мощных киберударов — так, например, действовала группировка ExCobalt, о которой мы сообщали ранее», — вспоминает Каргин.

В первом полугодии 2022 года атаки политически мотивированных хакеров были куда менее скоординированы, чем сейчас, рассуждает об одном из направлений кибернападений — DDoS — заместитель гендиректора Servicepipe Даниил Щербаков. Однако их тактика, по его словам, совершенствовалась с ростом среднего уровня защищенности. «Тогда злоумышленники могли атаковать ресурс длительное время вне зависимости от того, нарушается доступность целевых сервисов или нет, — обращает внимание он. — С 2023 года по сегодняшний день мы наблюдаем тренд на изменение стратегии атакующих. В 75% случаев злоумышленники прекращают атаку сразу же после того, как ресурс встает на защиту, в среднем в течение получаса. При этом часто вместо защищенной компании может начаться атака на другую, но из того же сектора экономики. Например, на АЗС или энергосбытовые компании. То есть налицо растущая экономия расходов на атаку, объясняющаяся скоростью сворачивания атаки, работа не на время, а на результат — нарушение сервисов».

«Как защититься от кибератак? Подумать: «А что, если?..» То есть определить недопустимые для компании события, которые принесут критический вред для организации, — говорит Гойденко. — Например, вывод значительной суммы со счетов, утечка персональных данных клиентов, остановка производства. Важно сосредоточиться не на целях злоумышленников (истинные цели хакеров известны только им), догадках и прогнозах, а на реализации практической кибербезопасности — сделать так, чтобы в вашей сети не было незваных гостей».