Спецпроекты

Безопасность Техническая защита

ГРЧЦ проанализировал кибератаки на критическую информационную инфраструктуру

Научно-технический центр ФГУП «ГРЧЦ» провел исследование кибератак на критическую инфраструктуру в мире и в России на основе открытых новостных и статистических источников, а также исследований Group-IB, Positive Technologies, Kaspersky и других крупных компаний, специализирующихся на кибербезопасности.

Атаки на объекты критической информационной инфраструктуры (далее КИИ) происходят все чаще. Особенность современных кибератак состоит в их целенаправленности и ориентированности на конкретную сферу хозяйственных отношений или отдельное предприятие.

Согласно статистике в 2020 году потери мировой экономики от кибератак составили 2,5 трлн долл. (180 трлн руб.), прогнозируемый рост в 2022 г. 8 трлн долл. (600 трлн руб.). В первом полугодии 2021 года число атак вирусов-шифровальщиков на российскую критическую инфраструктуру выросло почти на 150% по сравнению с 2020 годом. При этом 40% атак осуществляют независимые киберпреступники и 60% — прогосударственные акторы.

Больше всего злоумышленников интересовали государственные и медицинские учреждения, а также промышленные компании. Наибольший интерес для атак представляют персональные данные 31%, коммерческая тайна 24%, учетные данные 23%, медицинские данные 6%, базы данных клиентов 6%, информация платежных карт 6%, переписка 3%, другая информация 1%. С конца 2019 года 50% всех атак приходится на шифровальщики Ryuk и Maze — 50%, за ними следуют REvil (Sodinokibi), NetWalker, DoppelPaymer.

Нижняя граница суммарного ущерба компаниям от действий программ-вымогателей, по оценкам Group-IB, составляет более 1 млрд долл. Однако реальный ущерб многократно выше: зачастую пострадавшие компании предпочитают замалчивать инцидент, заплатив вымогателям, либо атака не сопровождается публикацией данных из сети жертвы.

Основными целями хакеров стали корпоративные сети крупных компаний из Северной Америки, Европы, Латинской Америки, Азиатско-Тихоокеанского региона.

Первые атаки были зафиксированы экспертами в России: прогнозируется, что в 2021 году волна шифровальщиков затронет российский бизнес и выйдет в СНГ.

С конца 2019 года вымогатели стали перед шифрованием копировать всю информацию компании-жертвы на свои серверы с целью дальнейшего шантажа. Если жертва не платит выкуп, она не только теряет данные, но и видит их в открытом доступе.

Каждая третья атака в I квартале происходила с участием операторов программ-вымогателей. По итогам 2020 года первое место в топе часто атакуемых отраслей занимали медучреждения, а в I квартале 2021 года первое место поделили между собой промышленность и организации в сфере науки и образования. Их суммарная доля составляет 30% всех инцидентов с участием шифровальщиков. Еще 28% атак были направлены на государственные и медицинские учреждения.

Среди наиболее известных кибератак на КИИ выделяется атака Stuxnet, направленная в 2010-2012 гг. на разрушение иранской инфраструктуры и сбор данных. Нападению подверглись центрифуги для обогащения урана и связанные с ними компьютеры сотрудников. Позднее, в апреле 2016 г. известный шифровальщик Petya применен для шифрования данных компаний и получения выкупа в биткойнах. В феврале 2017 г. шифровальщик Erebus распространился через спам и медиа-плееры, в результате чего корейская компания Nayana заплатила 1 млн долл. за дешифровку, а позже – в мае 2017 г. злоумышленники заражали устройства в локальных сетях шифровальщиком WannaCry и требовали выкуп. Ущерб составил 4 млрд долл. В июле 2017 г. применен вайпер NotPetya, ущерб от которого составил 10 млрд долл. Информация о других известных атаках приводится в приложении.

За большинством кибератак стоят группировки хакеров, которые, однако не всегда берут ответственность за те или иные события. В частности, Bronze Union специализируется на кибершпионаже, преимущественно в сетях государственных учреждений, оборонных предприятий и политических организаций. CozyDuke нацелена в своей деятельности на государственный сектор и получение конфиденциальной информацией и имеет арсенал самописного вредоносного ПО. DarkSide отличается тем, что не атакует сайты, написанные на русском и компании, расположенные в странах СНГ. Кроме того, вредоносное ПО группы не работает на компьютерах, использующих русскую раскладку клавиатуры. Создает программы-вымогатели. Evil Corp хакерская группировка специализируется на краже банковских учетных записей и внедрении программ-вымогателей. Обвиняется в хищении 100 млн долл. у различных банков. FancyBear хакерская группа направлена на получение конфиденциальных/секретных данных своих жертв путем фишинговых атак. Подробное описание этих и информация о многих других хакерских группировках приводится в приложении.

Особенности современных кибератак заключаются в формировании спроса и предложения на вымогательство как услугу (RaaS), распространении кибершпионажа, формировании аполитичных сетей с целью получения прибыли. Средства социальной инженерии и удаленного доступа являются основными инструментами кибератак. Как отмечают эксперты Group-IB DFIR 64% всех атак вымогателей, проанализированных в 2020 году, были связаны с операторами, использующими модель RaaS.

Сегодня для защиты от кибератак технические эксперты рекомендуют создавать нескольких эшелонов защиты информации, обучать сотрудников, регулярно обновлять ПО и иметь четкую политику использования служб удаленного доступа, таких как запрет на использование сервисов через общественные сети, правила блокировки учетной записи, а также хранить резервные копии в недоступных для злоумышленников местах.

Владимир Бахур

Короткая ссылка