В первом полугодии 2021 года количество атак на российскую критическую инфраструктуру увеличилось на 150% по сравнению с предыдущим годом. В 2020 году этот показатель вырос на 40%. При этом 40% атак проводят киберпреступники, а 60% — прогосударственные хакеры. Скорее всего, количество инцидентов продолжит расти, в том числе из-за массового перехода людей на удаленный формат работы.
К такому выводу пришли исследователи Научно-технического центра Главного радиочастотного центра (ГРЧЦ). Эксперты использовали открытые новостные и статистические источники, а также отчеты Group-IB, Positive Technologies, «Лаборатории Касперского» и других крупных компаний, специализирующихся на кибербезопасности.
Согласно данным Positive Technologies, каждая третья атака в I квартале 2021 года происходила с участием операторов программ-вымогателей. В 2020 году чаще всего атаковали медучреждения. А в I квартале 2021 года — промышленные компании и организации в сфере науки и образования, на них пришлось 30% всех атак с участием шифровальщиков. Еще 28% атак были направлены на государственные и медицинские учреждения.
Наибольший интерес для атак представляют персональные данные — 31%, коммерческая тайна — 24%, учетные данные — 23%, медицинские данные — 6%, базы данных клиентов — 6%, информация платежных карт — 6%, переписка — 3%.
Как отмечают эксперты Group-IB DFIR 64% всех атак вымогателей, проанализированных в 2020 году, были связаны с операторами, использующими модель RaaS. Ее смысл заключается в том, что разработчики продают или сдают в аренду свои вредоносные программы для дальнейшего заражения сети и развертывания программ-вымогателей.
Прежде чем зашифровать данные, операторы вымогателей проводят в сети жертвы несколько дней, чтобы найти все резервные копии данных и удалить их, предварительно скопировав всю ценную информацию компании себе. Если жертва не платит выкуп, она теряет данные или видит их в открытом доступе.
Руководитель Научно-технического центра ГРЧЦ Александр Федотов показал на примере южнокорейской компании Nayana, как за последние годы выросла сумма выкупа, которую требуют мошенники. В 2017 году компании пришлось заплатить хакерам 1 млн долларов, и это казалось огромной суммой. В 2021 году 1-2 млн долларов уже стали средней суммой выкупа. А максимальный размер выкупа на данный момент — 70 млн долларов в биткоинах. Столько запросила в июле этого года группировка REvil после заражения шифровальщиком более 1000 компаний по всему мир. Вместе с ней в топ самых активных шифровальщиков входят Ryuk, Maze, NetWalker, DoppelPaymer.
«За первые пять месяцев 2021 года количество кибернападений с использованием программ-вымогателей в отношении промышленных компаний уже составило 69% от общего числа таких атак за весь 2020 год. И пока мы не видим тенденции к снижению. Для распространения вредоносного ПО злоумышленники активно используют известные уязвимости на сетевом периметре. Кроме того, доступы в сети промышленных компаний продаются на теневых форумах, чем также пользуются кибергруппировки. Мы предполагаем, что в ближайшем будущем активность шифровальщиков не стихнет, а суммы запрашиваемых выкупов будут только увеличиваться», — подчеркивает Екатерина Килюшева, руководитель группы аналитики информационной безопасности компании Positive Technologies.
Для защиты от кибератак специалисты «Лаборатории Касперского» рекомендуют следующее:
— Запретить подключаться к службам удаленного рабочего стола (таким как RDP) из общественных сетей, если в этом нет серьезной необходимости, и всегда использовать надежные пароли для таких служб.
— Оперативно устанавливать доступные исправления для коммерческих VPN-решений, обеспечивающих подключение удаленных сотрудников и выступающих в качестве шлюзов в сети компании.
— Всегда обновлять ПО на всех используемых устройствах, чтобы предотвратить использование уязвимостей. Эксперты отмечают, что ПО не обновляют в 90% организаций.
— Сосредоточить стратегию защиты на обнаружении горизонтальных перемещений и эксфильтрации данных в Интернет. Обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации киберпреступников. Регулярно выполнять резервное копирование данных. Убедиться, что в экстренной ситуации будет возможность быстро получить доступ к бэкапу, который стоит хранить в отдельной среде.
— Использовать защитные решения, которые помогают выявить и остановить атаку на ранних стадиях.
— Обучать и инструктировать своих сотрудников по вопросам обеспечения безопасности корпоративной среды.
— Использовать надежное решение для защиты рабочих мест, в котором реализован механизм противодействия эксплойтам, а также функции обнаружения аномального поведения и восстановления системы, позволяющие выполнить откат в случае вредоносных действий. Такое решение должно располагать дополнительно средствами самозащиты, которые помешают киберпреступникам его удалить.
— Внедрить политику блокировки учетной записи для предотвращения атаки путем подбора пароля.
