Динамика теневого рынка
В-третьих, атаки вместо массовых становятся целенаправленными, то есть таргетированными. Как уже говорилось, если раньше таких было 43%, то сейчас на уровне 70%.
В-четвертых, как бы ни развивались технологии, узкое место все равно люди. Так, с 2017 года количество людей, попадающихся на фишинговые письма, не только не уменьшилось, но, наоборот, кратно увеличилось. И в топе наиболее используемых и эффективных способов проникновения в компанию по-прежнему остается фишинг с помощью электронной почты. При этом темы рассылок, которые люди открывают чаще всего, остаются неизменными из года в год: зарплата, премии, социальные программы, ДМС, резюме. Кроме того, лучше всего работают рассылки, посвященные событиям в конкретной компании или подразделении. То есть растет роль социальной инженерии.
Динамика поведения пользователей при социальной инженерии
При этом интересна статистика атак на обычных людей. Ведь бесконечные утечки персональных данных упрощают работу хакеров с точки зрения выбора нужных людей при планировании атаки на организацию. Так, в 2021 году в 58% атак хакеры заражали устройства пользователей вредоносным ПО: это были приложения для удаленного управления (34%), шпионское ПО (32%) и банковские трояны (32%). При этом к концу 2022 года шпионское ПО использовалось уже в 49% успешных атак.
По итогам 2022 года чаще всего источником заражения становились фишинговые сайты (42% успешных атак) и письма электронной почты (20%). Также хакеры объединяли личные устройства людей и организовывали так называемые ddos-атаки, то есть просто перегружали ИТ-инфраструктуру организации-жертвы. И в массовых фишинговых атаках хакеры использовали актуальную новостную повестку: покупка поддельных сертификатов о вакцинации, создание мошеннических сайтов перед чемпионатом Европы по футболу, премьерой нового эпизода сериала «Друзья» или другого «вкусного» события.
Ну, и в-пятых, менеджеры люди прагматичные, они хотят гарантий. В итоге мы и пришли ко второму тренду формулированию простых и понятных для топ-менеджеров запросов, чтобы недопустимое невозможно было реализовать.
По моему мнению, это вполне нормальная ситуация. Бесконечно наращивать броню и закрываться невозможно. Если вы любите погонять в танки, то помните пример с танком Маус, который в итоге стал неповоротливым и в жизни вообще не мог передвигаться, став лишь музейным экспонатом. При этом развитие техники все равно сделало его пробиваемым. В борьбе брони и снаряда всегда в итоге выигрывает снаряд.
Возвращаясь к языку бизнеса, поделюсь наблюдением. Наращивание брони порой приводит к росту бесполезной бюрократии. Я видел компании, которые закрывались так, что останавливались бизнес-процессы, и люди просто выходили за контур компании, начинали вести рабочую коммуникацию и обмен документами в открытых мессенджерах и личной почте. Ведь у них есть KPI и с них требуют результат. А ждать по неделе-две пока техподдержка решит очередную проблему, они не могут. В итоге хотим защититься, но только множим риски.
Третий тренд развитие киберполигонов и кибербитв, которые предоставляют возможность специалистам по кибербезу пробовать свои силы в обнаружении и пресечении действий злоумышленников, тестировать инфраструктуру и получать информацию для анализа и развития. Также с начала 2023 года идет активное создание программ по поиску уязвимостей за вознаграждение. Такие программы называются Bug bounty. Это позволяет «белым» хакерам и исследователям применять свои знания во благо и получать за это вознаграждение. В основном это относится к финансовой сфере (программы поиска уязвимостей) и крупным корпорациям (участие в кибербитвах).
Глава 4. Что происходит в отраслях
Атаки на корпорации и организации становятся все больше похожими на спланированные военные операции идут атаки и на оборудование, и на людей. Так, мы уже с вами знаем про фишинг, использование уязвимостей и так далее. Но помимо этого, существуют и специализированные компании, которые занимаются разработкой инструментария для проникновения в различные информационные системы. Особенно это развито в тех странах, где такая работа не попадает под ограничения законодательства. То есть в принципе это не нелегальный бизнес, и с учетом текущей ситуации многие страны, скорее всего, вообще начнут закрывать глаза на него.
Государственное управление и организации
Государственные организации сейчас, в 20222023 годах, проходят настоящее боевое крещение. В 2022 году число успешных атак на государственные учреждения увеличивалось в каждом квартале. Госучреждения столкнулись с наибольшим числом инцидентов среди любых организаций. На их долю пришлось 17% от общего числа успешных атак (в 2021 году этот показатель был 15%). Всего за 2022 год PT зафиксировали 403 инцидента с государственными организациями, что на 25% больше, чем в 2021 году.
Основной способ атаки социальная инженерия. Цель атак данные. И это понятно, ведь автоматизация и цифровизация в гос. управлении идет полным ходом. А значит, государственные органы начинают генерировать большие данные: налоги, медицинская информация, биометрия и т. д. Медицинские данные представляют для хакеров особый интерес, в том числе и для целей социальной инженерии, повышения эффективности фишинговых атак.
Наиболее популярными типами вредоносного ПО оказались шифровальщики (56%) и программы для удаленного управления (29%). Также постоянно растет доля атак на веб-ресурсы, в 2020 году таких было 14%, к концу 2022 41%.
Причем госструктуры под ударом не только у нас в стране.
Пример 1
В середине октября 2021 года хакер получил доступ к базе данных правительства Аргентины, в которой содержится информация обо всех удостоверениях личности граждан. В итоге на черном рынке были выставлены на продажу данные и ID-карты всего населения Аргентины, то есть более 45 млн граждан. Причем в качестве подтверждения достоверности данных хакер раскрыл информацию о 44 известных личностях, в том числе президента страны.
Пример 2
Полицейское управление столицы США Вашингтона. Там случилась массовая утечка внутренней информации после атаки программы-вымогателя. В дарквебе (сегмент Интернета, который скрыт от обычных пользователей, где продают поддельные документы, оружие, наркотики, получают заказы хакеры) были опубликованы тысячи конфиденциальных документов. Также были обнаружены сотни личных дел полицейских, данные об информаторах и разведывательные отчеты со сведениями, полученными от других государственных органов, включая ФБР и Секретную службу.
Пример 3
Атакой шифровальщиком данных хакеры вызвали коллапс IT-инфраструктуры трех больниц в США, сорвали несколько плановых операций, нарушили процесс приема пациентов и похитили 1,5 ТБ персональных данных, включая медкарты. Группировка получила выкуп в размере 1,8 млн долларов за дешифратор и непубликацию похищенной информации. А кибератака вымогателей на одну из главных больниц Барселоны (Clinic de Barcelona) привела к повреждению ИТ-инфраструктуры клиники и вынудила отменить 150 неотложных операций и до 3000 обследований пациентов (по данным Associated Press).
Пример 4
Также интересный случай был в ноябре 2022 года. На одном из форумов в дарквебе появилось сообщение о взломе инфраструктуры Федеральной налоговой службы России. Хакеры утверждали, что скачали 800 Гб конфиденциальной информации. Официальных комментариев ведомства не поступило. В качестве доказательств прилагались ссылки на несколько проектов, которые, по сообщению хакеров, взяты из базы данных ФНС. «На то, чтобы проникнуть в сеть налоговой, нам понадобилось всего одну неделю времени, а во взломе участвовали лишь три человека. На самом деле, нами уже захвачено несколько десятков государственных структур такого уровня. Но заявлять о них надобности пока нету», написали хакеры в сообщении.