При этом еще один курьезный случай с ФНС произошел в 2019 году. Тогда была возможность получить доступ к двум базам данных. Первая содержала более 14 млн данных о людях, а вторая 6 млн. В них можно было найти имена, адреса, номера паспортов, данные о месте проживания, номера телефонов, номера ИНН, названия компаний-работодателей, а также информацию об уплаченных налогах.
Пример 5
Атака вымогателей на госучреждения Коста-Рики в апреле 2022 года. Группировка вымогателей Conti напала на госучреждения Коста-Рики и потребовала выкуп в размере 20 млн долларов. Из-за недоступности большей части IT-инфраструктуры в стране было объявлено чрезвычайное положение, а несколько позже к атакованному государственному сектору присоединилось здравоохранение Коста-Рики, учреждения которого атаковала группировка Hive.
Пример 6
Власти города Берлингтон в Канаде подверглись фишинговой атаке, в результате которой 503 000 долларов США были переведены не настоящему поставщику услуг, а киберпреступнику.
Промышленность и энергетика
Промышленность все больше привлекает киберпреступников: количество атак в 2021 году превосходит результаты 2017 года более чем в 7 раз. А в 2022 году около 10% всех успешных атак пришлось на промышленность. При этом промышленные компании, по сути, не готовы противостоять сложным атакам и вредоносному ПО. Так, 95% компаний либо не защищают свои автоматизированные системы управления технологическими процессами (АСУ ТП) специальными решениями, либо делают это частично. И системного подхода к управлению кибербезопасностью, например, управления уязвимостями и обновлениями компонентов ПО, в 93% случаев тоже нет. Это с учетом того, что ущерб от остановки бизнес-процессов может быть катастрофичным, в том числе с повреждением и разрушением оборудования, техногенными катастрофами. Компаниям проще идти на поводу у хакеров и тихо выплачивать выкуп.
Спасает сейчас то, что злоумышленникам просто невыгодно заниматься изучением технологических параметров, разбираться, что именно надо изменить, ведь можно просто зашифровать или украсть конфиденциальные данные. По моему мнению, это ключевой сдерживающий фактор.
Также здесь сохраняется и общий тренд атаки становятся все более комплексными:
использование вредоносного ПО (71% успешных атак)
социальную инженерию (около 50%)
эксплуатацию уязвимостей в ПО (41%).
Само вредоносное ПО распространялось через ИТ-оборудование (49% случаев) и почту (43%). Перебои в работе из-за вмешательства в технологические и бизнес-процессы возникали в 47% случаев. И главным образом из-за шифровальщиков данных и ПО для удаления данных (вейперов). В течение 2022 года доля шифровальщиков увеличивалась с 53% в первом квартале до 80% в третьем. Доля вейперов достигла 7% (в 2021 году их было 12%).
Рост доли эксплуатации уязвимостей в атаках говорит о том, что эти методы экономически целесообразны, а это уже свидетельствует о низком уровне защиты в промышленности. И именно в программных и аппаратных продуктах, предназначенных для промышленности, в 2021 были обнаружены и исправлены наиболее опасные уязвимости.
Промышленники и энергетики вроде и осознают все риски, но и специфика отрасли не дает возможности проводить полномасштабные учения с отработкой практических сценариев и выявлением недопустимых событий. Поэтому сейчас появляются киберполигоны, где можно через виртуальную или дополненную среду без риска сломать процессы и оборудование, проводить любые учения и оценивать последствия. Один из таких примеров мероприятие Standoff, которое организовывают PT.
В целом, в 2021 году интересы хакеров в России по отраслям промышленности распределились следующим образом:
31% авиакосмическая отрасль;
23% государственные организации;
23% IT-компании;
15% военно-промышленный комплекс;
8% топливно-энергетический комплекс.
Что касается статистики PT, то в своих проектах с первой половины 2020 по вторую половину 2021 года им удалось реализовать 87% недопустимых событий.
Финансы
Финансовый сектор один из тех, кто чувствует себя относительно хорошо. Доля атак на эти организации от общего числа снижается из года в год. И что интереснее всего, новых группировок, стремящихся выводить деньги со счетов в банках, не появляется. Причина этому зрелость отрасли и усилия Центробанка: регламенты, вложения в ИТ-инфраструктуру и ПО, налаженный информационный обмен. И это понятно, если воруют деньги, то это видно здесь и сейчас.
Атакуются организации вновь через социальную инженерию (47%) и использование вредоносного ПО (загрузчики, шпионское ПО, трояны, шифровальщики.
Типичными целями атак на банки стали хищение конфиденциальной информации и остановка ключевых бизнес-процессов (53% и 41% случаев соответственно). Хищение денег было в 6% успешных атак.
Сейчас финансовые организации атакуются с целью:
получения более выгодного курса обмена валют;
кражи денег со счетов пользователей или обмана комиссии;
получения конфиденциальной информации о пользователе и её использования в других атаках при помощи социальной инженерии;
увеличения нагрузки на систему и сбоев в работе личных кабинетов пользователей.
Кроме того, все еще встречаются небезопасные реализации систем быстрых платежей.
В результате банки внедряют все новые технологии защиты:
ужесточают проверки KYC (обязательная проверка персональных данных клиента), в том числе развиваются сервисы проверки документов (видеозвонки с распознаванием документов, загрузка фотографий документов, проверки по базам данных, оценка социальной активности) для понимания, реальный ли человек скрывается за тем или иным аккаунтом;
вводят системы машинного обучения для ускорения, упрощения и улучшения поиска информации о клиенте, распознавания и блокирования подозрительных операций.
В итоге количество стандартных веб-уязвимостей уменьшается, но количество логических уязвимостей, наоборот, увеличивается. И во многом это происходит из-за развития экосистем: создание все новых и более сложных интеграций, микросервисов, введение голосовых помощников и чат-ботов.
Однако, есть два негативных фактора, позволяющие специалистам PT находить в каждой организации уязвимости, которые дают возможность проникнуть во внутреннюю ИТ-инфраструктуру. Во-первых, защитные патчи, которые выпускают разработчики ПО, зачастую игнорируются ИТ-службами организаций и не устанавливаются. Во-вторых, всегда есть вероятность наличия уязвимости, о которой пока неизвестно разработчикам, но ее обнаружили исследователи злоумышленников. Такие уязвимости называют «уязвимостями нулевого дна». И эти факторы залог того, что хакер проникнет внутрь инфраструктуры, поэтому нужно учиться их вовремя выявлять.
Всего в ходе исследований специалисты PT смогли проникнуть во внутреннюю сеть организаций в 86% случаев. Также исследователи PT получали полный контроль над инфраструктурой и реализовывали недопустимые события: доступ к критически важным для банков системам, к АРМ казначеев, серверам обмена платежными поручениями. Всего экспертам PT удалось реализовать более 70% недопустимых событий в каждой финансовой организации.
В итоге вымогатели продолжат свои атаки на банки. Пока эти атаки проще в исполнении и в совокупности приносят больше прибыли, чем попытки вывести крупную сумму денег со счетов. Но теперь одной из основных целей хакеров будут клиенты банков, которые пользуются онлайн-банкингом. По данным Центробанка России уже в 2020 году 75% взрослого населения пользовались онлайн-банкингом. Поэтому хакеры продолжат развивать направление компрометации банковских приложений. Также в ходу останутся приемы социальной инженерии.