Если несколько лет, с 2017 по 2021 год, число утечек данных в России росло плавно, то в 2022 году их количество выросло более чем в два раза. Ситуация продолжает ухудшаться — за четыре месяца 2023 года утечек данных произошло в 1,5 раза больше, чем за аналогичный период прошлого года. В частности, согласно аналитическому исследованию Positive Technologies, доля применения только программ-шифровальщиков в кибератаках на организации с использованием вредоносного ПО составила 53%, что на 9% больше показателей 4-го квартала предыдущего года.
Наиболее частыми последствиями кибератак на организации стали утечки конфиденциальной информации (51%) и нарушения основной деятельности (44%). Если говорить о способах, то самым распространенным из них стала социальная инженерия. Преимущественно такой рост вызван активным использованием фишинговых комплектов. Ключевым же каналом таких атак на юридические лица является электронная почта (86%), а на физические лица — интернет-сервисы и различные сайты (59%).
Преимущественно такой рост вызван активным использованием фишинговых комплектов.
Positive Technologies также зарегистрировала увеличение количества фишинговых писем на темы, связанные с трудоустройством, увольнением, получением различных пособий. Кроме писем со вредоносными ссылками и вложениями, киберпреступники начали применять QR-коды для обхода антиспам-фильтров и других защитных средств, поскольку QR-код распространяется в качестве изображения и не содержит подозрительных ссылок.
Кроме того, эксперты фиксируют рост числа атак, нацеленных на кражу данных без шифрования инфраструктуры с последующим требованием выкупа за неразглашение украденной информации.
Если говорить о бизнесе, то, согласно исследованиям, страдают в основном компании с численностью персонала от 1 тыс. до 5 тыс. человек: они более привлекательны для злоумышленников, чем малый бизнес, но при этом менее защищенные, чем крупные компании. Как правило, утверждают эксперты, самая большая проблема таких компаний — в «лоскутном» подходе к кибербезопасности: они используют множество разнородных IT— и ИБ-решений от разных вендоров. Но эти решения не обмениваются данными, оставляя слепые зоны.
О том, как защитить бизнес от самых распространенных видов атак, — в материале РБК Екатеринбург.
Фишинг
Фишинг — это метод мошенничества, при котором злоумышленник пытается получить конфиденциальную информацию от пользователей, выдавая себя за доверенный источник сообщений или популярный интернет-ресурс. К ярким примерам можно отнести фишинговые сайты популярных маркетплейсов и магазинов — жертва завлекается на поддельную страницу закрытыми распродажами и низкими ценами, а также возможностью приобретения ушедших из России брендов.
Как правило, целью злоумышленников являются учетные данные пользователей, информация их банковских карт, социальные сети. Последние часто используются в технологиях единого входа — Single Sign-On и SSO. Компрометация таких учетных записей влечет за собой несанкционированный доступ к сторонним ресурсам. Кроме того, в настоящее время заметен явный рост попыток угона аккаунтов Telegram через фишинговые ссылки.
Очень часто сотрудники компаний попадаются на фишинговые письма, вводя свои реальные учетные данные на поддельном сайте госуслуг или проходя повторную процедуру авторизации в ERP-системе предприятия.
Проблема в том, что атаки, связанные с фишингом, могут привести к сбою в работе корпоративной сети, репутационным и финансовым потерям, разглашению критически важной информации.
Один из верных способов защиты от фишинга — надежно защитить все внутренние коммуникации в вашей компании. Сделать это можно, например, с помощью межсетевого экрана нового поколения Ideco UTM производства «Айдеко». Он является комплексным средством защиты информационных систем и оснащен передовыми методами противодействия фишинговым атакам.
В состав Ideco UTM входит антивирусный модуль «Лаборатории Касперского», помогающий распознать и блокировать доступ к подозрительным веб-сайтам, предупредив пользователей о попытках фишинга. Кроме этого, наш межсетевой экран предоставляет пользователям спам-фильтр собственной разработки для блокировки фишинговых писем. Дополнительно Ideco UTM оснащен фильтрацией IP-адресов и URL по blacklist, который регулярно пополняется.
«Айдеко» также рекомендует проводить регулярное обучение сотрудников основам безопасности в интернете. Они должны уметь распознать фишинговые ссылки, письма и веб-сайты и знать, какие действия необходимо предпринять в случае обнаружения подозрительных сообщений. Кроме того, необходимо внедрить многофакторную аутентификацию, чтобы в случае компрометации учетных данных пользователя злоумышленник не смог получить доступ в сеть или приложение без предоставления дополнительного фактора.
Шифровальщики
Шифровальщики, попадая на ваш компьютер, шифруют ценные файлы: документы, фотографии, сохранения к играм, базы данных и так далее — таким образом, что их нельзя открыть. После этого злоумышленники требуют выкуп за расшифровку данных — в среднем около $300.
По статистике «Доктор Веб», поток запросов, поступающих от пользователей, которые пострадали от программ-вымогателей, сегодня составляет порядка 60% от того количества, которое компания получала год назад. Тем не менее шифровальщики продолжают регулярно атаковать бизнес из самых разных сфер: ИТ, медицина, госсектор, производство, финансы.
По словам начальника отдела технической поддержки «Доктор Веб» Михаила Колядко, существует три основных типа пользователей, которые обращаются в компанию с запросами на расшифровку. В 35% случаев на пострадавших машинах Dr.Web не был установлен вообще. Примерно у такого же количества жертв Dr.Web был установлен, но удален или отключен хакерами, взломавшими систему. У третьей группы Dr.Web был установлен и даже работал в момент инцидента, но имели место ошибки в эксплуатации антивирусного программного обеспечения по вине пользователя (такие как использование устаревшей версии, неправильные настройки и т. п.).
«Да, есть единичные случаи, когда наши технологии оказались бессильны. Эти кейсы всегда интересны и сложны для разбора, поскольку преступники, которые занимаются разработкой такого рода ПО, перед выпуском тестируют их самыми актуальными антивирусными решениями», — отмечает эксперт.
Поэтому для того, чтобы смягчить последствия любого рода атак или свести к минимуму шансы атакующих, необходимо тщательно следить за актуальностью ОС, антивируса и используемого софта. Кроме того, следует применять стойкие пароли к учетным записям, а если сотрудники работают удаленно — использовать VPN для их доступа к внутренним ресурсам.
«Чтобы эффективно противостоять именно энкодерам, нужно постоянно укладывать критические данные в бэкапы на изолированные диски. Также мы рекомендуем использовать компонент «Защита от вымогателей» в составе продукта Dr.Web. Он защищает файлы на уровне доверенных процессов, не позволяя вымогательскому ПО зашифровать данные, — отмечает руководитель группы расшифровки компании «Доктор Веб» Алексей Иванов.
Если атака все-таки случилась и была замечена работа вымогательского ПО, действовать придется по ситуации, сообразуясь с обстоятельствами данного конкретного случая и оценивая риски возможных решений. Универсально правильной стратегии не существует.
Необходимо понимать, какие есть варианты и какие у них плюсы и минусы. Есть, например, энкодеры, после работы которых шансы на расшифровку остаются, только если компьютер не выключали и не перезагружали.
К сожалению, никто не может мгновенно и со стопроцентной уверенностью определить, что «атака случилась и закончилась», т. е. что вредоносный процесс уже завершен. Принимая решение выключить машину по первым признакам энкодера, следует отталкиваться от предположения, что шифровальщик все еще работает. В этом случае пораженный сервер или компьютер обесточивают, чтобы избежать дальнейшего распространения проблемы и (или) шифрования файлов по сети.
При этом нельзя исключать, что файлы, которые шифровались на момент обесточивания, окажутся испорчены (частично зашифрованы, а ключ, которым они шифровались, утерян). Однако есть смысл пожертвовать ими: то есть «обменять» несколько битых файлов на то, что какая-то часть данных останется нетронутой. Также стоит учитывать, что если «атака случилась и закончилась», следов шифровальщика в системе может уже не быть, т. к. очень часто по окончании работы троян самоудаляется. Отсутствие вредоносного файла на пострадавшей системе усложняет разбор инцидента и исследование зашифрованных файлов на предмет возможной расшифровки.
После обесточивания зашифрованной машины нужно, воспользовавшись другим компьютером (не запуская систему с зараженного диска), аккуратно забрать все уцелевшие файлы. А затем приступать к разбору инцидента. Например, с помощью Dr.Web FixIt! . Это инструмент для выявления целевых атак, который позволяет собрать данные при расследовании и понять причины произошедших заражений и других инцидентов ИБ.
Пострадавшую систему не следует ни трогать, ни переустанавливать. Также нельзя ни перемещать, ни переименовывать какие бы то ни было файлы.
