Cisco: у киберпреступников входят в моду открытость и «джентльменство»

Алексей Лукацкий подчеркивает: опросы показывают, что восприятие российскими компаниями ключевых факторов успеха в сфере информационной безопасности находится выше мирового уровня


09:08 10.03.2021   |   4319 |  Николай Смирнов |  «Директор информационной службы»

Рубрика Предприятие



Рынок киберпреступлений созревает: на нем появляются картели, жертв воспринимают как клиентов, а группировки заботятся об имидже, хотя и не брезгуют шантажом.

Компания Cisco провела онлайн-брифинг, в ходе которого бизнес-консультант по безопасности Алексей Лукацкий рассказал об основных тенденциях, наблюдавшихся в 2020 году в области кибербезопасности. Его выступление было посвящено анализу угроз, которые стали актуальными в прошлом году, прошедшем под знаком пандемии и удаленной работы, и описывает, что происходило «по ту сторону баррикад».

На первое место среди современных угроз информационной безопасности аналитики Cisco ставят шифровальщики (программы-вымогатели, ransomware). Это не просто одно из немногих направлений деятельности хакеров, которое видно широкой публике, но и крайне выгодная деятельность, приносящая хозяевам немалые деньги. На криптокошельках одной из крупных группировок, занимающихся шифровальщиками, всего за несколько атак накопилось около 190 биткоинов, что составляет миллионы долларов. Это очень прибыльный бизнес, поэтому активность злоумышленников в этой сфере только нарастает, а тактика становится все изощреннее.

Вымогательством занялись профи

Как отмечает Лукацкий, сегодня в обществе сформировалась не совсем точная картина восприятия шифровальщиков. Многие считают, что с помощью вымогательского ПО работают хакеры-любители, а серьезные группировки предпочитают действовать более серьезно и скрытно, похищая информацию с помощью целенаправленных атак (Advanced Persistent Threat, APT). На самом деле, это не так: фокус атак шифровальщиков уже перешел в гораздо более платежеспособный корпоративный сектор, привлекательный для профессиональных команд вымогателей.

Вымогатели действуют не только громко, но и более разрушительно, отодвигая на второй план группировки, известные только APT-атаками. Помимо традиционной кражи данных, они еще и оставляют после себя «выжженное поле», приводя в непригодное состояние инфраструктуру своих жертв. В этом случае на восстановление работоспособности тратятся огромные средства, зачастую многократно превосходящие сумму выкупа. Известны случаи, когда компании случайно страдали от действий шифровальщика (выкупа у них никто не требовал), но на восстановление систем требовалось несколько сотен миллионов долларов.

Эффективность действий злоумышленников, то есть процент успешных атак на компании, составляет 73%, на выкуп соглашаются примерно 26% жертв. То, что информация о таких инцидентах появляется не каждый день, связана лишь с тем, что ее предпочитают замалчивать. При этом стоимость программ-шифровальщиков в даркнете очень невелика (она составляет около 50 долл.), ее может позволить себе любой любитель-одиночка. Соблазн огромен, и в условиях кризиса, когда многие теряют работу, все больше тех, кто переходит на сторону зла.

Сотрудничество и шантаж

Новой тенденцией, связанной с пандемией, стало вынужденное сотрудничество между хакерскими группировками различного профиля. Так, злоумышленники, занимавшиеся атаками на финансовые организации, столкнулись со сложностями вывода похищенных средств: дроперы (люди, привлекаемые для обналичивания средств) в период карантина сидели по домам. Им пришлось монетизировать имеющийся доступ в сети финансовых компаний, продавая его вымогателям.

Еще одна тенденция, отмеченная в прошлом году, – обнародование конфиденциальных данных компаний, отказавшихся платить выкуп. Злоумышленники извлекают выгоду даже из таких случаев: им важно показать остальным, что компания наказана за строптивость, и это заставляет других быть сговорчивее. Публичность для многих жертв страшнее потерянных данных. Вероятно, в ряде случаев причиной могли быть не только коммерческая тайна и интеллектуальная собственность, но и не совсем законные активности компаний.

«Здесь вступает в силу обычный бизнес-интерес: далеко не все владельцы компаний готовы, чтобы их секреты стали всеобщим достоянием. Решение о выплате принимается не эмоционально, а диктуется бизнесом – это обычные расходы, вызванные стремлением минимизировать свои потери», — подчеркнул Лукацкий.

Законодатели мод

Владельцы семейства вымогателей Maze, появившегося в первой половине 2019 года, стали законодателем мод в мире киберпреступности в 2020 году и серьезно трансформировали рынок новыми правилами игры, попутно став самой эффективной группировкой. Именно они первыми занялись шантажом, угрожая публикацией украденных данных. Этот шаг оказался крайне успешным и привел к резкому росту выплат. Кроме того, владельцы Maze организовали картель операторов шифровальщиков, обмениваясь тактиками атак и создав биржу обмена украденными данными. Киберпреступность стала более организованной.

Наконец, до сих пор операторы программ-вымогателей не афишировали свою деятельность, чтобы не попадать лишний раз в поле зрения правоохранительных органов. По словам Лукацкого, Maze и здесь стали исключением, стремясь к максимальной публичности.

Группировка была очень озабочена своей репутацией, поддержанием доверия к себе, вела официальный сайт и активно взаимодействовали со СМИ. Им был важен рост популярности: они активно комментировали слухи и опровергали лживую информацию, отслеживали упоминания о себе и дистанцировались от желтой прессы. При этом Maze не атаковали пострадавшие от кризиса организации и медицинские учреждения, что встречается редко – обычно киберпреступники неразборчивы в выборе жертв. Считая себя лучшими в своей отрасли, они называли жертв клиентами и предлагали им техподдержку в части восстановления доступа к данным, с ними можно было поторговаться и согласовать форму оплаты. Очевидно, у Maze была своя картина мира, которой они придерживались.

В октябре 2020 года владельцы Maze объявили, что прекращают свою деятельность. Скорее всего, это связано с тем, что они выполнили свои финансовые цели и не хотели дольше необходимого оставаться под прицелом. Другие шифровальщики быстро занимают опустевшую нишу.

Угрозы удаленного доступа

Традиционные троянцы не ушли с арены, но находятся в тени шифровальщиков именно из-за цели оставаться незаметными. Постепенно они вытягивают из инфраструктуры компании огромные объемы данных. Современный троянец является «швейцарским ножом» хакера, обладая модульной структурой и очень широкими возможностями, в том числе записи видео и аудио, перехвата ввода с клавиатуры.

Говоря про троянцев, нельзя не вспомнить особенности пандемийного периода, который прошел под знаком удаленного доступа. Одним из основных бизнес-инструментов в это время стала технология удаленного рабочего стола. Совершенно ожидаемо она попала под прицел злоумышленников. Например, популярный сервис RDP, встроенный в Windows, по мнению Лукацкого, буквально пережил второе рождение, при этом став огромной дырой в безопасности компаний. Несколько уязвимостей RDP были найдены еще в 2019 году и продолжали использоваться весь 2020 год.

Из-за удаленной работы периметр организации стал размытым, и возможности злоумышленников серьезно возросли. Как показывают данные Cisco Secure Desktop, около трети организаций ежемесячно видели тревоги, связанные с RDP, но большинство на них не реагировали.

С момента массового перехода на удаленку активизировались злоумышленники, использующие интернет-ресурсы с целью заражения пользовательских ПК. В это время появилось немалое количество вредоносных сайтов, связанных с темой коронавируса, госуслуг и выплат пособий. При этом инфраструктурно не было создано ничего нового: просто изменилась тематика деятельности сайтов, злоумышленники активно подстраиваются под повестку дня. Они используют любой информационный повод, чтобы привлечь людей на свои ресурсы и атаковать его компьютер.

«Своих не обижают»?

Из особенностей ситуации в России можно отметить, что проблемы в безопасности здравоохранения были не столь актуальными, как на Западе. Как известно, бичом прошлого года во всем мире стали атаки на фармацевтические компании, занимающиеся разработкой вакцин, и медицинские организации. Медики часто вынуждены платить выкуп, потому что это часто связано с угрозой жизням пациентов.

«Нам неизвестны случаи атак медицинских организаций в России в прошлом году. Ранее они случались, но до сих пор не стали массовыми», — констатировал Лукацкий. Вообще российские компании не столь часто подвергаются атакам шифровальщиков и других вредоносных программ, как их зарубежные коллеги. Нередко вредоносные программы разрабатывается российскими группировками, которые «своих не обижают» — анализ кода показывает, что он не предназначен для атак в Рунете. Это интересная тенденция, но полагаться на нее всерьез не стоит: во-первых, патриотизм силен не у всех, а во-вторых, не стоит забывать о зарубежных группировках.

Схожая ситуация наблюдается и с атаками на системы АСУ ТП промышленных предприятий. Отмечается рост интереса злоумышленников к такого рода системам, но пока он не носит взрывного характера. И если атаки осуществляются, то чаще не на сами АСУ ТП, а на офисные системы промышленных предприятий. Возможно, злоумышленники пока не научились монетизировать свои атаки на промышленные системы и платформы Интернета вещей.

Как подчеркнул Лукацкий, не стоит думать, что Россия находится на задворках мирового рынка информационной безопасности. Скорее, наоборот – опросы показывают, что восприятие российскими компаниями ключевых факторов успеха в сфере информационной безопасности находится выше мирового уровня. При этом средние расходы на безопасность в российских компаниях среднего и крупного бизнеса в 2020 году составили 1,4 млн долл. В Cisco заявляют, что выгода от их внедрения вдвое превышает инвестиции.


Теги: Информационная безопасность Уязвимости Cisco Хакеры Алексей Лукацкий Киберпреступность Кибератаки Эпидемия коронавируса
На ту же тему: