Мир за неделю: 13 атак в секунду

В 2023 году компания Forescout Technologies зафиксировала более 420 млн атак на критически важную инфраструктуру. Побьют ли хакеры рекорды прошлого года?

 

13 атак в секунду

В 2023 году компания Forescout Technologies и ее исследовательское подразделение Forescout Vedere Labs зафиксировали более 420 млн атак на критически важную инфраструктуру. Это 13 атак в секунду, что на 30% больше, чем в 2022 году. Почти постоянным атакам в минувшем году  подвергалась важнейшая инфраструктура мира — медицинское, энергетическое, коммуникационное, утилизационное и производственное оборудование, интеллектуальные транспортные системы. Об этом говорится в «Обзоре глобальных угроз за 2023 год», который был подготовлен Forescout Vedere Labs на основе анализа угроз на платформе Forescout, выявленных в прошлом году. Vedere Labs занимается, в том числе, выявлением уязвимостей и угроз в критически важной инфраструктуре и оборудовании Интернета вещей (IoT).  

Несмотря на глобальные проблемы, связанные с продолжающимся ростом киберактивности, эксперты Forescout Research — Vedere Labs отметили ряд позитивных изменений:

1. Снижение популярности эксплойтов Log4j стало причиной всплеска эксплойтов сетевой инфраструктуры и устройств Интернета вещей. В сфере IoT злоумышленники уделяют повышенное внимание IP-камерам, системам автоматизации зданий и подключенным к сети хранилищам данных. Только 35% эксплуатируемых уязвимостей IoT появились в списке известных эксплуатируемых уязвимостей (KEV) Агентства по кибербезопасности и инфраструктурной безопасности США (CISA), что подчеркивает необходимость активного и всеобъемлющего подхода к кибербезопасности, выходящего за рамки использования баз данных известных уязвимостей. 

2. Протоколы OT несут основную нагрузку. Операционные технологии (OT) подвергаются массовым кибератакам, Основной удар приходится на пять ключевых протоколов: протоколы, используемые в секторах промышленной автоматизации и энергетики, например, Modbus.  На них приходится треть всех атак. Далее следуют Ethernet/IP, Step7 и DNP3, на долю каждого из них приходится примерно 18% атак. IEC10X завершает топ-5 с 10% атак. Оставшиеся 2% распределяются между различными протоколами, причем большинство приходится на BACnet. Протоколы систем автоматизации зданий и сетей управления BACnet не так часто сканируются, однако отмечена тенденция использования целенаправленные эксплойтов против уязвимостей в устройствах автоматизации зданий. 

3. Постэксплуатация. Доля тактик закрепления выросла на 50% по сравнению с 3% в 2022 году, наряду с обнаружением (25%) и исполнением (25%). Большинство команд, используемых злоумышленниками, по-прежнему нацелены на обычные системы Linux, но отмечена тенденция использования команд, выполняемых для сетевых операционных систем популярных маршрутизаторов.

4. Семейства вредоносного ПО по-прежнему представляют серьезную угрозу. На троянскую программу удаленного доступа Agent Tesla (RAT) приходится 16% всей  наблюдаемой вредоносной активности. Далее следуют варианты ботнета Mirai (15%) и Redline infostealer (10%). Среди фреймворков для эксплуатации и постэксплуатации бесспорным лидером является Cobalt Strike (46%), за ним следуют Metasploit (16%) и Sliver C2 (13%). Большинство из этих серверов находятся в США (40% мирового пространства), за ними следуют Китай и Россия — 10% и 8% соответственно.

5. Хакеры раскинули сети по всему миру, распространив цифровые угрозы на 163 страны. Основной мишенью являются США, где выявлены 168 групп злоумышленников. Следом идут Великобритания (88), Германия (77), Индия (72) и Япония (66). Высокую концентрацию субъектов угроз аналитики наблюдают в Китае (155), России (88) и Иране (45). В совокупности эти группировки представляют почти половину всех выявленных групп угроз. Интерес хакерских группировок сосредоточен преимущественно на трех ключевых секторах: правительстве, финансовых услугах, СМИ и развлечениях. 

 

Шведские организации пострадали в результате кибератаки на ИТ-компанию Tietoevry

Атака на шведский дата-центр скандинавской ИТ-компании Tietoevry, которая в том числе предоставляет услуги облачного хостинга, произошла в ночь на 20 января. Как сообщают СМИ, Tietoevry удалось изолировать пострадавший сегмент сети, восстановление систем и служб продолжается.

Венке Бордал, глава Tietoevry Tech Services в Швеции, сообщил, что компания работает в тесном сотрудничестве с полицией и другими органами власти и будет помогать им в проведении расследования. Известно, что атака включала шифрование серверов виртуализации и управления Tietroevry. На восстановление систем может уйти несколько недель, предполагают наблюдатели. 

Атака нанесла ущерб клиентам финского разработчика ПО Tietoevry Oyj, в число которых входит и шведский регулятор. В результате инцидента некоторые из ИТ-систем Центрального банка Швеции оказались недоступны. Riksbank обратился с заявлением в полицию. Также пострадали многочисленные компании, учебные заведения, правительственные учреждения, в том числе парламент, муниципалитеты Швеции.

Посетители  крупнейшей сети кинотеатров страны Filmstaden не смогли купить билеты онлайн, также пострадала сеть магазинов розничной торговли со скидками Rusta. Произошли сбои в системах медицинского учета в больницах. Каролинский институт и Стокгольмский университет среди прочих учебных заведений не смогли получить доступ к базам данных сотрудников. Атака затронула системы округа Упсала.

С проблемами столкнулись компании, использующие систему расчета заработной платы и учета кадров Primula. Пострадала и централизованная система управления кадрами, используемая шведским национальным центром государственных услуг (Statens Servicecenter). В результате атаки пострадали 120 правительственных учреждений и более 60 тыс. госслужащих, которые не могут заявлять о сверхурочных часах работы, больничных или отпусках. 

По мнению экспертов в области кибербезопасности компании Sophos, кибератака совершена группой шифровальщиков Akira, которую часто связывают с Россией. Она является «грозной угрозой вымогательства» с весны 2023 года. В конце прошлого года хакеры сообщили, что группа атаковала сотни компаний в Европе, Северной Америке и Австралии. 

Шведское агентство по чрезвычайным ситуациям (MSB) уже заявило, что инцидент должен послужить тревожным сигналом для всех организаций Швеции.

Накануне кибератаки на Tietoevry Национальный центр кибербезопасности Финляндии опубликовал предупреждение о продолжающихся атаках групп вымогателей, которые усилились в конце прошлого года. Инциденты, в частности, были связаны со слабо защищенными реализациями Cisco VPN и их уязвимостями, заявили в финском NCSC. 

Компания Tietoevry сообщила, что подала жалобу в полицию. Но не предоставила никакой информации о требовании выкупа. Также рано оценивать финансовые последствия инцидента.

 

Контрольное шифрование

Группировка вымогателей LockBit взяла на себя ответственность за кибератаку на компанию кредитования ценными бумагами EquiLend. В результате атаки были отключены платформа EquiLend и другие решения для автоматизации. Незадолго до кибератаки EquiLend сообщила, что частная инвестиционная компания Welsh, Carson, Anderson & Stowe планирует приобрести ее контрольный пакет акций. 

О том, что платформа EquiLend, которая обрабатывает операции с ценными бумагами на 2,4 трлн долларов в месяц, подверглась кибератаке, компания сообщила 22 января. Представители организации заявили, что на восстановление работоспособности всех систем может уйти несколько дней. Все компоненты сервисов EquiLend Spire и рынка кредитов ECS не были затронуты в результате инцидента. Компания EquiLend работает в тесном сотрудничестве с организациями по кибербезопасности и экспертами, идет расследование инцидента. 

Компания EquiLend принадлежит консорциуму фирм с Уолл-стрит, включая BlackRock, Bank of America, Goldman Sachs и JPMorgan. EquiLend считается значимым игроком в индустрии кредитования ценными бумагами через собственную торговую платформу NGT, ее услугами активно пользуются хедж-фонды и другие инвесторы. Однако представитель FS-ISAC, консорциума, занимающегося снижением киберрисков в глобальной финансовой системе, полагает, что влияние EquiLend на игроков финансового рынка было «ограниченным». FS-ISAC считает, что взлом повлиял на конкретные автоматизированные сервисы кредитования ценными бумагами, заставив компании перейти на ручные процессы, сообщает CNN. 

Казначейство США внимательно следит за расследованием вместо с ключевыми представителями финансового сектора и регулирующими органами.

30 января, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.03.2024
Банки будут строже следить за криптотранзакциями, связанными с дропперами
01.03.2024
Холода прошли, но голос берегите — скамеры усиленно собирают слепки
01.03.2024
Лишение банковской лицензии — это ещё не всё
01.03.2024
«Они подобны смартфонам на колёсах». В США проверят «умные» авто из Китая
01.03.2024
Набиуллина: Дважды «красные» клиенты будут исключаться из реестра
01.03.2024
Банк России усовершенствует платформу цифрового рубля
01.03.2024
Организации здравоохранения США стали жертвами массовых кибератак
29.02.2024
«ИнфоТеКС» — о проблемах стандартизации ИБ
29.02.2024
Почему нормативные акты выполняются формально
29.02.2024
Почему затянулся переход на российские решения

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных