В 2023 году компания Forescout Technologies зафиксировала более 420 млн атак на критически важную инфраструктуру. Побьют ли хакеры рекорды прошлого года?
13 атак в секунду
В 2023 году компания Forescout Technologies и ее исследовательское подразделение Forescout Vedere Labs зафиксировали более 420 млн атак на критически важную инфраструктуру. Это 13 атак в секунду, что на 30% больше, чем в 2022 году. Почти постоянным атакам в минувшем году подвергалась важнейшая инфраструктура мира — медицинское, энергетическое, коммуникационное, утилизационное и производственное оборудование, интеллектуальные транспортные системы. Об этом говорится в «Обзоре глобальных угроз за 2023 год», который был подготовлен Forescout Vedere Labs на основе анализа угроз на платформе Forescout, выявленных в прошлом году. Vedere Labs занимается, в том числе, выявлением уязвимостей и угроз в критически важной инфраструктуре и оборудовании Интернета вещей (IoT).
Несмотря на глобальные проблемы, связанные с продолжающимся ростом киберактивности, эксперты Forescout Research — Vedere Labs отметили ряд позитивных изменений:
1. Снижение популярности эксплойтов Log4j стало причиной всплеска эксплойтов сетевой инфраструктуры и устройств Интернета вещей. В сфере IoT злоумышленники уделяют повышенное внимание IP-камерам, системам автоматизации зданий и подключенным к сети хранилищам данных. Только 35% эксплуатируемых уязвимостей IoT появились в списке известных эксплуатируемых уязвимостей (KEV) Агентства по кибербезопасности и инфраструктурной безопасности США (CISA), что подчеркивает необходимость активного и всеобъемлющего подхода к кибербезопасности, выходящего за рамки использования баз данных известных уязвимостей.
2. Протоколы OT несут основную нагрузку. Операционные технологии (OT) подвергаются массовым кибератакам, Основной удар приходится на пять ключевых протоколов: протоколы, используемые в секторах промышленной автоматизации и энергетики, например, Modbus. На них приходится треть всех атак. Далее следуют Ethernet/IP, Step7 и DNP3, на долю каждого из них приходится примерно 18% атак. IEC10X завершает топ-5 с 10% атак. Оставшиеся 2% распределяются между различными протоколами, причем большинство приходится на BACnet. Протоколы систем автоматизации зданий и сетей управления BACnet не так часто сканируются, однако отмечена тенденция использования целенаправленные эксплойтов против уязвимостей в устройствах автоматизации зданий.
3. Постэксплуатация. Доля тактик закрепления выросла на 50% по сравнению с 3% в 2022 году, наряду с обнаружением (25%) и исполнением (25%). Большинство команд, используемых злоумышленниками, по-прежнему нацелены на обычные системы Linux, но отмечена тенденция использования команд, выполняемых для сетевых операционных систем популярных маршрутизаторов.
4. Семейства вредоносного ПО по-прежнему представляют серьезную угрозу. На троянскую программу удаленного доступа Agent Tesla (RAT) приходится 16% всей наблюдаемой вредоносной активности. Далее следуют варианты ботнета Mirai (15%) и Redline infostealer (10%). Среди фреймворков для эксплуатации и постэксплуатации бесспорным лидером является Cobalt Strike (46%), за ним следуют Metasploit (16%) и Sliver C2 (13%). Большинство из этих серверов находятся в США (40% мирового пространства), за ними следуют Китай и Россия — 10% и 8% соответственно.
5. Хакеры раскинули сети по всему миру, распространив цифровые угрозы на 163 страны. Основной мишенью являются США, где выявлены 168 групп злоумышленников. Следом идут Великобритания (88), Германия (77), Индия (72) и Япония (66). Высокую концентрацию субъектов угроз аналитики наблюдают в Китае (155), России (88) и Иране (45). В совокупности эти группировки представляют почти половину всех выявленных групп угроз. Интерес хакерских группировок сосредоточен преимущественно на трех ключевых секторах: правительстве, финансовых услугах, СМИ и развлечениях.
Шведские организации пострадали в результате кибератаки на ИТ-компанию Tietoevry
Атака на шведский дата-центр скандинавской ИТ-компании Tietoevry, которая в том числе предоставляет услуги облачного хостинга, произошла в ночь на 20 января. Как сообщают СМИ, Tietoevry удалось изолировать пострадавший сегмент сети, восстановление систем и служб продолжается.
Венке Бордал, глава Tietoevry Tech Services в Швеции, сообщил, что компания работает в тесном сотрудничестве с полицией и другими органами власти и будет помогать им в проведении расследования. Известно, что атака включала шифрование серверов виртуализации и управления Tietroevry. На восстановление систем может уйти несколько недель, предполагают наблюдатели.
Атака нанесла ущерб клиентам финского разработчика ПО Tietoevry Oyj, в число которых входит и шведский регулятор. В результате инцидента некоторые из ИТ-систем Центрального банка Швеции оказались недоступны. Riksbank обратился с заявлением в полицию. Также пострадали многочисленные компании, учебные заведения, правительственные учреждения, в том числе парламент, муниципалитеты Швеции.
Посетители крупнейшей сети кинотеатров страны Filmstaden не смогли купить билеты онлайн, также пострадала сеть магазинов розничной торговли со скидками Rusta. Произошли сбои в системах медицинского учета в больницах. Каролинский институт и Стокгольмский университет среди прочих учебных заведений не смогли получить доступ к базам данных сотрудников. Атака затронула системы округа Упсала.
С проблемами столкнулись компании, использующие систему расчета заработной платы и учета кадров Primula. Пострадала и централизованная система управления кадрами, используемая шведским национальным центром государственных услуг (Statens Servicecenter). В результате атаки пострадали 120 правительственных учреждений и более 60 тыс. госслужащих, которые не могут заявлять о сверхурочных часах работы, больничных или отпусках.
По мнению экспертов в области кибербезопасности компании Sophos, кибератака совершена группой шифровальщиков Akira, которую часто связывают с Россией. Она является «грозной угрозой вымогательства» с весны 2023 года. В конце прошлого года хакеры сообщили, что группа атаковала сотни компаний в Европе, Северной Америке и Австралии.
Шведское агентство по чрезвычайным ситуациям (MSB) уже заявило, что инцидент должен послужить тревожным сигналом для всех организаций Швеции.
Накануне кибератаки на Tietoevry Национальный центр кибербезопасности Финляндии опубликовал предупреждение о продолжающихся атаках групп вымогателей, которые усилились в конце прошлого года. Инциденты, в частности, были связаны со слабо защищенными реализациями Cisco VPN и их уязвимостями, заявили в финском NCSC.
Компания Tietoevry сообщила, что подала жалобу в полицию. Но не предоставила никакой информации о требовании выкупа. Также рано оценивать финансовые последствия инцидента.
Контрольное шифрование
Группировка вымогателей LockBit взяла на себя ответственность за кибератаку на компанию кредитования ценными бумагами EquiLend. В результате атаки были отключены платформа EquiLend и другие решения для автоматизации. Незадолго до кибератаки EquiLend сообщила, что частная инвестиционная компания Welsh, Carson, Anderson & Stowe планирует приобрести ее контрольный пакет акций.
О том, что платформа EquiLend, которая обрабатывает операции с ценными бумагами на 2,4 трлн долларов в месяц, подверглась кибератаке, компания сообщила 22 января. Представители организации заявили, что на восстановление работоспособности всех систем может уйти несколько дней. Все компоненты сервисов EquiLend Spire и рынка кредитов ECS не были затронуты в результате инцидента. Компания EquiLend работает в тесном сотрудничестве с организациями по кибербезопасности и экспертами, идет расследование инцидента.
Компания EquiLend принадлежит консорциуму фирм с Уолл-стрит, включая BlackRock, Bank of America, Goldman Sachs и JPMorgan. EquiLend считается значимым игроком в индустрии кредитования ценными бумагами через собственную торговую платформу NGT, ее услугами активно пользуются хедж-фонды и другие инвесторы. Однако представитель FS-ISAC, консорциума, занимающегося снижением киберрисков в глобальной финансовой системе, полагает, что влияние EquiLend на игроков финансового рынка было «ограниченным». FS-ISAC считает, что взлом повлиял на конкретные автоматизированные сервисы кредитования ценными бумагами, заставив компании перейти на ручные процессы, сообщает CNN.
Казначейство США внимательно следит за расследованием вместо с ключевыми представителями финансового сектора и регулирующими органами.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных