«Если похищенная информация не приносит ожидаемой прибыли, работу компании пытаются нарушить ради получения выкупа» (с) Так говорит The Standoff

«Если похищенная информация не приносит ожидаемой прибыли, работу компании пытаются нарушить ради получения выкупа» (с) Так говорит The Standoff

Мало кто сомневался, что хакерство – это зло, но с недавних пор эта деятельность скатывается в разряд преступлений против человечества.

Как указывают данные, представленные Positive Technologies и Microsoft на пресс-конференции «Тенденции кибератак в России и мире, профиль злоумышленников, тренды и прогнозы», хакеры усилили атаки на медицинские учреждения. Так подразделением PT Expert Security Center зафиксировано 46 таких нападений в 3-м квартале 2020 года, тогда как годом ранее атак было 11.

Атакам подвергаются как учреждения, оказывающие непосредственную помощь больным COVID-19, так и исследовательские центры, которые занимаются разработкой вакцины. Эксперты, выступившие на пресс-конференции, считают, что основной целью злоумышленников является информация о последних научных наработках и результатах их апробации.

Но «эффективные хакеры» не кладут яйца в одну корзину. Около половины атак были совершены операторами вирусов-шифровальщиков, с которыми всё чаще сотрудничают APT-группировки. В этом «ничего личного, только бизнес»: если похищенная информация не приносит ожидаемой прибыли, недополученные доходы может возместить выкуп для предотвращения нарушения работы компании.

Киберпреступники не только активизировали свои атаки на сферу здравоохранения, но и для повышения эффективности фишинга, успешно эксплуатируют новостную повестку, связанную с COVID-19. Сегодня фишинговые письма (технология, обеспечивающая, по мнению экспертов, наиболее прямой путь к успеху кибернападения) часто эксплуатируют тревожность людей и их потребность в информации, связанной с актуальными новостями на тему пандемии.

Антиковидные мероприятия государственных структур оказывают влияние на техническую политику киберпреступников: наблюдается тенденция к увеличению числа атак на основе эксплуатации уязвимостей на сетевом периметре, злоумышленники активно эксплуатируют уязвимости в VPN-решениях и оборудовании для организации удалённого доступа, в частности в продуктах Pulse Secure, Fortinet, Palo Alto и Citrix.

По данным уже упоминавшегося PT Expert Security Center в первом квартале лишь 12% атак осуществлялись с помощью компрометации серверов, ПК и сетевого оборудования, а уже в третьем квартале доля атак, связанных с уязвимостями сетевого периметра, выросла почти втрое, до 31%.

Рост объясняется повсеместным переходом на удалённый режим работы и быстрым изменением состава сервисов на сетевом периметре многих организаций. В первую очередь злоумышленники эксплуатируют известные уязвимости в решениях для удалённого доступа, а также ищут уязвимости в Web-приложениях, подбирают пароли для доступа по протоколу «удалённого рабочего стола».

Пандемия определила новый вектор развития киберпреступлений, но не отменила старых.

Если за весь 2019 год атак на промышленность было 125, то в 2020 году только за первые три квартала специалисты Positive Technologies зафиксировали уже 170 атак. При этом в 3-м квартале текущего года доля атак на этом фронте, использующих «технологию» шифровальщиков, составила 43% от общего числа атак.

Выросло число атак через оборудование «Интернета вещей»: в первой половине 2020 года оно увеличилось на 35% по сравнению со второй половиной 2019 года.

В трендах – атаки на лаборатории по разработке вакцин от коронавируса, новостная повестка в фишинговых письмах и эксплуатация уязвимостей в VPN. Наблюдается смещение фокуса на фишинговые атаки (около 70%) как на более прямое средство достижения цели. Чтобы обманом заставить людей предоставить свои учетные данные, злоумышленники направляют им электронные письма, имитирующие рассылки известных брендов, а программы-вымогатели оказались наиболее частой причиной инцидентов ИБ, на которые приходилось реагировать специалистам по безопасности. При этом сократилось время пребывания злоумышленников в системе жертвы: в некоторых случаях киберпреступники проходили путь от первоначального входа в систему до компрометации всей сети менее чем за 45 минут.