Актуальные ИБ угрозы в 2022 г. глазами Jet CSIRT
Информационная безопасность Информационная безопасность

Динамика роста ИБ-инцидентов за последние месяцы? Кто стоит за этими киберпреступлениями? Что делать, чтобы подготовиться к актуальным угрозам?

Главная>Информационная безопасность>«Самое страшное уже позади, а самое сложное — впереди»: угрозы 2022 глазами Jet CSIRT
Информационная безопасность Тема номера

«Самое страшное уже позади, а самое сложное — впереди»: угрозы 2022 глазами Jet CSIRT

Дата публикации:
21.09.2022
Посетителей:
236
Просмотров:
198
Время просмотра:
2.3

Авторы

Автор
Алексей Мальнев Руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT

 

Динамика роста ИБ-инцидентов за последние месяцы?

 

Кто стоит за этими киберпреступлениями?

 

Что делать, чтобы подготовиться к актуальным угрозам?

 

Что сильнее всего бросается в глаза в последние месяцы — существенный, если не сказать беспрецедентный рост кибератак в феврале–марте. Одновременно с этим значительно сместились профиль типового источника угроз («Threat Actors», т. е. группировки, которые совершают атаки) и фокус деятельности злоумышленников. Изменилась и их мотивация, которая влияет на применяемые техники и тактики.

Наш анализ основан на мониторинге командой Jet CSIRT потока входящих ИБ-событий от наших клиентов. Интенсивность — до 200 000 событий в секунду (и показатель продолжает расти), причем мы получаем данные из всех отраслей: государственных и финансовых организаций, транспортных и агропромышленных предприятий, ритейла, производства. Параллельно взаимодействуем с ведущими CERT-командами и дополняем наше видение ситуации глобальным и региональным контекстом.

 

Мы давно наблюдаем стабильный рост числа кибератак — в среднем на 20–40% ежегодно. Интенсивность некоторых угроз, например, шифровальщиков, могла увеличиваться на сотни процентов в год (особенно в период их расцвета, 2017–2018 гг., что даже ознаменовало создание отдельной киберпреступной отрасли Ransomware-as-a-Service). Проще говоря, тренд на постоянный рост кибератак для нас привычен: по данным Jet CSIRT, за последние 10 лет их стало в сотни раз больше.


Однако сейчас, сравнивая архивные данные и период, который начался в конце февраля 2022 г., мы видим впечатляющую динамику роста инцидентов всего за месяц (!):

 

  • DDoS — в 5–10 раз;
  • Deface (попытки изменения кода web-ресурсов) — в 3–4 раза;
  • таргетированные APT-атаки — в 2 раза.


Подобное усложнение обстановки по атакам (от 100 до 500% и выше) характерно для нескольких лет поступательного развития киберпреступных отраслей, но никак не для нескольких недель. Возникает вопрос: откуда у злоумышленников столько ресурсов и почему этого не происходило раньше? Если силы и средства для реализации подобных атак были, логично было бы их использовать…

Что происходит?


Отмечу, что мы всегда наблюдали прямую корреляцию между серьезными общественно-политическими событиями и быстрореализуемыми кибератаками. В первую очередь, конечно, по DDoS. Считается, что цель подобных атак — «положить» социально значимые сервисы, чтобы создать панику среди населения и посеять хаос. Однако в данном случае (судя по спискам атакованных организаций) злоумышленники также стремятся нарушить работу целых отраслей экономики.


Теперь вернемся к «Threat Actors» — типовым источникам угроз. Deface-атаки, к примеру, обычно применяют хактивисты, которые хотят славы. Другие угрозы, более характерные для обычных периодов жизни, в основном реализуют злоумышленники, которых интересуют деньги. А сейчас мы наблюдаем беспрецедентный рост активности государственных киберподразделений и группировок, работающих по их заказу. Именно такие команды вполне могут тщательно скрывать свои ресурсы и возможности до часа Х.

 

Главная опасность в том, что цели и задачи подобных группировок могут быть совершенно неочевидны. При этом подготовка к проникновению в инфраструктуру жертвы может длиться до нескольких лет. Добавляем сюда эффективные средства реализации атаки, достаточно высокие компетенции злоумышленников, доступ ко всем необходимым ресурсам, помощь смежных команд (включая разведку, агентурную сеть и др.) и получаем сложные в обнаружении и крайне опасные таргетированные APT-атаки.


Есть серьезные предпосылки к тому, что в ближайшие месяцы или кварталы мы увидим реализацию атак, подготовка к которым началась после 24 февраля. Вполне возможно, самое страшное уже позади, а самое сложное — впереди.

Кто и как атакует бизнес сегодня


В части DDoS очень заметна активность группировки Anonymous и IT Army of Ukraine. Они координируют усилия и реализуют атаки по заранее подготовленным спискам российских ресурсов. В части Ransomware злоумышленники фокусируются именно на российских организациях (вплоть до проверки IP-адреса жертвы — находится ли она в РФ). Заметен тренд на переход к русскоязычному интерфейсу зловредов, кроме того, теперь жертвы далеко не всегда получают какие-либо требования. Иногда ключа дешифровки в принципе нет — данные крадутся и уничтожаются в политических целях. Среди ярких примеров — кампании Freeud Wiper и RURansom Wiper: жертвы выбираются по региональному признаку, атакуются только российские компании.


Для реализации таргетированных APT-атак активно применяются методы социальной инженерии. Причем злоумышленники тонко используют актуальный для России контекст: политические вопросы, санкции и т. д. Актуальный пример — вредоносные кампании ZexCone и IAmTheKing. Но стоит отметить, что на России свет клином все же не сошелся. «Традиционные» таргетированные атаки (например, со стороны группировки Lazarus) по-прежнему актуальны и опасны. Злоумышленники периодически меняют тактику и поддерживают активность во всем мире.


К слову, наиболее популярные векторы проникновения не изменились. Это социальная инженерия (через фишинг или вложения в электронной почте) и атака внешнего периметра — через эксплуатацию уязвимостей или подбор паролей. На эти категории угроз приходится порядка 90% значимых инцидентов.

 

Вместо заключения


Что делать бизнесу в этих условиях? Традиционно рекомендуем начать с базовых вещей: это повышение осведомленности пользователей и качественная превентивная защита периметра и хостов (хотя бы антивирус). Кроме того, все более актуальным становится мониторинг ИБ-инцидентов, причем как внутри инфраструктуры (с помощью CSIRT или SOC), так и снаружи. «Внешний» мониторинг в том числе подразумевает анализ поверхности атаки (через какие точки может быть скомпрометирована инфраструктура, какие векторы атак возможны) и киберразведку по более широкому спектру угроз. В ближайшие годы все это станет такой же неотъемлемой частью ИБ-ландшафта, как и нынешние базовые механизмы защиты.

Уведомления об обновлении тем – в вашей почте

Кто виноват и что делать: о чем спорили участники форума DLP+

Как государство мотивирует бизнес защищать информацию клиентов? Кто должен нести ответственность за утечки? Что общего у производителей топоров и DLP-систем?

Защита от несанкционированного доступа к информации

Настоящий Руководящий документ (РД) устанавливает классификацию программного обеспечения (ПО) (как отечественного, так и импортного производства) средств защиты информации (СЗИ), в том числе и встроенных в общесистемное и прикладное ПО, по ...

Мошенничество в программах лояльности

Почему мошенников привлекают программы лояльности? Как похищают бонусные баллы? Этапы создания защищенного онлайн-сервиса?

Построение системы информационной безопасности на основе Solaris 2.x

Одной из причин, побудивших автора написать данную статью, стало то, что вокруг ОС UNIX вообще и ее защищенности в частности существует множество домыслов и слухов, не имеющих отношения к современному состоянию дел. Большинство аргументов, ...

Информационная безопасность в Интранет: концепции и решения

В соответствии с , под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или ...

Информационная безопасность в России: опыт составления карты

Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю – национальном, отраслевом, корпоративном или персональном. Для иллюстрации этого положения ...

Информационная безопасность - обзор основных положений. Часть 3

Деятельность любой организации подвержена множеству рисков. Нас будут интересовать те из них, которые являются следствием использования информационных технологий.  Управление рисками   Суть работы по управлению рисками состоит в том, чтобы ...

Дополнение к руководству по информационной безопасности предприятия: как выбирать поставщика интернет-услуг

Данное Дополнение к Руководству по информационной безопасности предприятия (см. также Jet Info, 1996, 10-11 – прим. перев.) призвано служить для широкой Интернет-общественности контрольным перечнем при обсуждении вопросов информационной ...

Осторожно, CRM: как мошенники используют систему себе во благо

Виды уязвимостей процессов в CRM-системах. Требования к антифрод-системе для защиты CRM.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня