Российские компании готовы к киберугрозам

Компания Acronis опубликовала доклад, основанный на опросе специалистов из 3400 транснациональных компаний, а также сотрудников, работающих в дистанционном режиме из-за пандемии COVID-19. Отчет показывает, что 92% обследованных компаний для обеспечения дистанционной работы используют различные новые технологии, включая инструменты совместной работы и решения для обеспечения конфиденциальности и кибербезопасности. При этом значимой проблемой для организаций становится управление защитой на новых устройствах и использование целого ряда различных решений, что требует больших затрат, отнимает много времени и характеризуется немалой сложностью. Кроме того, недостаточная интеграция создает слабые места в защите, которые активно используют киберпреступники.

В исследовании Acronis отмечено, что, нацеливаясь на дистанционных работников, хакеры чаще всего используют фишинг, DDoS-атаки и атаки на видеоконференции. Атаки на видеоконференции за последние три месяца пережили 39% компаний, сотрудники которых использовали приложения типа Zoom, Cisco Webex и Microsoft Teams. Специалисты Cisco недавно обнаружили в своем приложении Webex уязвимость, которая может позволить злоумышленникам получать доступ к потенциально ценному или дискредитирующему контенту.

По данным исследования, количество атак с использованием вредоносного ПО (например, программ-вымогателей) во время пандемии также выросло: представители 31% компаний сообщили о ежедневных кибератаках, а 50% подвергались им как минимум раз в неделю. Большую известность получила кибератака в июле, когда ведущий производитель GPS-технологий, по неподтвержденной информации выплатил $10 млн вымогателям, использовавшим программу WastedLocker. Созданные компанией Acronis операционные центры киберзащиты (Cyber Protection Operating Centers, CPOC) обнаружили, что 35% клиентских оконечных устройств были подвержены атакам с использованием вредоносного ПО, которые начались до внедрения Acronis Cyber Protect.

Как сообщается в исследовании, фишинговые атаки достигли как никогда высокого уровня, что совершенно не удивительно, так как, по данным рассматриваемого доклада, лишь 2% компаний используют URL-фильтрацию при оценке решений в сфере кибербезопасности. Это упущение делает дистанционных работников уязвимыми к воздействию фишинга - специалисты операционных центров Acronis установили, что в мае, июне и июле на вредоносные сайты заходило примерно 10% пользователей.

"Ландшафт киберугроз очень сильно изменился за последние несколько лет и особенно за последние шесть месяцев", - говорит основатель и генеральный директор компании Acronis Сергей Белоусов. По его словам, традиционные автономные антивирусы и решения для резервного копирования неспособны защитить от современных киберугроз. Сергей Белоусов считает, что организации, использующие комплексные системы защиты данных и кибербезопасности, не только повышают свою безопасность, но и снижают расходы и увеличивают эффективность работы.

"Россия, как и другие страны, в полной мере была подвержена последствиям пандемии, предпринимала схожие ограничительные меры в этот период, поэтому тренды в информационной безопасности, связанные с переходом на удаленку, равно применимы и к России, а киберпреступность, как известно, не имеет границ", - рассказывает исполнительный директор компании "Акронис Инфозащита" Елена Бочерова. По ее оценке, вопрос готовности к безопасной удаленной работе в текущих условиях - это прямой вопрос конкурентоспособности бизнеса. "В большинстве отраслей российские компании находятся в положении прямой конкуренции с зарубежными, поэтому уменьшение расходов на информационную безопасность, защиту собственной ИТ-инфраструктуры может означать потерю рынка. Компании, нацеленные на то, чтобы пережить кризис, вынуждены вкладывать в эти направления наравне с зарубежными. Нужно сказать, что в выигрышном положении оказались те, кто позаботился о защите своей инфраструктуры заранее и для кого практика удаленной работы не оказалась новой. В трудной ситуации оказались государственные учреждения и крупные госкомпании, в которых трансформация ИТ-инфраструктуры обладает вынужденной инерцией", - объясняет Елена Бочерова.

Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев, комментируя исследование, говорит, что все три выявленные в исследование тенденции характерны и для России. Однако, по его словам, в меньшей степени это касается распространения вирусов-шифровальщиков: отечественные компании пока не так часто страдают от них, как организации в США и ряде других стран Запада.

"Кроме того, распространение шифровальщиков напрямую не связано с пандемией - активность операторов этого типа вредоносного ПО после долгого перерыва начала нарастать еще в прошлом году. В то же время резкий рост числа атак на видеоконференции и фишинговое воздействие на дистанционных сотрудников - это логичные действия хакеров на фоне изменившихся условий работы и перестройки системы корпоративных коммуникаций", - сообщает Андрей Арсентьев. По его мнению, пандемия стала триггером для калейдоскопического изменения карты угроз, но нельзя говорить о том, что сложившийся в 2020 г. ландшафт сохранится надолго. "Многое может измениться за считаные месяцы. Но очевидно, что компании по всему миру теперь будут уделять повышенное внимание защите систем видеоконференций и обеспечению безопасности сотрудников на удаленной работе", - утверждает Андрей Арсентьев.

"Сложно сказать, что именно пандемия изменила ландшафт киберугроз или внесла что-то принципиально новое", - отмечает глава представительства компании Avast в России и СНГ Алексей Федоров. Он полагает, что, скорее можно, говорить об адаптации старых методов под новые условия, использование самой темы коронавируса. Пандемия и переход на удаленку просто подчеркнули все существующие проблемы, сделали их более явными.

"Ситуация с пандемией вынудила большое количество людей работать удаленно. К домашним сетям сразу подключалось гораздо больше устройств, чем раньше, в том числе и те, с которых люди работали, заходили в корпоративную сеть. Если многие по-прежнему будут работать из дома, то злоумышленники будут целиться на роутеры. С роутеров начинается безопасность дома. И часто именно они защищены меньше всего. Несколько лет назад, когда всем массово подключали интернет в квартирах, часто роутеры предоставляли бесплатно. И как правило, это были не самые качественные и надежные устройства", - предупреждает Алексей Федоров. По его словам, если злоумышленники получат доступ к роутеру, то они смогут совершать множество действий - например, перехватывать DNS, менять их настройки. "Это позволит злоумышленникам перенаправлять пользователей с оригинальных веб-сайтов на фишинговые. Теоретически, после того как хакер получит доступ к роутеру, он сможет совершить еще более сложные атаки. Как минимум - может попытаться просканировать домашнюю сеть, чтобы попытаться заразить другие устройства", - объясняет Алексей Федоров.

По оценке экспертов "Лаборатории Касперского", атаки на видеоконференции за последние три месяца пережили 39% компаний. "На самом пике пандемии, в апреле, "Лаборатория Касперского" обнаружила около 1300 файлов с нежелательными приложениями и даже вредоносным кодом, в которых использовались названия популярных сервисов для онлайн-конференций. Злоумышленники эксплуатировали названия Zoom, Webex, Slack и других сервисов. Таким образом, распространялось 200 видов угроз, в основном рекламные приложения DealPly и DownloadSponsor. Оба семейства являются установщиками, которые показывают рекламу или загружают рекламные модули", - рассказали корреспонденту ComNedws в пресс-службе "Лаборатории Касперского".

Согласно оценке экспертов "Лаборатории Касперского", со времени начала пандемии ландшафт киберугроз существенно изменился. Как рассказал Сергей Голованов, ведущий антивирусный эксперт "Лаборатории Касперского", в условиях пандемии и самоизоляции злоумышленники не прекращали свою деятельность. Текущая новостная повестка активно используется злоумышленниками для фишинга, а также при проведении целевых атак.

Однако в целом количество атак вредоносного ПО уменьшается. По данным "Лаборатории Касперского", в мире в 2019 г. такие программы зафиксированы на устройствах каждого пятого пользователя, что на 10% меньше, чем в 2018 г. Также в два раза сократилось количество уникальных вредоносных ресурсов, где были заблокированы попытки заражения, и количество таких атак. Но одновременно с этим растет количество уникальных вредоносных программ - их число увеличилось на 13%.

Руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева считает, что с ростом числа пользователей платформ для видеосвязи интерес к ним растет и со стороны злоумышленников. "Так, в течение I квартала 2020 г. зарегистрировано более 1700 фишинговых доменов, связанных с названием популярной платформы Zoom. Помимо этого, зафиксированы инциденты, связанные с вторжением в онлайн-конференции через Zoom. Записи тысяч видеозвонков оказались размещены на YouTube и Vimeo. В свободный доступ попали частные видеозвонки, записи бизнес-собраний, сеансы у врачей, занятия в учебных заведениях. Во II квартале на фоне пандемии также наблюдались атаки, направленные на кражу учетных данных для подключения к системам аудио- и видеосвязи. Например, в ходе фишинговой кампании, направленной на удаленных сотрудников, использующих Skype, злоумышленники рассылали письма с фейковыми уведомлениями от сервиса. Получатель, перейдя по ссылке из письма, попадал на поддельную форму аутентификации, где его просили ввести логин и пароль от Skype. Зафиксированы также подобные атаки на пользователей платформ Webex и Zoom", - рассказывает Екатерина Килюшева.

По ее словам, вредоносное ПО используется в большинстве кибератак - к примеру, во II квартале ВПО применялось в 62% атак на организации. "Наибольшее число атак на корпоративную инфраструктуру с использованием ВПО пришлось на долю троянов-шифровальщиков (39%) и шпионского ПО (34%). Частные лица больше всего подвергались атакам с использованием инфостилеров (40%) и банковских троянов (28%). Любые громкие события в мире дают почву для проведения атак методами социальной инженерии, и, конечно, пандемия сыграла на руку преступникам - они активно эксплуатировали тему коронавируса. Во II квартале тема COVID-19 была затронута в 16% фишинговых атак. Помимо тем для вредоносных писем, злоумышленники использовали пандемию для создания тематических сайтов, на которых под видом полезной информации скрывается вредоносное ПО, для кражи денег в ходе атак типа business email compromise, для распространения вредоносных мобильных приложений", - объясняет Екатерина Килюшева.

Екатерина Килюшева отмечает, что для многих компаний удаленная работа оказалась не просто кратковременной необходимостью: пандемия заставила полностью пересмотреть существующие бизнес-процессы, а для киберпреступников это означает появление новых возможностей для атак на организации.

"Многие предприятия, переводя сотрудников на дистанционную работу, сделали часть сервисов доступными из интернета. Например, в I квартале мы отмечали, что выросло число узлов российских компаний, доступных для подключения по протоколу RDP. И уже во II квартале увидели рост числа атак, направленных на подбор учетных данных для доступа по RDP, на эксплуатацию уязвимостей в корпоративных сервисах, доступных извне, в первую очередь систем удаленного доступа. В связи с полным или частичным переходом на удаленную работу увеличилось количество атак не только на системы удаленного доступа, но и на платформы для проведения видеоконференций, и эти тренды могут надолго остаться с нами", - объясняет Екатерина Килюшева.