Новости / ноябрь 2020
Информационная безопасность

Удаленный режим спутал карты безопасникам

Group-IB представила результаты своего мониторинга ситуации с глобальной киберпреступностью по итогам второго полугодия 2019 г. и первой половины 2020 г. Главные итоги состоят в том, что наибольший финансовый ущерб зафиксирован вследствие атак вирусов-шифровальщиков. Переживает расцвет рынок продажи доступа в скомпрометированные сети компаний. Более чем в два раза вырос объем рынка по продаже краденых банковских карт. Появились новые проправительственные хакерские группы, в том числе возобновили атакующие действия те из них, которые считались сошедшими со сцены.

Яков
Шпунт
© ComNews
26.11.2020

Уже традиционно отчет по киберпреступности был представлен на конференции CyberCrimeCon 2020, которая в текущем году проходила в онлайн-формате. Открывая форум, генеральный директор Group-IB Илья Сачков назвал борьбу с киберпреступностью не бизнесом, а целью. Играть с "черными хакерами" в своего рода пинг-понг нельзя, хотя это пытаются делать многие борцы с киберпреступностью.

Руководитель направления борьбы с киберпреступностью Интерпола Крейг Джонс констатировал, что ландшафт угроз серьезно изменился. Тут особенно велико влияние пандемии и мер противодействия ей. Переход на удаленный режим буквально спутал все карты сотрудникам служб информационной безопасности, поскольку уровень защиты в домашних сетях намного слабее, чем в корпоративных, и этим сразу же воспользовались киберпреступники. Наиболее широко использовался такой простой метод, как фишинг. При этом правоохранительные органы часто выходили на первый план, и их сотрудники также должны знать, какие методы применяют киберпреступники. И Group-IB в этом активно помогает Интерполу.

Непосредственно отчет Hi-Tech Crime Trends 2020-2021 представил технический директор и сооснователь Group-IB Дмитрий Волков. Главной тенденцией периода 2019-2020 гг. стала активность группировок, которые распространяли шифровальщиков. Их авторы переориентировались с конечных пользователей на корпоративный сектор. Это позволило злоумышленникам существенно поднять стоимость выкупа. Самая большая сумма, по оценке аналитиков Group-IB, составили $10 млн. Как отметил Дмитрий Волков, достоянием гласности становится лишь каждый сороковой инцидент.

Также меняются цели киберпреступников. Если раньше основной целью был финансовый сектор, то сейчас в основном атакуют госучреждения, промышленные и энергетические компании, а также учреждения здравоохранения. Надо отметить, что схожую тенденцию отмечают и аналитики других компаний. Например, на форуме The Standoff Positive Technologies и Microsoft представили схожие данные о результатах активности киберпреступников. Основной целью атак обычно являются кража данных или учетных записей легитимных пользователей. И то, и другое затем продается на специализированных торговых площадках. Новой тенденцией является заметный рост атак на почтовые серверы, где хранится основной массив чувствительных данных.

Что касается атак на промышленные и энергетические компании, то тут все чаще шпионаж сменяется активными попытками уничтожения объектов инфраструктуры. "Очевидной целью атакующих становится ядерная энергетика. Если в прошлом году в публичном пространстве не было зафиксировано ни одной атаки, то в этом инциденты произошли на ядерных объектах Ирана и Индии. Еще одной резонансной атакой стала попытка диверсии в Израиле, где целью стали системы водоснабжения, в которых хакеры пытались изменить уровень содержания хлора. Успех этой атаки мог привести к серьезной нехватке воды и потерям среди гражданского населения", - говорится в отчете.

Также целью государственных хакеров является телекоммуникационная инфраструктура. На этом специализируются 11 группировок. Целью атак является как шпионаж, так и вывод инфраструктуры из строя. В частности, широко используются атаки типа DDoS, которые достигли рекордной мощности DDoS2,3 Тб/с и 809 млн пакетов в секунду. Значительной проблемой остается перехват или утечка BGP-маршрутов. За последний год зафиксировано девять таких инцидентов, в том числе и в России.

Как отмечается в отчете, самым атакуемым за отчетный период стал Азиатско-Тихоокеанский регион, к которому проявляли интерес проправительственные группы из Китая, Северной Кореи, Ирана и Пакистана. Было атаковано 34 кампании. На втором месте европейские страны (22 кампании), которыми в основном интересовались группы из Китая, Пакистана, России и Ирана. Далее следуют Средний Восток и Африка: здесь было проведено 18 кампаний, в основном хакерами из Ирана, Пакистана, Турции, Китая и Газы. Россия и США оказались наименее атакуемыми. При этом единственная атака на российский объект проведена казахстанскими спецслужбами.

По данным Group-IB, наибольшее количество групп, связанных со спецслужбами, сосредоточено в Китае - 23, в Иране - восемь, в КНДР и России - по четыре, в Индии - три, в Пакистане и секторе Газа - по две. Во Вьетнаме, Турции и Южной Корее действует по одной группе в каждой стране. Также аналитиками обнаружено семь ранее неизвестных APT-групп. Кроме того, выявлена новая активность шести групп, которые оставались незамеченными последние несколько лет.

Новости из связанных рубрик