Новости / январь 2021
Киберпреступность на волне пандемии

Специалисты рынка кибербезопасности отмечают, что последствием пандемии является рост киберпреступности, который будет иметь долгосрочный эффект. В период ближайших трех-пяти лет мы увидим стремительный рост количества преступлений в виртуальной среде.
© ComNews
11.01.2021

Технический директор Group-IB и глава Threat Intelligence & Attribution Дмитрий Волков отмечает, что в 2020 г. подавляющее большинство преступных групп переключились на работу с шифровальщиками, так как с их помощью можно заработать не меньше, чем в случае успешной атаки на банк, а техническое исполнение - значительно проще. Также, по словам Дмитрия Волкова, набирает обороты Big Game Hunting - атаки на крупные компании с целью получения значительного выкупа, к которым присоединяются новые группировки, появляются коллаборации с другими представителями киберкриминального мира. Еще одним трендом 2020 г., по оценке Дмитрия Волкова, стал расцвет рынка продажи доступов в скомпрометированные сети компаний. В 2,6 раза выросло количество продаж доступов в корпоративные сети.

"Явные последствия пандемии - долгосрочный рост киберпреступности. Самоизоляция привела к тому, что многие люди оказались без работы и вынуждены искать новые источники дохода. Повторяется ситуация 1990-х гг., только она в десятки раз хуже: сильно увеличилось проникновение цифровых сервисов. В период ближайших трех-пяти лет мы увидим стремительный рост IT-преступности: во многих регионах сложилась сложная экономическая ситуация, которая побуждает людей переходить на темную сторону", - считает Дмитрий Волков.

Дмитрий Волков прогнозирует в 2021 г. появление групп, которые будут специализироваться на атаках именно на промышленные предприятия с целью получения доступа к SCADA-системам, чтобы манипулировать процессом производства. При этом, по его словам, в следующем году не ожидается большого количества традиционных атак на банки с целью хищений.

Руководитель отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева также отмечает, что главной киберугрозой 2020 г. стала деятельность операторов шифровальщиков. По ее словам, операторы шифровальщиков все реже проводят массовые атаки, они целенаправленно выбирают крупные компании, которые в состоянии заплатить большой выкуп, или организации, для которых приостановка деятельности критична.

"В 2020 г. под удар злоумышленников попали главным образом госучреждения (14% от общего числа атак в III квартале), промышленность (11%) и медицинские учреждения (10%). С начала этого года количество атак на промышленные компании держится на высоком уровне, в основном они подвергались атакам со стороны шифровальщиков и APT-группировок. В III квартале на промышленность были направлены 16% от всех атак с использованием шифровальщиков среди юридических лиц", - отметила Екатерина Килюшева.

Согласно ее оценке, частные лица преимущественно становились жертвами атак с использованием методов социальной инженерии. Еще один тренд, по ее словам, появившийся на фоне пандемии, - атаки, направленные на кражу учетных данных для доступа к корпоративным ресурсам, в том числе для подключения к системам аудио- и видеосвязи Skype, Webex и Zoom.

"В связи с масштабным переходом на удаленную работу выросло число хостов российских компаний с доступным для подключения RDP. На протяжении последнего времени злоумышленники активно эксплуатируют уязвимости в VPN-решениях и системах для организации удаленного доступа, в частности в продуктах от Pulse Secure, Fortinet, Palo Alto и Citrix", - рассказала Екатерина Килюшева.

Эксперт считает, что для компаний одной из главных угроз в 2021 г. останутся шифровальщики. "В следующем году мы, вероятно, увидим новых участников этого киберпреступного бизнеса. Скорее всего, операторы шифровальщиков сохранят стратегию двойного шантажа и продолжат требовать отдельные выкупы за восстановление данных и их неразглашение. Стоит ожидать также увеличения числа атак на критическую инфраструктуру - утечек данных и остановки производств, в том числе по вине операторов шифровальщиков", - объяснила Екатерина Килюшева. По ее мнению, обычным пользователям следует опасаться уловок со стороны мошенников, использующих методы социальной инженерии, одной из тем для фишинга может стать вакцинация от COVID-19.

Технический директор Qrator Labs Артем Гавриченков также рассказывает об опасности вирусов-шифровальщиков. "В данный момент от них страдают уже целые правительства, лечебные учреждения, почти буквально погибают люди из-за того, что ИТ-системы больниц оказываются заблокированы вирусами-шифровальщиками" - отмечает Артем Гавриченков. Он также подчеркивает риск опасности атак интернета вещей. "При этом атаки IoT могут устраиваться не только с использованием бытовых "консьюмерских", но и индустриальных устройств - станков или медицинских аппаратов МРТ", - говорит Артем Гавриченков.

По его словам, еще один класс хакерских нападений - атаки с использованием новых протоколов. "Интернет-отрасль некоторое время находилась в замороженном состоянии, существовал базовый стек основных протоколов, используемых для передачи данных, и этот стек был хорошо изучен. Однако ситуация активно меняется. В частности, в данный момент браузер Chrome уже работает с YouTube, можно сказать, по проприетарному протоколу Google. Разработка подобных протоколов будет становиться еще более динамичной, поскольку это является требованием бизнеса. При этом на данный момент активно возникают вопросы реализации протоколов в качестве инструментов для DDoS-атак", - объясняет Артем Гавриченков.

Директор департамента информационной безопасности компании Oberon Евгений Суханов отмечает существенный рост инцидентов кибербезопасности, связанных с фишингом и попытками компрометации инфраструктуры клиентов для хищения денежных средств. На его взгляд, такая активность связана с актуальной повесткой в вопросах ИТ, а также сжатыми сроками реализации онлайн-услуг, когда вопросам безопасности может быть не уделено должного внимания.

По мнению Евгения Суханова, актуальными сейчас считаются риски, связанные с системами удаленного доступа в инфраструктуру предприятий для удаленной работы и видеоконференцсвязи. "В 2021 г. тренд по рискам и угрозам сохранится. Многие сферы экономики почувствовали профит от реализации цифровой трансформации, и переход в онлайн только ускорится", - прогнозирует Евгений Суханов.

Руководитель отдела экспертного пресейла Solar JSOC компании "Ростелеком-Солар" Алексей Павлов подчеркивает, что в 2020 г. фишинговые письма, ссылки на зараженные веб-сайты и прочие инструменты социальной инженерии стали основными инструментами злоумышленников. "Однако основные риски ИБ в этом году были связаны с переходом на дистанционный режим работы. Так, резко выросло число атак на RDP - протокол удаленного рабочего стола. Основная причина - это увеличение количества опубликованных в сети серверов, используемых для обеспечения удаленного доступа работников. Взломав подобный сервер, хакер получает доступ ко всей инфраструктуре организации. Еще одним фактором риска для бизнеса стали сами сотрудники: в условиях удаленки они пошли на нарушения, на которые не решились бы в офисе - например, кража корпоративной информации, промышленный шпионаж", - рассказал Алексей Павлов. По его оценке, в целом пандемия и массовая цифровизация всех отраслей спровоцировали резкий рост количества атак и активность злоумышленников во всех возможных направлениях.

"Уже сейчас некоторые компании заявили, что сохранят дистанционный режим работы и после пандемии, поэтому мы прогнозируем дальнейшее развитие атак на инфраструктуру удаленного доступа. Кроме того, некоторые компании, традиционно ведущие бизнес офлайн, до сих пор не закрыли те уязвимости, которые сформировались в их ИТ-периметре при спешном переходе в онлайн. Поэтому эксплуатация подобных уязвимостей останется актуальной темой. Скорее всего, продолжится рост количества атак с применением социальной инженерии - примерно на 20-30%. Останется неизменным и тренд на увеличение количества инцидентов с утечками персональных данных из различных баз данных", - считает Алексей Павлов.

Ведущий аналитик "СёрчИнформ" Леонид Чуриков считает, что в 2020 г. для частных лиц самым страшным бичом стал фишинг. "По данным ежегодного отчета Microsoft Digital Defense Report, около 70% всех киберинцидентов за год с сентября 2019 г. по сентябрь 2020 г. пришлись на этот вид мошенничества. В России сильно вырос объем вишинга - телефонного фишинга. Клиенты Сбербанка оставили 3,7 млн жалоб на такие звонки - на 63% больше, чем в 2019 г. Как показывает опрос АНО "Диалог", соцсети - самый опасный канал в плане мошенничества - 55% опрошенных экспертами пожаловались на него. Затем идет телефонное вымогательство - 46%. Средний ущерб от интернет-мошенников оценивают в 20 тыс. руб.", - рассказывает Леонид Чуриков.

Для бизнеса, по его словам, опаснее всего в 2020 г. были программы-шифровальщики и утечки данных по вине сотрудников. "Их в числе самых актуальных называют глобальные аналитические компании, в том числе из Forrester. Атаки вымогателей стали более изощренными: преступники не спешат шифровать данные сразу же после успешной атаки. Они стараются заразить максимальное число компьютеров, чтобы сделать восстановление невозможным и похитить максимум полезной информации. То есть деньги они вымогают не только за расшифровку, но и за удаление похищенной информации. В случае неуплаты выкупа грозятся выложить информацию в общий доступ. И действительно приводят свои угрозы в исполнение. Что касается утечек данных, с ними по нашим оценкам, столкнулось около 60% компаний", - объясняет Леонид Чуриков.

По его прогнозам, в ближайшие несколько лет спрос на ИБ-сервисы будет стабильно расти. "В международной компании Fortinet, в частности, полагают, что рост будет составлять ежегодно не менее 14% и в 2024 г. рынок достигнет $54 млрд", - сообщил Леонид Чуриков. Что касается угроз, то здесь, по его мнению, программы-шифровальщики, социальная инженерия будут оставаться актуальными в 2021 г., но схемы их будут усложняться.

Леонид Чуриков подчеркивает также, что утечки данных остаются главной проблемой. "Появление новых супербаз вроде ЕФИР и баз вроде биометрии банковских клиентов только прибавят головной боли. Поэтому отрадно, что процесс подготовки и утверждения законопроектов, связанных с защитой данных, активизировался. В Госдуму, в частности, уже подан одобренный правительством документ об увеличении штрафов за утечки персданных на порядок. К сожалению, это пока только начало пути. В мире, кстати, ситуация похожая. Forrester предрекает, что регуляторы станут активнее и стоит ожидать удвоения числа судебных исков за утечки", - рассказывает Леонид Чуриков.

Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев сообщил, что в уходящем году многократно выросло число инцидентов с использованием вирусов-вымогателей: хакеры с помощью специального ПО шифруют данные компании-жертвы, после чего требуют выкуп. Причем, по словам Андрея Арсентьева, в этом году хакеры чаще стали использовать тактику двойного выкупа, то есть от компаний требуют заплатить за расшифровку данных, а потом еще внести энную сумму в обмен на гарантии, что украденные данные не будут опубликованы.

Андрей Арсентьев рассказал также, что в 2020 г. конфиденциальная информация в мире чаще всего утекала из хайтек-индустрии, сферы здравоохранения и госсектора, а в России - из хайтек-индустрии, сферы финансов и госсектора. "Есть надежда, что по мере ослабления пандемии в 2021 г. реализация многих процессов в компаниях войдет в нормальное русло и задачи корпоративных ИТ- и ИБ-служб несколько упростятся. К тому же в новом году должен проявиться эффект от решений в области информационной безопасности, которые компании внедряли с учетом складывающегося в пандемию ландшафта угроз. Думаю, организации, которые в 2020 г. решились увеличить бюджет на ИБ, только выиграют. Уровень угроз как внешнего, так и внутреннего характера продолжает нарастать, и сейчас явно не время экономить на средствах защиты", - прогнозирует Андрей Арсентьев.

Глава представительства компании Avast в России и СНГ Алексей Федоров отмечает, что в марте и апреле 2020 г., в первые месяцы пандемии, число атак программ-вымогателей увеличилось на 20% по сравнению с январем и февралем.

Кроме того, по словам Андрея Арсентьева, в течение 2020 г. исследователи фиксировали рост числа атак с использованием протокола RDP - с его помощью распространялись программы-вымогатели. Именно этот протокол ежедневно применяли миллионы человек для удаленного доступа к своему рабочему столу.

Андрей Арсентьев сообщает также, что весной, в начале пандемии, в первую волну самоизоляции эксперты наблюдали рост установок сталкерского ПО. "Можно предположить, что локдаун и рост загрузок этих программ связаны. Обычно сталкерские приложения устанавливают ревнивые партнеры, подозрительные друзья, тревожные родители. Эти программы позволяют просматривать историю браузера, звонки и сообщения. Всего, согласно исследованиям, программы для слежки в марте-июне использовались на 51% чаще, чем в январе-феврале", - объясняет Андрей Арсентьев.

По словам Андрея Арсентьева, в следующем году пользователей будут ждать мошенничества с вакцинацией против COVID-19. Медицинские организации, лаборатории, которые занимаются разработкой вакцин и лекарств, тоже с высокой вероятностью будут подвергаться атакам программ-вымогателей.

"Поскольку количество зараженных пока не сильно уменьшается, многие люди продолжат работать из дома, а значит, их личные и корпоративные данные будут желанной целью для киберпреступников. Мы можем ожидать таргетированных атак через корпоративные VPN и приложения для удаленного доступа к рабочему столу. Популярностью будут пользоваться также дипфейки и их аналоги, которые генерируются искусственным интеллектом. Пока они используются достаточно редко, но технологии быстро развиваются. И последний тренд: если мы говорим о мобильных угрозах, то можно предположить, что главной проблемой будет агрессивное рекламное ПО. Это легкий заработок для хакеров, поэтому не исключено, что в 2021 г. его продолжат активно использовать", - считает Андрей Арсентьев.

Директор департамента проектирования АО НИП "Информзащита" Александр Кузнецов отметил, что основными угрозами в 2020 г. стали угрозы, эксплуатирующие горячую тему COVID-19. "Достаточно распространенным инструментом злоумышленников стали фишинговые атаки. Также мошенники не упустили возможность воспользоваться выходом большинства сотрудников компаний на удаленную работу, в связи с чем сильно возросло количество атак на удаленные рабочие столы. Не обошлось и без проявлений человеческого фактора, повлекшего ряд крупных утечек конфиденциальной информации и персональных данных", - подчеркнул Александр Кузнецов.

По его мнению, основной прогноз на 2021 г. - адаптация компаний к удаленной работе сотрудников, переход с временных решений на постоянные, что приведет к усовершенствованию технологий удаленного доступа и их безопасности, а также к появлению на рынке новых продуктов.

Исполнительный директор компании "Акронис Инфозащита" Елена Бочерова говорит, что среди персональных угроз в 2020 г. можно выделить рост посягательств на персональные данные с помощью технологий фишинга и социальной инженерии, а в корпоративном секторе выросла активность вирусов-шифровальщиков и группировок, которые требуют выкуп за разблокировку данных. "Следует отметить, что все чаще это одновременно блокировка данных и их кража. По данным нашего технологического партнера, компании Acronis, в 2020 г. более 1000 компаний стали жертвами утечки информации после того, как подверглись атаке программ-шифровальщиков, и в следующем году эта тенденция только усилится, потеснив простое шифрование данных", - утверждает Елена Бочерова.

В 2021 г., по ее мнению, нас ожидает еще больший рост киберпреступности и более сложные атаки злоумышленников, которые, например, будут все чаще совмещать шифрование данных и их кражу. "В 2020 г. государство подготовило почву для запуска процессов цифровой трансформации в госорганах и госкомпаниях, при этом главным и самым ценным активом предприятий и организаций становятся данные. К сожалению, кибератаки становятся все более сложными и достигают своих целей. Поэтому будет важным предпринять все возможные меры для обеспечения надежного хранения, резервного копирования и быстрого восстановления данных и ИТ-инфраструктуры. В большинстве случаев это позволяет в случае даже успешной кибератаки минимизировать потери", - считает Елена Бочерова.

Руководитель группы системных инженеров по работе с партнерами Check Point Software Technologies в России Сергей Забула рассказал, что за последние полгода компании в России подвергались кибератакам примерно 689 раз в неделю, в то время как по всему миру среднее число атак на организацию составило 503. При этом, по его словам, самыми активными вредоносными ПО в России стали банковский троян Trickbot и криптомайнер XMRig. Trickbot часто используется для загрузки и распространения других программ-вымогателей.

По оценке Сергея Забула, в 2020 г. атакам были наиболее подвержены сервисы видеоконференций. "Мы фиксировали большое количество фейковых доменов, маскирующихся под Zoom. Еще мы отмечали увеличение атак на стриминговые платформы - например, весной наблюдали значительное увеличение фишинговых атак с использованием Netflix. Киберпреступники создавали сайты, имитирующие оригинальный сайт Netflix. Иногда на таких фейковых сайтах мошенники устанавливали платежные системы, чтобы обмануть людей и получить их деньги и личные данные. Сейчас, думаю, мы можем ожидать увеличение атак на больницы, фармацевтические компании, лаборатории. Учитывая ситуацию с разработкой вакцины, лекарств, они становятся желанными целями для хакеров. Например, по нашим данным, в США в октябре сфера здравоохранения стала главной целью программ-вымогателей", - сообщает Сергей Забула.

По его словам, в 2020 г. не остались в стороне и образовательные учреждения: всего за неделю в августе число кибератак на системы дистанционного обучения выросло на 30%, в том числе и от хакеров-тинейджеров.

Сергей Забула говорит, что в 2021 г. мошенники продолжат атаковать системы дистанционного обучения, использовать новости о вакцине для фишинговых атак и стремиться получить данные из официальных приложений для отслеживания контактов людей. А с более широким распространением сетей 5G устройства интернета вещей станут еще уязвимее и потребуют усиленной защиты.

"Кроме того, дипфейки в следующем году станут полноценным оружием - технология создания фейковых видео и аудио развилась достаточно, чтобы можно было использовать ее для производства контента, способного манипулировать мнением людей, стоимостью акций или чем-нибудь посерьезнее. Так, злоумышленник, используя поддельный голос генерального директора компании, может обмануть программу распознавания голоса и запросить у бухгалтерского отдела перевод денежных средств", - считает Сергей Забула.

Технический директор Trend Micro в России и СНГ Михаил Кондрашин рассказывает, что Trend Micro наблюдает очень много атак на средства удаленной работы. Взрывной рост популярности этих инструментов привел к повышенному вниманию к ним злоумышленников.

Михаил Кондрашин отметил, что в 2020 г. очень активно стал развиваться DevSecOps - технологии безопасности в рамках подходов DevOps. "Также высокий интерес заказчики стали проявлять не столько к продуктам защиты, сколько к инструментам расследования и реакции (xDR). Высокий интерес к облакам в связи с режимом самоизоляции, породил рост интереса к способам защиты данных, переносимых в облако", - рассказывает Михаил Кондрашин.

По словам эксперта, тенденции перехода в облако в следующем году только усилятся, что потребует существенно глубже разбираться с вопросами безопасности в этой новой для многих среде. "Мы также ожидаем, что злоумышленники повысят скорость выпуска инструментов для взлома после открытия очередной уязвимости. При этом появится новая область интереса - открытые программные интерфейсы, безопасности которых до сих пор уделялось недостаточно внимания", - заявил Михаил Кондрашин.

Новости из связанных рубрик