как взламывали хакеры
IT / Статьи
информбезопасность экспертная колонка
12.7.2022

Кибератаки на любой вкус

Кого и как взламывали хакеры в первом квартале этого года

Сегодня редкая корпоративная стратегия не учитывает внедрение цифровых технологий. Но этот вектор, отражая технический прогресс, имеет и оборотную сторону. О том, какие тренды в проведении атак киберпреступников были отмечены в первом квартале 2022 года, читателям RSpectr рассказала аналитик исследовательской группы Positive Technologies Екатерина Семыкина.

КУДА БЬЮТ ХАКЕРЫ

Согласно отчету нашей компании, количество атак злоумышленников за январь-март 2022 года увеличилось почти на 15% по сравнению с IV кварталом 2021 года. Чаще всего им подвергались государственные и медицинские учреждения, промышленные предприятия.

Если говорить о последних, то масштабные атаки были направлены на различные отрасли. Злоумышленникам удалось украсть конфиденциальную информацию (в 47% случаев) или же временно остановить работу, нанеся серьезный ущерб бизнесу и производству (в 35% случаев). Более трети атак в отношении промышленных организаций пришлось на нефтегазовые и энергетические компании.

Настоящая классика никогда не выходит из моды.

Как и раньше, хакеры чаще всего доставляют вредоносное программное обеспечение (ВПО) с помощью электронной почты

Этот метод используется в 52% атак на организации. Например, специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировали рассылку с опасным вложением, которое выглядело как уведомление о мероприятиях, проводимых РКН. На самом деле в документ был встроен вредоносный элемент управления. Хакеры эксплуатировали уязвимость CVE-2021-40444 и загружали Cobalt Strike Beacon на устройство.

По похожему методу строились атаки на российские научные предприятия. Сотрудникам приходила рассылка с предложением изучить список лиц, оказавшихся под санкциями. Пользователи открывали документ с вредоносным макросом, а тот помогал загрузчику попасть на устройство.

Через электронную почту распространялись и программы-шифровальщики (в 34% атак в I квартале). Как понятно из названия, эти вредоносы шифруют файлы так, что ими невозможно воспользоваться. Затем их создатели требуют за расшифровку выкуп.

Большая часть атак шифровальщиков была направлена на медучреждения

Зачастую эти организации не отличаются высоким уровнем защищенности, а ценной информации с личными данными у них достаточно.

СЕРЬЕЗНЫЕ ПОСЛЕДСТВИЯ

Иногда поврежденные данные невозможно восстановить. Часто это происходит после атак вайперов. Это вид вредоносного ПО, которое уничтожает данные жертвы. В I квартале хакеры использовали вайперы при атаках на организации в 3% случаев. «Стиратели» действовали хитро и беспощадно. В некоторых случаях они имитировали атаку типичного шифровальщика. Жертвам были оставлены сообщения с информацией о выкупе, однако ключи дешифрования им так и не приходили. Надо ли говорить, что все данные были уничтожены безвозвратно.

Вайперы могут проникать в систему самыми разными способами: например, через вложения, распространяемые через электронную почту, через контактные формы на сайтах организаций. Или с помощью, казалось бы, надежных ресурсов. Все мы помним, как в марте разработчик node-ipc, популярного пакета npm, выпустил версии библиотеки, при исполнении которых на компьютерах пользователей удалялись и перезаписывались все данные.

В конце января дочерние компании немецкой группы Marquard & Bahls, которые обеспечивают топливом множество заправочных станций страны, подверглись атаке программы-вымогателя. Последствия взлома могли запустить цепную реакцию – острая нехватка бензина создает риски возникновения кризиса в отрасли и экономике в целом. В конечном счете пострадали бы и простые люди.

Человеческие жизни могли оказаться под угрозой и в результате атак на предприятия энергетического сектора

Злоумышленники использовали специализированное вредоносное ПО TRITON, способное привести к сбоям в работе систем противоаварийной защиты. Это могло не только повредить бизнесу, но и привести даже к травмам или жертвам среди персонала – в случае невозможности безопасного отключения технологических систем.

Целью злоумышленников в I квартале становились и российские агропромышленные предприятия: в марте «Мираторг» был атакован шифровальщиком BitLocker, а завод «Тавр» в Ростовской области даже временно остановил работу из-за кибератаки. Чуть ранее злоумышленники пытались испортить 40 тонн замороженной мясной и рыбной продукции в агрохолдинге «Селятино»: они получили доступ к системам предприятия и изменили температурный режим хранения. К счастью, служба безопасности своевременно обнаружила атаку.

Такие удары могут стать для бизнеса поистине катастрофическими и привести к оттоку клиентов, потерям проектов и денег. Защититься от атак злоумышленников поможет соблюдение основных правил корпоративной кибербезопасности. Мы советуем разработчикам ПО контролировать конфигурацию сред разработки, проверять безопасность используемых библиотек и собственного кода. А от вредоносного ПО помогут «песочницы» – это специальная виртуальная среда, где можно проанализировать поведение файлов и выявить вредоносную активность. Фокус внимания нужно также направить на изоляцию критически важных систем и защиту хранилищ резервных копий данных. Это поможет избежать недопустимых для компании последствий.

Изображение: RSpectr, Adobe Stock, Freepik

Еще по теме

Почему растет значимость Data Protection Officer в организациях

Восемь шагов при выборе роутера для работы из дома

Стандарт подтверждения подлинности видео предотвратит распространение ложной информации в Сети

Требования об использовании только отечественного софта планируют распространить на всех владельцев КИИ

В РФ возрождается производство микросхем

Как операторы данных будут избегать наказания за утечки

IT-отрасль видит риски в упрощении регистрации продуктов в реестре российского ПО

Как настроить и запустить процессную аналитику в компании

Как бороться с закладками в программном обеспечении

Целесообразно ли выделение ИБ в отдельную отрасль?

Новые технологии для микросхем позволят вырваться в лидеры

В 2021 году в мире было совершено свыше миллиарда атак на IoT-системы

Будущее искусственного интеллекта и как начать работать в этой сфере

Производители средств сетевой защиты РФ в новой парадигме информбезопасности

Новый проект в сфере подготовки кадров поможет развитию инновационных производств страны