В 2022 году произошли определенные политические изменения, которые значительно отразились на киберпространстве. Во-первых, отечественные компании подверглись массовым кибератакам. Как следствие, организации, которые ранее не задумывались об обеспечении полноценной информационной безопасности, стали обращаться к услугам центров мониторинга (Security Operations Center) – по данным экспертов, спрос на расследование инцидентов в 2022 году значительно вырос. К слову, в 2023 году специалисты по ИБ ожидают существенный рост количества кибератак, а также их значительное усложнение со стороны злоумышленников. В результате будет наблюдаться усиление требований регуляторов (Банк России, Роскомнадзор, ФСТЭК РФ, ФСБ РФ) относительно обеспечения кибербезопасности. Во-вторых, вследствие западных санкций российский рынок покинули зарубежные вендоры, поэтому отечественным производителям и интеграторам пришлось срочно решать вопрос с импортозамещением. Сложность этой задачи заключается в отсутствии сформировавшейся российской ИТ-инфраструктуры. На решение этого вопроса могут уйти годы.
С конца февраля эксперты по информационной безопасности наблюдали всплеск DDoS-атак на российские организации – их число, мощность и продолжительность увеличились до 10 раз. Особенно злоумышленников интересовали банки, государственные учреждения, ритейл и СМИ. Например, количество DDoS-атак на финансовый сектор выросло более чем в 20 раз по сравнению с началом 2022 года. Пик атак пришелся на март, когда количество инцидентов выросло в несколько раз по сравнению с началом года и в несколько десятков раз по сравнению с аналогичным периодом 2021-го. Интенсивность и продолжительность тоже выросла – средняя продолжительность атак в первом квартале 2022 года превышала сутки, тогда как в тот же период 2021 года этот показатель был в районе 15 минут.
Кроме того, поменялся характер атак. В масштабной киберкампании участвовали не только профессиональные хакеры, но и хактивисты – пользователи, которые не умеют проводить сложные атаки. Они запускали специальные команды на своих компьютерах, атаковали организации с помощью ботнетов, с арендованных VPS, распространяли приложения, атакующие ресурсы из заданного списка от имени пользователя. Активность хактивистов обычно сопровождается поиском инсайдеров, с помощью которых можно легко проникнуть в инфраструктуру компании. Всплеск инсайдерских предложений в даркнете и в публичном поле (например, в телеграм-каналах) специалисты наблюдали весной.
Если говорить о целевых атаках (таргетированных), то их количество в первом квартале 2022 года увеличилось примерно на 15-20% по сравнению с последним кварталом 2021 года. Их проводят профессиональные хакеры, использующие инструменты, которые разрабатывались для аудита безопасности – metasploit, cobalt strike и другие. Иногда злоумышленники применяли для атак средства антивирусной защиты. Наш опыт показывает, что ключевыми векторами проникновения по-прежнему остаются социальная инженерия и взлом внешнего периметра организаций.
В конце февраля эксперты «Информзащиты» заметили существенный рост фейковой информации об утечках и кибератаках. В пример приводились те самые громкие «атаки» на СМИ, о которых сообщалось во всех новостных сводках. По своей сути это были не совсем атаки, поясняли специалисты интегратора. По их информации, злоумышленники с помощью трекера подменили первые страницы сайтов медиа, при этом сами информационные системы не были затронуты.
В первом квартале 2022 года аналитики «Информзащиты» предупреждали о росте мошенничеств с программами лояльности. По данным экспертов, из-за злонамеренных действий с бонусными картами российские ритейлеры каждый месяц теряют по несколько миллионов рублей. Аналитики интегратора заявляли, что эта тенденция будет сохраняться и в дальнейшем, так как все больше брендов внедряют программы лояльности для своих потребителей.
Весной среди хакеров начала набирать популярность фишинговая атака «браузер в браузере» (browser-in-the-browser, BitB). При такой кибератаке создается полностью поддельное окно браузера, включая значки доверия. Исследователи в области информационной безопасности выражали опасения, что атака browser-in-the-browser будет активно применяться в сфере рекламы.
Помимо того, продолжился рост числа мошенничеств с QR-кодами. Наиболее часто преступники распространяли фейковые QR-коды через приложения в Google Play; рекламные листовки; меню заведения, в котором практикуется расчет с QR-кодом; банковские страницы с оплатой; поддельные парковочные талоны; изображения с QR-кодами; фейковые сайты портала «Госуслуг»; адресную книгу. Эксперты интегратора рекомендовали компаниям использовать программное обеспечение мобильной безопасности, которое включает в себя сканер QR-кодов.
Также, по данным «Информзащиты» за 2022 год, более 30% от общего числа киберинцидентов пришлось на атаки через веб-приложения. Хакеры используют уязвимости в коде приложения, чтобы получить доступ к базам, которые содержат конфиденциальные данные. Злоумышленники крадут эти данные, а затем используют их в качестве выкупа или перепродают на черном рынке.
Наконец, эксперты «Информзащиты» сообщали о распространении новых тактик тройного вымогательства. Киберпреступники добиваются так называемого хет-трика со службами вымогателей, сочетая их с кражей данных и DDoS-атаками. Такая схема повышает вероятность выплаты выкупа. Во-первых, злоумышленник подтверждает, что он представляет серьезную угрозу для компании. А, во-вторых, постоянное давление на организацию – еще один фактор стресса для службы безопасности, которая уже вложила много ресурсов в первые два инцидента, связанные с действиями шифровальщиков и кражей данных. Наряду со всем этим группировки хакеров с каждым годом становятся более организованнее, многие работают на совершенно новом уровне профессионализма и дисциплины.