Актуальные ИБ угрозы в 2022 г. глазами Jet CSIRT
Информационная безопасность Информационная безопасность

Динамика роста ИБ-инцидентов за последние месяцы? Кто стоит за этими киберпреступлениями? Что делать, чтобы подготовиться к актуальным угрозам?

Главная>Информационная безопасность>«Самое страшное уже позади, а самое сложное — впереди»: угрозы 2022 глазами Jet CSIRT
Информационная безопасность Тема номера

«Самое страшное уже позади, а самое сложное — впереди»: угрозы 2022 глазами Jet CSIRT

Дата публикации:
21.09.2022
Посетителей:
236
Просмотров:
198
Время просмотра:
2.3

Авторы

Автор
Алексей Мальнев Руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT

 

Динамика роста ИБ-инцидентов за последние месяцы?

 

Кто стоит за этими киберпреступлениями?

 

Что делать, чтобы подготовиться к актуальным угрозам?

 

Что сильнее всего бросается в глаза в последние месяцы — существенный, если не сказать беспрецедентный рост кибератак в феврале–марте. Одновременно с этим значительно сместились профиль типового источника угроз («Threat Actors», т. е. группировки, которые совершают атаки) и фокус деятельности злоумышленников. Изменилась и их мотивация, которая влияет на применяемые техники и тактики.

Наш анализ основан на мониторинге командой Jet CSIRT потока входящих ИБ-событий от наших клиентов. Интенсивность — до 200 000 событий в секунду (и показатель продолжает расти), причем мы получаем данные из всех отраслей: государственных и финансовых организаций, транспортных и агропромышленных предприятий, ритейла, производства. Параллельно взаимодействуем с ведущими CERT-командами и дополняем наше видение ситуации глобальным и региональным контекстом.

 

Мы давно наблюдаем стабильный рост числа кибератак — в среднем на 20–40% ежегодно. Интенсивность некоторых угроз, например, шифровальщиков, могла увеличиваться на сотни процентов в год (особенно в период их расцвета, 2017–2018 гг., что даже ознаменовало создание отдельной киберпреступной отрасли Ransomware-as-a-Service). Проще говоря, тренд на постоянный рост кибератак для нас привычен: по данным Jet CSIRT, за последние 10 лет их стало в сотни раз больше.


Однако сейчас, сравнивая архивные данные и период, который начался в конце февраля 2022 г., мы видим впечатляющую динамику роста инцидентов всего за месяц (!):

 

  • DDoS — в 5–10 раз;
  • Deface (попытки изменения кода web-ресурсов) — в 3–4 раза;
  • таргетированные APT-атаки — в 2 раза.


Подобное усложнение обстановки по атакам (от 100 до 500% и выше) характерно для нескольких лет поступательного развития киберпреступных отраслей, но никак не для нескольких недель. Возникает вопрос: откуда у злоумышленников столько ресурсов и почему этого не происходило раньше? Если силы и средства для реализации подобных атак были, логично было бы их использовать…

Что происходит?


Отмечу, что мы всегда наблюдали прямую корреляцию между серьезными общественно-политическими событиями и быстрореализуемыми кибератаками. В первую очередь, конечно, по DDoS. Считается, что цель подобных атак — «положить» социально значимые сервисы, чтобы создать панику среди населения и посеять хаос. Однако в данном случае (судя по спискам атакованных организаций) злоумышленники также стремятся нарушить работу целых отраслей экономики.


Теперь вернемся к «Threat Actors» — типовым источникам угроз. Deface-атаки, к примеру, обычно применяют хактивисты, которые хотят славы. Другие угрозы, более характерные для обычных периодов жизни, в основном реализуют злоумышленники, которых интересуют деньги. А сейчас мы наблюдаем беспрецедентный рост активности государственных киберподразделений и группировок, работающих по их заказу. Именно такие команды вполне могут тщательно скрывать свои ресурсы и возможности до часа Х.

 

Главная опасность в том, что цели и задачи подобных группировок могут быть совершенно неочевидны. При этом подготовка к проникновению в инфраструктуру жертвы может длиться до нескольких лет. Добавляем сюда эффективные средства реализации атаки, достаточно высокие компетенции злоумышленников, доступ ко всем необходимым ресурсам, помощь смежных команд (включая разведку, агентурную сеть и др.) и получаем сложные в обнаружении и крайне опасные таргетированные APT-атаки.


Есть серьезные предпосылки к тому, что в ближайшие месяцы или кварталы мы увидим реализацию атак, подготовка к которым началась после 24 февраля. Вполне возможно, самое страшное уже позади, а самое сложное — впереди.

Кто и как атакует бизнес сегодня


В части DDoS очень заметна активность группировки Anonymous и IT Army of Ukraine. Они координируют усилия и реализуют атаки по заранее подготовленным спискам российских ресурсов. В части Ransomware злоумышленники фокусируются именно на российских организациях (вплоть до проверки IP-адреса жертвы — находится ли она в РФ). Заметен тренд на переход к русскоязычному интерфейсу зловредов, кроме того, теперь жертвы далеко не всегда получают какие-либо требования. Иногда ключа дешифровки в принципе нет — данные крадутся и уничтожаются в политических целях. Среди ярких примеров — кампании Freeud Wiper и RURansom Wiper: жертвы выбираются по региональному признаку, атакуются только российские компании.


Для реализации таргетированных APT-атак активно применяются методы социальной инженерии. Причем злоумышленники тонко используют актуальный для России контекст: политические вопросы, санкции и т. д. Актуальный пример — вредоносные кампании ZexCone и IAmTheKing. Но стоит отметить, что на России свет клином все же не сошелся. «Традиционные» таргетированные атаки (например, со стороны группировки Lazarus) по-прежнему актуальны и опасны. Злоумышленники периодически меняют тактику и поддерживают активность во всем мире.


К слову, наиболее популярные векторы проникновения не изменились. Это социальная инженерия (через фишинг или вложения в электронной почте) и атака внешнего периметра — через эксплуатацию уязвимостей или подбор паролей. На эти категории угроз приходится порядка 90% значимых инцидентов.

 

Вместо заключения


Что делать бизнесу в этих условиях? Традиционно рекомендуем начать с базовых вещей: это повышение осведомленности пользователей и качественная превентивная защита периметра и хостов (хотя бы антивирус). Кроме того, все более актуальным становится мониторинг ИБ-инцидентов, причем как внутри инфраструктуры (с помощью CSIRT или SOC), так и снаружи. «Внешний» мониторинг в том числе подразумевает анализ поверхности атаки (через какие точки может быть скомпрометирована инфраструктура, какие векторы атак возможны) и киберразведку по более широкому спектру угроз. В ближайшие годы все это станет такой же неотъемлемой частью ИБ-ландшафта, как и нынешние базовые механизмы защиты.

Уведомления об обновлении тем – в вашей почте

Информационная безопасность 1996: обзор

Людям нравится перспектива — и пространственная, и временная. Может быть, по этой причине каждый год многие из нас оглядываются назад, на прошедшие 12 месяцев, и вспоминают, что изменилось за это время в области их профессиональных интересов. В ...

AntiFraud Russia: математика против мошенников

Как технологии ML и Big Data помогают выявлять телефонный спам? Какие антифрод-сервисы предоставляют заказчикам телеком-операторы?

Защита от несанкционированного доступа к информации

Настоящий Руководящий документ (РД) устанавливает классификацию программного обеспечения (ПО) (как отечественного, так и импортного производства) средств защиты информации (СЗИ), в том числе и встроенных в общесистемное и прикладное ПО, по ...

«Карл у Клары украл кораллы»: Road Show SearchInform 2022

ИБ-тренды 2022. Кейс: как поймать инсайдера, который сливает информацию конкурентам?

Доверенные центры как звено системы обеспечения безопасности корпоративных информационных ресурсов

Гостехкомиссия России: точка зрения на техническую защиту информации   Интервью советника председателя Гостехкомиссии России Арнольда Петровича Каландина бюллетеню Jet Info   Расскажите, пожалуйста, об истории и нынешнем статусе ...

«Мы возвращаемся, но в параллельное русло»: информационная безопасность в «Русагро»

Как «Русагро» готовится к таргетированным атакам? Успевают ли ИБ-специалисты спать во время кризиса? Какие вызовы встанут перед отраслью в ближайшие годы?

Цифровизация промышленных активов и ИБ-риски

Уровни зрелости компаний в части управления промышленными системами. ИБ-проблемы промышленных систем.

О лицензировании и сертификации в области защиты информации

Не проходящий и не снижающийся интерес к проблемам лицензирования и сертификации в области защиты информации, несмотря на относительно большой объем публикаций по данному вопросу, объясняется тем, что происходящие в стране процессы существенно ...

"Лаборатория Касперского" и "Инфосистемы Джет": опыт совместного внедрения системы антивирусной безопасности в Министерстве Российской Федерации по налогам и сборам

Компьютерные вирусы, сетевые черви, троянские программы и хакерские атаки давно перестали ассоциироваться с фантастическими боевиками голливудского производства. Компьютерная "фауна", хулиганство и преступления — сейчас это обыденные явления, с ...

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня