Актуальные ИБ угрозы в 2022 г. глазами Jet CSIRT
Информационная безопасность Информационная безопасность

Динамика роста ИБ-инцидентов за последние месяцы? Кто стоит за этими киберпреступлениями? Что делать, чтобы подготовиться к актуальным угрозам?

Главная>Информационная безопасность>«Самое страшное уже позади, а самое сложное — впереди»: угрозы 2022 глазами Jet CSIRT
Информационная безопасность Тема номера

«Самое страшное уже позади, а самое сложное — впереди»: угрозы 2022 глазами Jet CSIRT

Дата публикации:
21.09.2022
Посетителей:
232
Просмотров:
195
Время просмотра:
2.3

Авторы

Автор
Алексей Мальнев Руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT

 

Динамика роста ИБ-инцидентов за последние месяцы?

 

Кто стоит за этими киберпреступлениями?

 

Что делать, чтобы подготовиться к актуальным угрозам?

 

Что сильнее всего бросается в глаза в последние месяцы — существенный, если не сказать беспрецедентный рост кибератак в феврале–марте. Одновременно с этим значительно сместились профиль типового источника угроз («Threat Actors», т. е. группировки, которые совершают атаки) и фокус деятельности злоумышленников. Изменилась и их мотивация, которая влияет на применяемые техники и тактики.

Наш анализ основан на мониторинге командой Jet CSIRT потока входящих ИБ-событий от наших клиентов. Интенсивность — до 200 000 событий в секунду (и показатель продолжает расти), причем мы получаем данные из всех отраслей: государственных и финансовых организаций, транспортных и агропромышленных предприятий, ритейла, производства. Параллельно взаимодействуем с ведущими CERT-командами и дополняем наше видение ситуации глобальным и региональным контекстом.

 

Мы давно наблюдаем стабильный рост числа кибератак — в среднем на 20–40% ежегодно. Интенсивность некоторых угроз, например, шифровальщиков, могла увеличиваться на сотни процентов в год (особенно в период их расцвета, 2017–2018 гг., что даже ознаменовало создание отдельной киберпреступной отрасли Ransomware-as-a-Service). Проще говоря, тренд на постоянный рост кибератак для нас привычен: по данным Jet CSIRT, за последние 10 лет их стало в сотни раз больше.


Однако сейчас, сравнивая архивные данные и период, который начался в конце февраля 2022 г., мы видим впечатляющую динамику роста инцидентов всего за месяц (!):

 

  • DDoS — в 5–10 раз;
  • Deface (попытки изменения кода web-ресурсов) — в 3–4 раза;
  • таргетированные APT-атаки — в 2 раза.


Подобное усложнение обстановки по атакам (от 100 до 500% и выше) характерно для нескольких лет поступательного развития киберпреступных отраслей, но никак не для нескольких недель. Возникает вопрос: откуда у злоумышленников столько ресурсов и почему этого не происходило раньше? Если силы и средства для реализации подобных атак были, логично было бы их использовать…

Что происходит?


Отмечу, что мы всегда наблюдали прямую корреляцию между серьезными общественно-политическими событиями и быстрореализуемыми кибератаками. В первую очередь, конечно, по DDoS. Считается, что цель подобных атак — «положить» социально значимые сервисы, чтобы создать панику среди населения и посеять хаос. Однако в данном случае (судя по спискам атакованных организаций) злоумышленники также стремятся нарушить работу целых отраслей экономики.


Теперь вернемся к «Threat Actors» — типовым источникам угроз. Deface-атаки, к примеру, обычно применяют хактивисты, которые хотят славы. Другие угрозы, более характерные для обычных периодов жизни, в основном реализуют злоумышленники, которых интересуют деньги. А сейчас мы наблюдаем беспрецедентный рост активности государственных киберподразделений и группировок, работающих по их заказу. Именно такие команды вполне могут тщательно скрывать свои ресурсы и возможности до часа Х.

 

Главная опасность в том, что цели и задачи подобных группировок могут быть совершенно неочевидны. При этом подготовка к проникновению в инфраструктуру жертвы может длиться до нескольких лет. Добавляем сюда эффективные средства реализации атаки, достаточно высокие компетенции злоумышленников, доступ ко всем необходимым ресурсам, помощь смежных команд (включая разведку, агентурную сеть и др.) и получаем сложные в обнаружении и крайне опасные таргетированные APT-атаки.


Есть серьезные предпосылки к тому, что в ближайшие месяцы или кварталы мы увидим реализацию атак, подготовка к которым началась после 24 февраля. Вполне возможно, самое страшное уже позади, а самое сложное — впереди.

Кто и как атакует бизнес сегодня


В части DDoS очень заметна активность группировки Anonymous и IT Army of Ukraine. Они координируют усилия и реализуют атаки по заранее подготовленным спискам российских ресурсов. В части Ransomware злоумышленники фокусируются именно на российских организациях (вплоть до проверки IP-адреса жертвы — находится ли она в РФ). Заметен тренд на переход к русскоязычному интерфейсу зловредов, кроме того, теперь жертвы далеко не всегда получают какие-либо требования. Иногда ключа дешифровки в принципе нет — данные крадутся и уничтожаются в политических целях. Среди ярких примеров — кампании Freeud Wiper и RURansom Wiper: жертвы выбираются по региональному признаку, атакуются только российские компании.


Для реализации таргетированных APT-атак активно применяются методы социальной инженерии. Причем злоумышленники тонко используют актуальный для России контекст: политические вопросы, санкции и т. д. Актуальный пример — вредоносные кампании ZexCone и IAmTheKing. Но стоит отметить, что на России свет клином все же не сошелся. «Традиционные» таргетированные атаки (например, со стороны группировки Lazarus) по-прежнему актуальны и опасны. Злоумышленники периодически меняют тактику и поддерживают активность во всем мире.


К слову, наиболее популярные векторы проникновения не изменились. Это социальная инженерия (через фишинг или вложения в электронной почте) и атака внешнего периметра — через эксплуатацию уязвимостей или подбор паролей. На эти категории угроз приходится порядка 90% значимых инцидентов.

 

Вместо заключения


Что делать бизнесу в этих условиях? Традиционно рекомендуем начать с базовых вещей: это повышение осведомленности пользователей и качественная превентивная защита периметра и хостов (хотя бы антивирус). Кроме того, все более актуальным становится мониторинг ИБ-инцидентов, причем как внутри инфраструктуры (с помощью CSIRT или SOC), так и снаружи. «Внешний» мониторинг в том числе подразумевает анализ поверхности атаки (через какие точки может быть скомпрометирована инфраструктура, какие векторы атак возможны) и киберразведку по более широкому спектру угроз. В ближайшие годы все это станет такой же неотъемлемой частью ИБ-ландшафта, как и нынешние базовые механизмы защиты.

Уведомления об обновлении тем – в вашей почте

«Эффект зарубежного банка»: Росбанк в новой ИБ-реальности

Почему уход западных вендоров не сильно повлиял на Росбанк? Как изменилась ИБ-стратегия банка в связи с кризисом? «Серые носороги» на российском рынке ИБ?

Информационная безопасность - обзор основных положений. Часть 2

Руководящие документы по защите от несанкционированного доступа Гостехкомиссии при Президенте РФ  В 1992 году Гостехкомиссия при Президенте РФ опубликовала пять Руководящих документов, посвященных проблеме защиты от несанкционированного доступа ...

SOC за четыре недели? А что, так можно было?

Что такое «быстро SOC»? Создание базовой конфигурации решения. Кейс «100 дней на SOC с нуля».

AntiFraud Russia: математика против мошенников

Как технологии ML и Big Data помогают выявлять телефонный спам? Какие антифрод-сервисы предоставляют заказчикам телеком-операторы?

Решения Hewlett Packard для защиты информацион ных систем

Современные компании все шире внедряют корпоративные информационные системы (КИС) в свою деятельность. Это позволяет повысить эффективность деятельности за счет использования более оперативной и полной информации внутри компании, а также ...

Мошенничество в программах лояльности

Почему мошенников привлекают программы лояльности? Как похищают бонусные баллы? Этапы создания защищенного онлайн-сервиса?

Обеспечение информационной безопасности в вычислительных комплексах на базе мэйнфреймов

Лет 30-40 назад информационные системы строились только на базе мэйнфреймов. Соответственно, архитектура информационной системы, как правило, была централизованной. Затем наступила эра малых машин, распределенных архитектур обработки ...

«Мы пережили ИТ-вивисекцию»: о чем говорили на CISO FORUM

На какие риски ИБ нужно обратить внимание прямо сейчас? О чем стоит подумать перед разработкой собственного ИТ-продукта? Удовлетворяют ли российские ИБ-решения мировым стандартам?

"Лаборатория Касперского" и "Инфосистемы Джет": опыт совместного внедрения системы антивирусной безопасности в Министерстве Российской Федерации по налогам и сборам

Компьютерные вирусы, сетевые черви, троянские программы и хакерские атаки давно перестали ассоциироваться с фантастическими боевиками голливудского производства. Компьютерная "фауна", хулиганство и преступления — сейчас это обыденные явления, с ...

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня