Актуальные ИБ угрозы в 2022 г. глазами Jet CSIRT
Информационная безопасность Информационная безопасность

Динамика роста ИБ-инцидентов за последние месяцы? Кто стоит за этими киберпреступлениями? Что делать, чтобы подготовиться к актуальным угрозам?

Главная>Информационная безопасность>«Самое страшное уже позади, а самое сложное — впереди»: угрозы 2022 глазами Jet CSIRT
Информационная безопасность Тема номера

«Самое страшное уже позади, а самое сложное — впереди»: угрозы 2022 глазами Jet CSIRT

Дата публикации:
21.09.2022
Посетителей:
236
Просмотров:
198
Время просмотра:
2.3

Авторы

Автор
Алексей Мальнев Руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT

 

Динамика роста ИБ-инцидентов за последние месяцы?

 

Кто стоит за этими киберпреступлениями?

 

Что делать, чтобы подготовиться к актуальным угрозам?

 

Что сильнее всего бросается в глаза в последние месяцы — существенный, если не сказать беспрецедентный рост кибератак в феврале–марте. Одновременно с этим значительно сместились профиль типового источника угроз («Threat Actors», т. е. группировки, которые совершают атаки) и фокус деятельности злоумышленников. Изменилась и их мотивация, которая влияет на применяемые техники и тактики.

Наш анализ основан на мониторинге командой Jet CSIRT потока входящих ИБ-событий от наших клиентов. Интенсивность — до 200 000 событий в секунду (и показатель продолжает расти), причем мы получаем данные из всех отраслей: государственных и финансовых организаций, транспортных и агропромышленных предприятий, ритейла, производства. Параллельно взаимодействуем с ведущими CERT-командами и дополняем наше видение ситуации глобальным и региональным контекстом.

 

Мы давно наблюдаем стабильный рост числа кибератак — в среднем на 20–40% ежегодно. Интенсивность некоторых угроз, например, шифровальщиков, могла увеличиваться на сотни процентов в год (особенно в период их расцвета, 2017–2018 гг., что даже ознаменовало создание отдельной киберпреступной отрасли Ransomware-as-a-Service). Проще говоря, тренд на постоянный рост кибератак для нас привычен: по данным Jet CSIRT, за последние 10 лет их стало в сотни раз больше.


Однако сейчас, сравнивая архивные данные и период, который начался в конце февраля 2022 г., мы видим впечатляющую динамику роста инцидентов всего за месяц (!):

 

  • DDoS — в 5–10 раз;
  • Deface (попытки изменения кода web-ресурсов) — в 3–4 раза;
  • таргетированные APT-атаки — в 2 раза.


Подобное усложнение обстановки по атакам (от 100 до 500% и выше) характерно для нескольких лет поступательного развития киберпреступных отраслей, но никак не для нескольких недель. Возникает вопрос: откуда у злоумышленников столько ресурсов и почему этого не происходило раньше? Если силы и средства для реализации подобных атак были, логично было бы их использовать…

Что происходит?


Отмечу, что мы всегда наблюдали прямую корреляцию между серьезными общественно-политическими событиями и быстрореализуемыми кибератаками. В первую очередь, конечно, по DDoS. Считается, что цель подобных атак — «положить» социально значимые сервисы, чтобы создать панику среди населения и посеять хаос. Однако в данном случае (судя по спискам атакованных организаций) злоумышленники также стремятся нарушить работу целых отраслей экономики.


Теперь вернемся к «Threat Actors» — типовым источникам угроз. Deface-атаки, к примеру, обычно применяют хактивисты, которые хотят славы. Другие угрозы, более характерные для обычных периодов жизни, в основном реализуют злоумышленники, которых интересуют деньги. А сейчас мы наблюдаем беспрецедентный рост активности государственных киберподразделений и группировок, работающих по их заказу. Именно такие команды вполне могут тщательно скрывать свои ресурсы и возможности до часа Х.

 

Главная опасность в том, что цели и задачи подобных группировок могут быть совершенно неочевидны. При этом подготовка к проникновению в инфраструктуру жертвы может длиться до нескольких лет. Добавляем сюда эффективные средства реализации атаки, достаточно высокие компетенции злоумышленников, доступ ко всем необходимым ресурсам, помощь смежных команд (включая разведку, агентурную сеть и др.) и получаем сложные в обнаружении и крайне опасные таргетированные APT-атаки.


Есть серьезные предпосылки к тому, что в ближайшие месяцы или кварталы мы увидим реализацию атак, подготовка к которым началась после 24 февраля. Вполне возможно, самое страшное уже позади, а самое сложное — впереди.

Кто и как атакует бизнес сегодня


В части DDoS очень заметна активность группировки Anonymous и IT Army of Ukraine. Они координируют усилия и реализуют атаки по заранее подготовленным спискам российских ресурсов. В части Ransomware злоумышленники фокусируются именно на российских организациях (вплоть до проверки IP-адреса жертвы — находится ли она в РФ). Заметен тренд на переход к русскоязычному интерфейсу зловредов, кроме того, теперь жертвы далеко не всегда получают какие-либо требования. Иногда ключа дешифровки в принципе нет — данные крадутся и уничтожаются в политических целях. Среди ярких примеров — кампании Freeud Wiper и RURansom Wiper: жертвы выбираются по региональному признаку, атакуются только российские компании.


Для реализации таргетированных APT-атак активно применяются методы социальной инженерии. Причем злоумышленники тонко используют актуальный для России контекст: политические вопросы, санкции и т. д. Актуальный пример — вредоносные кампании ZexCone и IAmTheKing. Но стоит отметить, что на России свет клином все же не сошелся. «Традиционные» таргетированные атаки (например, со стороны группировки Lazarus) по-прежнему актуальны и опасны. Злоумышленники периодически меняют тактику и поддерживают активность во всем мире.


К слову, наиболее популярные векторы проникновения не изменились. Это социальная инженерия (через фишинг или вложения в электронной почте) и атака внешнего периметра — через эксплуатацию уязвимостей или подбор паролей. На эти категории угроз приходится порядка 90% значимых инцидентов.

 

Вместо заключения


Что делать бизнесу в этих условиях? Традиционно рекомендуем начать с базовых вещей: это повышение осведомленности пользователей и качественная превентивная защита периметра и хостов (хотя бы антивирус). Кроме того, все более актуальным становится мониторинг ИБ-инцидентов, причем как внутри инфраструктуры (с помощью CSIRT или SOC), так и снаружи. «Внешний» мониторинг в том числе подразумевает анализ поверхности атаки (через какие точки может быть скомпрометирована инфраструктура, какие векторы атак возможны) и киберразведку по более широкому спектру угроз. В ближайшие годы все это станет такой же неотъемлемой частью ИБ-ландшафта, как и нынешние базовые механизмы защиты.

Уведомления об обновлении тем – в вашей почте

«Эффект зарубежного банка»: Росбанк в новой ИБ-реальности

Почему уход западных вендоров не сильно повлиял на Росбанк? Как изменилась ИБ-стратегия банка в связи с кризисом? «Серые носороги» на российском рынке ИБ?

Новые приоритеты в информационной безопасности США

Трагические события, которые произошли в США 11 сентября 2001 года и повергли в шок весь мир, вновь напомнили человечеству об обратной стороне технического прогресса. Варварские террористические акты, совершенные группой террористов-смертников ...

Кибератаки на критическую инфраструктуру — миф или реальность?

Число кибератак на промышленные системы растет. Если недавно эта проблема носила умозрительный характер, сейчас она приобрела реальные очертания. Причем нарушение промышленной безопасности чревато последствиями, далеко выходящими за рамки финансового ущерба и потери деловой репутации.

Информационная безопасность в Интранет: концепции и решения

В соответствии с , под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или ...

Интервью Алексея Комкова, Технического директора компании "Лаборатория Касперского"

Интервью Комкова Алексея, технического директора компании "Лаборатория Касперского" информационному бюллетеню "Jet ...

Философия защиты

В данной статье автор предлагает читателям задуматься о том, в какую сторону развивается наша индустрия, а также берет на себя смелость изложить свои соображения по поводу того, как направить это развитие в конструктивное русло.

«Наша задача — сделать атаку максимально дорогой и сложной для злоумышленника»

О векторах угроз ИБ, подходах к защите и других вопросах ИБ мы беседуем с Сергеем Невструевым, руководителем направления защиты от угроз «нулевого дня» компании Check Point SoftwareTechnologies в Восточной Европе.

129

О лицензировании и сертификации в области защиты информации

Не проходящий и не снижающийся интерес к проблемам лицензирования и сертификации в области защиты информации, несмотря на относительно большой объем публикаций по данному вопросу, объясняется тем, что происходящие в стране процессы существенно ...

Задание: шпионаж

Я положил перед сидевшим молча президентом полную инструкцию по изготовлению самого важного из продуктов, разрабатываемых его компанией. Президент продолжал молчать, когда на его стол лег развернутый план разработок компании. Президент откинулся на ...

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня