© 1995-2023 Компания «Инфосистемы Джет»
Актуальные ИБ угрозы в 2022 г. глазами Jet CSIRT
Информационная безопасность Информационная безопасность

Динамика роста ИБ-инцидентов за последние месяцы? Кто стоит за этими киберпреступлениями? Что делать, чтобы подготовиться к актуальным угрозам?

Главная>Информационная безопасность>«Самое страшное уже позади, а самое сложное — впереди»: угрозы 2022 глазами Jet CSIRT
Информационная безопасность Тема номера

«Самое страшное уже позади, а самое сложное — впереди»: угрозы 2022 глазами Jet CSIRT

21.09.2022

Посетителей: 332

Просмотров: 288

Время просмотра: 2.3

Авторы

Автор
Алексей Мальнев Руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT

 

Динамика роста ИБ-инцидентов за последние месяцы?

 

Кто стоит за этими киберпреступлениями?

 

Что делать, чтобы подготовиться к актуальным угрозам?

 

Что сильнее всего бросается в глаза в последние месяцы — существенный, если не сказать беспрецедентный рост кибератак в феврале–марте. Одновременно с этим значительно сместились профиль типового источника угроз («Threat Actors», т. е. группировки, которые совершают атаки) и фокус деятельности злоумышленников. Изменилась и их мотивация, которая влияет на применяемые техники и тактики.

Наш анализ основан на мониторинге командой Jet CSIRT потока входящих ИБ-событий от наших клиентов. Интенсивность — до 200 000 событий в секунду (и показатель продолжает расти), причем мы получаем данные из всех отраслей: государственных и финансовых организаций, транспортных и агропромышленных предприятий, ритейла, производства. Параллельно взаимодействуем с ведущими CERT-командами и дополняем наше видение ситуации глобальным и региональным контекстом.

 

Мы давно наблюдаем стабильный рост числа кибератак — в среднем на 20–40% ежегодно. Интенсивность некоторых угроз, например, шифровальщиков, могла увеличиваться на сотни процентов в год (особенно в период их расцвета, 2017–2018 гг., что даже ознаменовало создание отдельной киберпреступной отрасли Ransomware-as-a-Service). Проще говоря, тренд на постоянный рост кибератак для нас привычен: по данным Jet CSIRT, за последние 10 лет их стало в сотни раз больше.


Однако сейчас, сравнивая архивные данные и период, который начался в конце февраля 2022 г., мы видим впечатляющую динамику роста инцидентов всего за месяц (!):

 

  • DDoS — в 5–10 раз;
  • Deface (попытки изменения кода web-ресурсов) — в 3–4 раза;
  • таргетированные APT-атаки — в 2 раза.


Подобное усложнение обстановки по атакам (от 100 до 500% и выше) характерно для нескольких лет поступательного развития киберпреступных отраслей, но никак не для нескольких недель. Возникает вопрос: откуда у злоумышленников столько ресурсов и почему этого не происходило раньше? Если силы и средства для реализации подобных атак были, логично было бы их использовать…

Что происходит?


Отмечу, что мы всегда наблюдали прямую корреляцию между серьезными общественно-политическими событиями и быстрореализуемыми кибератаками. В первую очередь, конечно, по DDoS. Считается, что цель подобных атак — «положить» социально значимые сервисы, чтобы создать панику среди населения и посеять хаос. Однако в данном случае (судя по спискам атакованных организаций) злоумышленники также стремятся нарушить работу целых отраслей экономики.


Теперь вернемся к «Threat Actors» — типовым источникам угроз. Deface-атаки, к примеру, обычно применяют хактивисты, которые хотят славы. Другие угрозы, более характерные для обычных периодов жизни, в основном реализуют злоумышленники, которых интересуют деньги. А сейчас мы наблюдаем беспрецедентный рост активности государственных киберподразделений и группировок, работающих по их заказу. Именно такие команды вполне могут тщательно скрывать свои ресурсы и возможности до часа Х.

 

Главная опасность в том, что цели и задачи подобных группировок могут быть совершенно неочевидны. При этом подготовка к проникновению в инфраструктуру жертвы может длиться до нескольких лет. Добавляем сюда эффективные средства реализации атаки, достаточно высокие компетенции злоумышленников, доступ ко всем необходимым ресурсам, помощь смежных команд (включая разведку, агентурную сеть и др.) и получаем сложные в обнаружении и крайне опасные таргетированные APT-атаки.


Есть серьезные предпосылки к тому, что в ближайшие месяцы или кварталы мы увидим реализацию атак, подготовка к которым началась после 24 февраля. Вполне возможно, самое страшное уже позади, а самое сложное — впереди.

Кто и как атакует бизнес сегодня


В части DDoS очень заметна активность группировки Anonymous и IT Army of Ukraine. Они координируют усилия и реализуют атаки по заранее подготовленным спискам российских ресурсов. В части Ransomware злоумышленники фокусируются именно на российских организациях (вплоть до проверки IP-адреса жертвы — находится ли она в РФ). Заметен тренд на переход к русскоязычному интерфейсу зловредов, кроме того, теперь жертвы далеко не всегда получают какие-либо требования. Иногда ключа дешифровки в принципе нет — данные крадутся и уничтожаются в политических целях. Среди ярких примеров — кампании Freeud Wiper и RURansom Wiper: жертвы выбираются по региональному признаку, атакуются только российские компании.


Для реализации таргетированных APT-атак активно применяются методы социальной инженерии. Причем злоумышленники тонко используют актуальный для России контекст: политические вопросы, санкции и т. д. Актуальный пример — вредоносные кампании ZexCone и IAmTheKing. Но стоит отметить, что на России свет клином все же не сошелся. «Традиционные» таргетированные атаки (например, со стороны группировки Lazarus) по-прежнему актуальны и опасны. Злоумышленники периодически меняют тактику и поддерживают активность во всем мире.


К слову, наиболее популярные векторы проникновения не изменились. Это социальная инженерия (через фишинг или вложения в электронной почте) и атака внешнего периметра — через эксплуатацию уязвимостей или подбор паролей. На эти категории угроз приходится порядка 90% значимых инцидентов.

 

Вместо заключения


Что делать бизнесу в этих условиях? Традиционно рекомендуем начать с базовых вещей: это повышение осведомленности пользователей и качественная превентивная защита периметра и хостов (хотя бы антивирус). Кроме того, все более актуальным становится мониторинг ИБ-инцидентов, причем как внутри инфраструктуры (с помощью CSIRT или SOC), так и снаружи. «Внешний» мониторинг в том числе подразумевает анализ поверхности атаки (через какие точки может быть скомпрометирована инфраструктура, какие векторы атак возможны) и киберразведку по более широкому спектру угроз. В ближайшие годы все это станет такой же неотъемлемой частью ИБ-ландшафта, как и нынешние базовые механизмы защиты.

Уведомления об обновлении тем – в вашей почте

Новый подход к защите информации — системы обнаружения компьютерных угроз

Системы обнаружения сетевых вторжений и выявления признаков компьютерных атак на информационные системы уже давно применяются как один из необходимых рубежей обороны информационных систем.

Как сотрудники компаний относятся к биометрии: исследование «Инфосистемы Джет»

Отечественный бизнес все чаще использует биометрические данные для идентификации сотрудников. Мы провели исследование и выяснили отношение россиян к этой тенденции.

Программно-технологическая безопасность информационных систем

Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности -:   необходимо гарантировать непрерывность и корректность функционирования важнейших ...

Кто виноват и что делать: о чем спорили участники форума DLP+

Как государство мотивирует бизнес защищать информацию клиентов? Кто должен нести ответственность за утечки? Что общего у производителей топоров и DLP-систем?

Сервер аутентификации Kerberos

Идентификация и проверка подлинности пользователей (аутентификация) — это основное средство защиты информационных систем от одной из главных угроз — постороннего вмешательства. Если у злоумышленника нет средств для нелегального доступа, возможности ...

«Хакеры не работают с 9 до 18»: как прошел SOC-Форум 2022

Почему отрасли нельзя расслабляться? В какую сторону развиваются отечественные ИБ-решения? Кого будут атаковать уже завтра?

Информационная безопасность - обзор основных положений. Часть 3

Деятельность любой организации подвержена множеству рисков. Нас будут интересовать те из них, которые являются следствием использования информационных технологий.  Управление рисками   Суть работы по управлению рисками состоит в том, чтобы ...

Информационная безопасность 1996: обзор

Людям нравится перспектива — и пространственная, и временная. Может быть, по этой причине каждый год многие из нас оглядываются назад, на прошедшие 12 месяцев, и вспоминают, что изменилось за это время в области их профессиональных интересов. В ...

Философия защиты

В данной статье автор предлагает читателям задуматься о том, в какую сторону развивается наша индустрия, а также берет на себя смелость изложить свои соображения по поводу того, как направить это развитие в конструктивное русло.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня