Как личные сведения кубанцев становятся предметом оборота на черном рынке

Краснодар, 11 июня – Юг Times, Виталий Войнович. Как личные сведения кубанцев становятся предметом оборота на черном рынке.

Более 20 тысяч кибератак совершено на промышленные предприятия Краснодарского края и других регионов страны с начала года. Такие данные приводит платформа МТС RED. 

Ежедневно промышленность сталкивалась в среднем примерно со 160 инцидентами кибербезопасности, в том числе 24 критическими. 

- Почти половина всех атак на промышленность пришлась на выходные дни или часы, которые традиционно являются нерабочими, - с 19:00 до 09:00. При этом доля критических инцидентов в ночное время заметно возрастала: с 12% в рабочие часы компаний до 25% - в ночные, - говорится в исследовании МТС RED. Такая активность характерна не только для атак на промышленность, но и в целом для всех угроз. Эксперты объясняют это тем, что в праздничные, выходные дни и ночью IT-персонал либо отсутствует на рабочем месте, либо его количество снижается по сравнению с рабочим временем. То есть велика вероятность, что на угрозу не отреагируют оперативно, это позволит нанести ощутимый ущерб компании, например, зашифровать большее количество данных. 

Атаки усложняются 

По словам эксперта Kaspersky ICS CERT Владимира Дащенко, в первом квартале 2024 года в России вредоносные объекты были заблокированы на 23,6% компьютеров автоматизированных систем управления (комплекс аппаратных и программных средств, предназначенных для управления предприятием, - прим. ред.). 

- По нашим данным, число атак снизилось по сравнению с первым кварталом 2023 года (на 4,3% - с 27,9%). При этом сами атаки становятся все более сложными и таргетированными (атаки на конкретную компанию или человека, - прим. ред.). Тем выше вероятность, что они смогут нанести более серьезный ущерб, даже если случаются реже, - рассказывает эксперт. - В Краснодарском крае автоматизированные системы управления используются в том числе в современном сельскохозяйственном оборудовании, в оснащении транспортных узлов, гостиниц и курортов. Все эти сферы могут быть уязвимы для злоумышленников. 

По данным компании Positive Technologies, среди используемых типов вредоносного программного обеспечения лидирующую позицию занимают программы-шифровальщики. В 2023 году доля атак с их применением составила 57%. Чаще всего жертвами становились медицинские учреждения (18%), организации в сфере науки и образования (14%) и промышленные предприятия (12%). 

Менее защищенный сегмент 

Как рассказал эксперт по информационной безопасности компании Axenix Евгений Качуров, мишенью злоумышленника может стать любой бизнес. Однако средние и крупные предприятия вызывают особый интерес у хакеров в связи с тем, что у таких компаний больше финансовых возможностей и выше риски в случае утечек данных или нарушения доступности сервисов. 

- Злоумышленникам целесообразнее атаковать крупный бизнес. Это выгоднее: за одну атаку можно украсть больше данных, вероятнее, что эти сведения будут более ценными (например, огромные базы клиентов популярных сервисов), за них можно требовать больший выкуп и дороже их продать. К тому же компрометация крупной компании всегда более заметна, это создает шумиху. Так хакеры получают «рекламу», плюс достигается «идеологический» эффект деморализации. Но эти акции требуют серьезной подготовки, времени и вложений. Поэтому порой проще «тренироваться» и атаковать малый и средний бизнес, так как этот сегмент хуже защищен, - объясняет начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд. 

Заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУР Руслан Пермяков отмечает: чаще страдает малый бизнес, так как он все еще игнорирует проблему информационной безопасности. 

- За последние несколько лет увеличилось количество атак на малый бизнес, что связано с ростом числа малых предприятий и недостаточным уровнем их киберзащиты. Крупные компании также остаются целью, но они обычно лучше подготовлены к атакам, - говорит эксперт. Руслан Пермяков добавляет, что в первую очередь под ударом оказываются сферы финансов, здравоохранения, розничной торговли и производства. 

Уязвимое звено 

Алексей Дрозд напоминает, что самым популярным способом проникнуть в инфраструктуру компании-жертвы, чтобы реализовать атаку, является социальная инженерия (манипулирование людьми - прим. ред.). 

- В основном злоумышленники ловят сотрудников через фишинг: например, отправляют им зараженные письма со шпионским программным обеспечением - оно затем «отчитывается» хакерам об уязвимостях в инфраструктуре, которые можно использовать для атаки, или крадет доступы сотрудников к критичным внутренним сервисам, - поясняет собеседник. - Таким образом, самым уязвимым звеном в системе защиты любой компании остается персонал. 

В 2023 году больше половины (57%) атак начинались именно с фишинговых писем, сообщили аналитики Positive Technologies. 

- Чтобы повысить успех своих кампаний, злоумышленники маскируют послания под легитимные, опираясь на эмоции людей, например, отмечают сообщения как срочные или рассылают уведомления о недошедших письмах, которые могут вызвать любопытство. Также рассылка писем может выполняться под видом претензии с требованием возврата средств, - говорится в исследовании Positive Technologies. 

Злоумышленники в своих рассылках могут использовать файловые вложения. Чаще всего киберпреступники распространяют вредоносные программы через архивы с расширением .zip, .rar, .7z и другими. Этот способ позволяет замаскировать вредоносное программное обеспечение под легитимные документы или изображения. Кроме того, злоумышленники нередко используют ссылки в письме, ведущие на вредоносный сайт. 

Необходимо обучать сотрудников, повышая их уровень киберграмотности, считает эксперт по маркетингу FBK Cybersecurity Владимир Першин. 

- В нашей практике бывали случаи, когда даже активность в социальных сетях приводила к нелегитимному доступу к базе данных компании. К примеру, один из сотрудников опубликовал фотографию на фоне компьютера, на котором висел стикер с паролем к его учетной записи, - рассказывает эксперт. 

Цели хакеров 

Обычно злоумышленники охотятся за данными, за продажу которых затем можно выручить деньги, объясняет Алексей Дрозд. 

- Вирусы-шифровальщики недаром также называют «вымогателями»: за дешифровку пораженных данных злоумышленники требуют у компании выкуп, иначе угрожают выложить копию украденной информации в открытый доступ, - говорит начальник отдела информационной безопасности «СерчИнформ». - Однако в последние годы также выросло количество попыток просто «испортить» инфраструктуру или данные, чтобы их невозможно было использовать. Это можно отнести к так называемому хактивизму (попытки обратить внимание общественности на социальные, политические и другие проблемы при помощи кибератак, - прим. ред.). Например, производят DDoS-атаки (перегрузка системы с помощью отправки большого числа запросов - прим. ред.), чтобы сделать сервисы компании недоступными, или удаляют все данные в ее хранилищах, в том числе резервные копии. Задача - остановить работу или, как минимум, нарушить процессы в атакованной организации, лишить ее активов и испортить репутацию. Причины тому, как правило, идеологические. 

По данным компании F.A.C.C.T., количество атак программ-вымогателей для получения выкупа выросло на 160% по итогам 2023 года. Средняя сумма первоначального выкупа составила 53 миллиона рублей. Аналитики отмечают: жертвами чаще всего становились ретейлеры, производственные, строительные, туристические и страховые компании. 

Положительная динамика 

Нередко от кибератак страдает не только бизнес, но и его клиенты. Сегодня в открытом доступе можно найти опубликованные базы данных, которые были получены в результате взлома. На развитии такого черного рынка наживаются и люди, не имеющие отношения к хакерским атакам. К примеру, различные боты в телеграме за фиксированную плату предоставляют доступ к базам данных многих компаний, где можно найти такие сведения клиентов, как номер телефона, адрес проживания и прописки, серия и номер паспорта, информацию о супруге, детях, других родственниках, пароли и так далее. 

- По данным Kaspersky Digital Footprint Intelligence, более 19 миллионов паролей российских пользователей были обнаружены в базах данных, опубликованных в даркнете (сегмент интернета, скрытый из общего доступа, - прим. ред.) и на других специализированных площадках в первом квартале 2024 года. Это в шесть раз больше, чем за аналогичный период 2023 года. В начале этого года злоумышленники выкладывали информацию преимущественно небольших компаний: количество фактов публикаций баз данных крупных организаций уменьшилось в 3 раза. В то же время с января по март 2024 года фиксируется рост объема утекших данных среди представителей малого и среднего бизнеса почти в 4 раза по сравнению с аналогичным периодом 2023 года в этом сегменте, - рассказывает аналитик Kaspersky Digital Footprint Intelligence Игорь Фиц. 

Собеседник подчеркивает: злоумышленники публикуют данные не только с целью заработать, но и в попытке поднять свою репутацию в теневом сообществе.

За всеми важными новостями следите в Telegram, во «ВКонтакте», «Одноклассниках» и на YouTube