Кибератаки на бизнес: 71% связан с вымогательством денег
Эксперт Дмитрий Галов рассказал о дропперах, майнерах и криптоскамах
Кража конфиденциальных данных, вымогательство, фишинг... В 2022 году финансовый ущерб от одной успешной кибератаки на компании малого и среднего бизнеса в мире в среднем составил около 105 тыс. долларов. У крупного бизнеса показатель и вовсе достигал миллиона долларов. О том, какие сектора экономики на сегодня более уязвимы перед кибермошенниками, и какие ошибки допускают казахстанские компании, рассказал эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов.
- Дмитрий, можно ли говорить о том, что количество кибератак на бизнес выросло за последние пару лет? На сколько процентов? Какого характера, профиля эти кибератаки? Есть ли какие-то новые кибератаки, которые вы стали замечать именно в прошлом году или совсем недавно?
- Начнём с того, что сравнение количества атак не всегда даёт полную картину. Показателем может быть не только число детектируемых угроз, но и их ландшафт. Например, в 2022 году наши эксперты обнаружили 122 млн вредоносных объектов в мире, это на 6 млн больше, чем в 2021 году. Безусловно, это говорит о том, что число вредоносов растёт. Но при этом важно также изучать, какие типы угроз являются самими распространенными.
По данным из внешних источников, в прошлом году 71% всех атак на бизнес был связан с финансовой мотивацией злоумышленников. Среди них значительная доля пришлась на инциденты, когда злоумышленники применяли программы-вымогатели. К слову, средний финансовый ущерб от одной успешной кибератаки в сфере малого и среднего бизнеса в 2022 году составил около 105 тыс. долларов, для крупного бизнеса – до одного миллиона долларов.
Несмотря на то, что вымогатели по сути своей являются финансово мотивированными, мы фиксировали и такие случаи – когда злоумышленники использовали такие вредоносы для деструктивных действий. То есть безвозвратно удаляли данные или шифровали их, не выдвигали никаких требований, пытаясь остановить полностью или хотя бы нарушить деятельность компании. В отдельных случаях требования все же выдвигались, но имели не финансовый, а политический характер, подобные случаи можно уже отнести к, так называемому, хактивизму.
При этом для среднего и крупного бизнеса также были актуальны атаки, направленные на кражу конфиденциальных данных. К примеру, те же программы-вымогатели в большинстве своём используют двойную схему шантажа, когда злоумышленники сначала крадут данные, а потом их шифруют. Таким образом, у злоумышленников появляются два рычага давления на жертву. Первый – требование выплаты выкупа в обмен на расшифровку данных. Второй – шантаж жертвы тем, что украденные данные могут быть проданы или слиты в открытый доступ. Это может быть слив как персональных данных клиентов, так и внутренних разработок. Как это было, к примеру, в случаях со сливами исходных кодов различных игр.
В случаях, связанных с кражей персональных данных, злоумышленники в дальнейшем зачастую используют их для фишинга, телефонного мошенничества. А это в свою очередь порождает рост рисков для домашних пользователей. К примеру, доля пользователей в Казахстане, получавших звонки от телефонных спамеров, росла всю осень и в ноябре прошлого года достигла почти 63%. Не только нежелательные, но и мошеннические звонки получали 39% пользователей.
Крупные сливы баз пользователей у компаний – это не единственная угроза с точки зрения безопасности персональных данных. К примеру, существует такой вид услуг, предоставляемых киберпреступниками, как «пробив» – целенаправленный поиск данных по конкретному человеку в определенных закрытых источниках. Согласно нашим последним исследованиям в этой области, стоимость подобных услуг может варьироваться от 20 до 700 долларов и более, в зависимости от источника данных и объёма необходимой информации.
В Казахстане мы встречали неподтвержденные предложения «пробива» данных о людях в базах мобильных операторов, ЗАГСов, МВД, налоговой. Неподтвержденные означает, что по этим данным невозможно сказать, какие из предложений являются настоящими, то есть у злоумышленников действительно есть способ получить неправомерный доступ к базе данных некоторой организации, в том числе, с использованием инсайдера внутри неё, а какие являются просто мошенническими.
- Расскажите о кибератаках со стороны майнеров. Что они из себя представляют, как компании смогут себя от них обезопасить?
- Действительно, для Казахстана актуальны такие вредоносные программы, как майнеры. Если говорить про статистику по миру, то в третьем квартале 2022 года были обнаружены более 150 тыс. новых модификаций криптомайнеров. Это в три раза больше, чем за аналогичный период в прошлом году. Если посмотреть на статистику по Казахстану, то можно сказать, что число атак с использованием таких программ с июля по сентябрь 2022 года достигло почти 600 тыс. Казахстан при этом стал вторым по проценту атакованных криптомайнерами пользователей.
Наиболее популярной криптовалютой у майнеров в третьем квартале оказалась Monero (XMR). Её добывали около половины (48%) проанализированных образцов ПО для скрытого майнинга. Monero известна тем, что данные о транзакции с её использованием анонимизируются, то есть нельзя определить адреса кошельков, суммы, баланс и историю транзакций.
Столкнуться с майнерами человек может на сайтах, где распространяют пиратский контент — фильмы, музыку, игры, различные программы. Также злоумышленники используют незакрытые уязвимости. По данным «Лаборатории Касперского», почти в каждой шестой атаке с эксплуатацией широко известных уязвимостей происходило и заражение майнером. Если в первом полугодии с помощью уязвимостей чаще распространялись бэкдоры и вымогатели, то в третьем квартале перевес пришелся на вымогателей и майнеры.
Для защиты от криптомайнеров «Лаборатория Касперского» рекомендует не скачивать программы с подозрительных сайтов, а использовать официальные версии программ, установить надёжное защитное решение, своевременно обновлять приложения и операционные системы на всех устройствах, чтобы уязвимостями в них не смогли воспользоваться злоумышленники.
- Дмитрий, какие сектора экономики сейчас более уязвимы перед кибермошенниками? С чем это связано?
- На самом деле для злоумышленников нет различий с точки зрения отраслей, есть разная мотивация: финансовая прибыль, кибершпионаж, хактивизм и так далее. Важно отметить, что независимо от направления деятельности компании, угрозам подвергается не только крупный бизнес, но и малый, и средний бизнес. К примеру, небольшие организации, если они являются поставщиками ИТ-решений для корпораций, тоже под прицелом ― их могут использовать для проникновения в инфраструктуру крупной компании с помощью так называемых атак на цепочки поставок.
- Какие ошибки обычно допускают казахстанские компании? В чем-то они, возможно, не перестраховываются?
- Главная проблема – это человеческий фактор, потому что именно он зачастую приводит к получению первоначального доступа к инфраструктуре компании-жертвы. Примерами могут быть переходы сотрудников по фишинговым ссылкам, неправильное использование систем удалённого доступа, слабые пароли.
- Как вы считаете, какие кибератаки будут набирать популярность в ближайшие годы? С чем это связано? Какие тенденции будут прослеживаться в будущем на рынке кибербезопасности?
- Растёт популярность криптовалют и, как следствие, будет увеличиваться объём криптоскама. По-прежнему мишенями злоумышленников будут пользователи, которые начинают покупать и использовать криптовалюты и NFT. Атакующие будут пытаться эксплуатировать уязвимые смарт-контракты.
5G открывает огромные возможности для мира IoT. При этом у злоумышленников появляется больше возможностей для создания ботнетов для проведения DDoS-атак. Ещё одним риском является большее количество собираемых пользовательских данных. Так же не стоит забывать про то, что данная технология позволит более точно определять геолокацию абонента.
У многих кибергрупп есть собственное вредоносное ПО, но его недостаточно. Злоумышленники заинтересованы в загрузчиках и дропперах — инструменты, которые позволяют кибермошенникам доставлять вредоносное ПО на устройство пользователя. Такие программы стали ходовым товаром в целой индустрии «Вредоносное ПО как услуга». Также инструменты для сокрытия программ и обхода обнаружения нетиповых угроз и целевых атак – это то, на чем будут фокусироваться разработчики вредоносных загрузчиков в 2023 году.