29.01.2021
Массовая удаленка привлекала внимание цифрового криминального сообщества к новым «жертвам». Зачем тратить силы, время и деньги на тех, кто вкладывает миллионы в свою безопасность, когда можно взломать тех, кто к этому не готов?
Массовая удаленка привлекала внимание цифрового криминального сообщества к новым «жертвам». Зачем тратить силы, время и деньги на тех, кто вкладывает миллионы в свою безопасность, когда можно взломать тех, кто к этому не готов?
В прямом эфире «Цифровой среды» мы поговорили со Станиславом Фесенко, руководителем департамента системных решений Group-IB, о том, как поменялся мир киберпреступности за последний год и что нас ждет в ближайшем будущем.
Если вы пропустили встречу, смотрите запись.
Для тех, кто спешит, коротко о главном.
Причина 1 – падение экономики. Чем хуже экономика, тем больше преступлений.
Причина 2 – массовое использование в бизнес-процессах удаленного доступа к инфраструктуре компании. До локдауна VPN-доступы предоставлялись только нескольким десяткам сотрудников компании, как правило, сотрудникам IT-департамента, администраторам системы. С переходом на удаленку эти инструменты стали доступны практически каждому работнику. Однако тот же рядовой бухгалтер реже думает о цифровой безопасности и гигиене своего поведения в Сети. При этом его аккаунт вполне может стать «окном входа» в компанию для злоумышленников.
Причина 3 – спонтанный и быстрый переход на удаленку. Те средства, которые используются для организации удаленной работы, нужно правильно конфигурировать, настраивать и выстраивать вокруг них системы безопасности: систему обнаружения вторжений, поведенческого анализа файлов, различные разграничения маршрутизации, разграничения политик предоставления доступа и т.д. Но в условиях цейтнота на это банально не хватало ресурсов.
В нашем отчете Hi-Tech Crime Trends 2020 четко прослеживается снижение интереса злоумышленников и кибергруппировок к финансовому сектору и банкам, микрофинансам. Это связано с тем, что эти компании много инвестировали в создание безопасности, то есть стоимость атаки становится высокой, а окупаемость таких вредоносных действий снижается. Таким образом, злоумышленники смещают вектор своих интересов в другие отрасли, такие как топливно-энергетический комплекс, производственная промышленность и государственные предприятия. У них есть что украсть в плане данных, доступа, и преступники используют новые схемы монетизации.
Есть такое понятие «пентест» – тестирование на проникновение. Это комплекс услуг, направленный на поиск извне уязвимостей систем защиты, которые не должны позволить злоумышленнику проникнуть в инфраструктуру. Пентестеры занимаются поиском возможных способов проникновения, закрепления там, поиска уязвимого сетевого оборудования, эксплуатацией этих уязвимостей, получением доступа к тем системам и базам данных, к которым никто не должен иметь доступ. После работы они предоставляют полноценную историю того, как они этот доступ получили, и предлагают блок рекомендаций, как обезопасить компанию от этого.
По статистике, порядка 80% жертв кибератак за последние два года подверглись атакам вирусов-шифровальщиков. Более 60% заплатили выкуп преступникам, и самое интересное, что 30% тех, кто получил ключи для дешифровки, так и не смогли восстановить данные. Это связано с тем, что сами злоумышленники вредоносное обеспечение с нуля не разрабатывают. Они находят людей, которые этим занимаются, и готовят «продукт» под конкретную жертву. Поэтому такие люди особо не заморачиваются с тем, чтобы корректно работали алгоритмы для дешифровки.
Однозначно трендом этого года будут коллаборации преступных группировок, каждая из которых специализируется в разных направлениях (например, шифровальщики и троянские программы). Они проводят совместные атаки, используя свои сильные стороны. В 2020 году мы видели коллаборацию, которую было невозможно атрибутировать с одной преступной ячейкой. Мы пришли к выводу, что злоумышленники начинают сотрудничать друг с другом.
