Коронавирус, хакеры и немного психологии

2020 г. принес компаниям всего мира уникальный опыт перехода на дистанционный режим работы. По статистике количество кибератак в мире в прошлом году выросло в 1,5 раза по сравнению с 2019 годом, 86% из них были направлены на организации, такие данные приводит Positive Technologies. С нарушениями информационной безопасности со стороны сотрудников столкнулось 88% российских компаний, говорится в исследовании SearchInform, и в трети случаев такие инциденты привели к финансовому ущербу.

Киберугроза – в беспечности сотрудников

С началом пандемии количество кибератак на юридических лиц выросло на 600%, следует из отчета специализирующейся на информационной безопасности американской компании Purplesec. В отчете анализируются данные по США, но аналитики отмечают, что рост киберугроз – общемировой тренд. 

Причинами атак стали недостаточная защищенность сервисов организаций, которые оказались уязвимы для проникновения злоумышленников, работа на недостаточно защищенных устройствах плюс неготовность сотрудников компаний противостоять социальной инженерии, которую умело используют злоумышленники.

Хакеры активизировали атаки на компании еще в начале 2020 г., согласно исследованию Научно-технического центра Главного радиочастотного центра (находится в подчинении Роскомнадзора). Так, за первое полугодие 2020 г. количество атак на компании – объекты критической инфраструктуры в России выросло на 40%. А в первом полугодии 2021 г. их количество увеличилось еще в 1,5 раза. Как следует из исследования, в первую очередь хакеры атаковали государственные органы, промышленные предприятия, а также компании, работающие в сфере науки и образования.

Количество атак на промышленные предприятия в мире выросло за год на 91%, согласно исследованию Positive Technologies за 2020 г.: семь из 10 атак носили целенаправленный характер. В топ-3 потенциальных жертв, по данным экспертов этой компании, вошли государственные учреждения (19%), промышленные компании (12%) и медицинские организации (9%). Еще буквально пару лет назад главной целью злоумышленников были в основном банки и вывод оттуда средств, сейчас же охота идет не только за деньгами, но и за информацией или же цель атак – парализация деятельности компаний. 

Эксперты указывают: во многих случаях слабым звеном, через которое злоумышленникам удается проникнуть в компанию, становятся ее собственные сотрудники. 98% кибератак так или иначе основано на социальной инженерии, отмечает американская ID Agent. Она проанализировала инциденты, произошедшие с ее клиентами в США, но отметила, что все они характерны и для других стран. 

Так, 45% сотрудников компаний открывают подозрительные электронные письма «на всякий случай, если это важно». А 47% сотрудников компаний – клиентов ID Agent назвали отвлечение внимания злоумышленниками основным фактором, из-за которого они не смогли обнаружить попытки фишинга. 

«Пандемия создала огромное количество инфоповодов, которые мошенники стали использовать для фишинговых атак. Например, злоумышленники рассылали сотрудникам организаций письма, в которых было написано, что в связи с пандемией они могут получить какие-то налоговые льготы или доплаты от своей компании, государства либо от банка, через который они получают зарплату. Для этого необходимо нажать на ссылку и ввести какие-то данные. В тот период, когда тема коронавируса заполонила наши умы, многие сотрудники открывали такие ссылки», – рассказал «Ведомости&» руководитель по облачным платформам и инфраструктурным решениям «Мегафона» Александр Осипов (подробнее см. интервью).

Средние потери от кибератаки с использованием социальной инженерии, по данным ID Agent, составляют $130 000. Согласно исследованию Positive Technologies, в атаках текущего года в 71% случаев основными векторами доставки вредоносного ПО была электронная почта, социальная инженерия в атаках на компании используется в 55% случаев. Фишинг в атаках на компании использовался в 74% случаев, в 20% случаев – атаки на веб-приложения, свидетельствуют данные Solar JSOC, исследующей российскую практику.

По словам управляющего RTM Group Евгения Царева, их компания проводила пентесты на проникновение в инфраструктуру среди сотрудников региональных банков. Результат оказался удручающим: 50% работников кредитных организаций в ходе киберучений открыли опасное письмо. 

Учим уроки прошлых атак

2020-й и западные, и отечественные эксперты по информационной безопасности уверенно называют годом вирусов шифровальщиков-вымогателей. 

«Шифровальщик действует по проверенному сценарию: шифрует данные жертвы, удаляя оригиналы файлов, а затем требует круглую сумму в качестве выкупа, – рассказывает директор центра компетенций «Гарда технологии» Роман Жуков. – Наиболее часто такой вирус распространяется через фишинговые письма, который открывают сотрудники компании». Чтобы восстановить работоспособность сервисов, хакеры предлагают перевести выкуп в криптовалюте, как правило в биткойнах, продолжил эксперт. Восстановить данные, не имея резервных копий, по его словам, невозможно.

Ярким примером атаки с использованием шифровальщика в 2020 г. стала атака на компанию Garmin, одного из крупнейших производителей GPS-навигаторов и умных часов из США, говорит Жуков. Вечером 22 июля прошлого года сервис Garmin Connect, предназначенный для синхронизации данных о физической активности владельцев умных часов, оказался полностью недоступен. Возникли перебои в работе сайта компании, была парализована работа службы поддержки. Причиной стала хакерская атака на компанию с использованием шифровальщика – вымогателя WastedLocker. Злоумышленники запросили у компании выкуп в $10 млн, и компания заплатила за дешифратор. 

Еще один популярный в 2020 г. шифровальщик – Netwalker распространялся исключительно с использованием фишинговых писем сотрудникам потенциальных жертв. Тематика сообщений – коронавирус, во вложении к письму – вредоносное программное обеспечение (ПО). 

По оценкам экспертов, на долю шифровальщика Netwalker пришлось более 10% всех хищений средств от подобного типа атак. Письма с вредоносным ПО атаковали логистических гигантов, промышленные концерны, энергетические корпорации и другие крупные организации. Всего за несколько месяцев 2020 г. выручка преступников превысила $25 млн, по данным компании McAfee, которая изучила шифровальщик, отследила биткойн-кошельки хакеров и подсчитала, сколько они зарабатывают. Использовать вредоносное ПО для вымогательства мог даже начинающий хакер. Владельцы Netwalker распространяли вирус по своего рода франшизе, раздавая его бесплатно с инструкциями по применению. В случае успешной атаки они забирали себе около 30% прибыли, следует из сообщений Kaspersky Team. 

Для успешной работы злоумышленники создали специальный сайт, где автоматически публиковали всю похищенную информацию по истечении срока, назначенного на выплату выкупа. 

В 2020 г. впервые зафиксирован случай смерти человека из-за действий вируса-вымогателя. Осенью 2020 г. шифровальщики атаковали Университетскую клинику в Дюссельдорфе, парализовав ее деятельность. Больница не могла принимать пациентов и переправляла их в другие учреждения. Это стоило жизни женщине, нуждающейся в срочной медицинской помощи: она скончалась по дороге в другую больницу. Клиника официально сообщила, что причина смерти – шифровальщик, парализовавший работу больницы. 

Самое печальное, что на сегодня компании просто не готовы противостоять подобным атакам, отмечает Purplesec. Опрос специалистов по информационной безопасности, который компания провела в 2020 г., показал, что половина из них не уверены, что смогут отразить атаку с использованием вирусов-вымогателей. Среди атакованных в 2020 г. в США организаций 75% использовали самые современные защитные средства информационной безопасности, но человеческий фактор свел всю защиту к нулю.

Еще один громкий кейс прошлого года – успешная атака на IТ-компанию SolarWinds, а затем и ее клиентов. Злоумышленники взломали этого производителя ПО и внедрили вредоносное обновление в программу Orion. При загрузке обновления злоумышленники получили доступ к сетям клиентов SolarWinds. Среди пострадавших – FireEye, минфин США, Национальное управление по телекоммуникациям и информации США (NTIA), государственный департамент США, национальные институты здоровья (NIH) (часть министерства здравоохранения США), министерство внутренней безопасности США (DHS), министерство энергетики США (DOE), Национальное управление ядерной безопасности США (NNSA), некоторые штаты США (конкретные штаты не разглашаются), Microsoft, Cisco. Приводились данные о пострадавших 18 000 клиентах SolarWinds, среди которых были и специализирующиеся на информационной безопасности. 

Эксперты сходятся во мнении, что тренд по атаке компании для проникновения в инфраструктуру его контрагентов, в первую очередь с помощью электронных писем, будет только нарастать. В частности, крупнейший в США разработчик ПО для виртуализации VMware в своем отчете указал, что на сегодня минимум половина атак нацелена на цепочку контрагентов взломанной компании. 

«Атаки, когда взламывается контрагент, а через него уже идет проникновение через дружеское письмо, не редкость и для нашей страны, – указывает глава службы информационной безопасности Росгосстрахбанка Иван Шубин. – Примеры подобных атак были при проникновении в компании разных отраслей, включая кредитные организации». Он напомнил громкий случай с атакой на банк «Юнистрим», когда, по данным газеты «Коммерсантъ», получившие доступ к почтовому серверу банка злоумышленники разослали фишинговые письма его партнерам. Сам банк подтвердил одну из атак (источники «Коммерсанта» говорили о двух), но указал, что существенного ущерба банк не понес. «Наличие атаки никто не отрицает, но это не значит, что она была успешной», – цитировал представителя банка «Коммерсантъ». 

Как защититься

Как отмечает в своем исследовании Purplesec, ситуация с кибератаками в мире уже вынудила США ужесточить требования к информационной безопасности юридических лиц. Штат Мэриленд, например, даже будет выплачивать компаниям компенсацию в $2500 для повышения уровня защищенности (обычно это покупка софта, обучение и проч. – «Ведомости&»). У малого бизнеса нет средств на информационную безопасность, объясняют эксперты Purplesec в исследовании. Они уверены, что в ближайшее время инвестиции в кибербезопасность станут приоритетным направлением для любого бизнеса. Совокупный размер мирового рынка кибербезопасности в 2020 г. составил $167 млрд и будет расти до 2028 г. на 11% ежегодно, прогнозирует Grand View Research.

Это весьма возможно, так как все больше компаний готово инвестировать в информбезопасность. Проведенный аудиторской компанией «большой четверки» PwC глобальный опрос 3249 компаний показал, что 96% компаний в России и в мире намерены скорректировать стратегию обеспечения кибербезопасности в связи с пандемией. При этом более половины опрошенных намерены увеличивать бюджеты на информбезопасность.

По мнению экспертов, крайне важно для повышения защищенности не только инвестировать в так называемые софт и железо, но и проводить работу с персоналом. «Для повышения киберзащищенности компании необходимо проводить киберучения, в ходе которых разъяснять, как распознать подозрительное письмо, как перепроверять информацию, по каким каналам безопасно взаимодействовать с коллегами», – указывает Шубин.

«Сотрудники компаний чаще становятся жертвами мошенников, а не соучастниками преступлений. Конечно, таких сотрудников нужно дополнительно мотивировать все-таки соблюдать элементарные правила информационной безопасности. Но любая утечка – это повод для компании задуматься о том, все ли сотрудники понимают, как нужно действовать в той или иной ситуации», – полагает Осипов из «Мегафона». 

Проблема в том, отметил Шубин, что обычно сотрудники компании просто не представляют, какой ущерб могут нанести те или иные их непродуманные действия, отсутствие представлений об элементарной цифровой гигиене. Например, согласно опросу аналитического центра «Альфастрахования», скриншоты с рабочей перепиской в мессенджеры отправляют 60% россиян. По данным «Лаборатории Касперского», 59% россиян используют личную почту для решения рабочих вопросов, 55% общаются по работе в мессенджерах. Естественно, что привыкший к подобному общению сотрудник банка легко может открыть письмо «с личного ящика» коллеги.

В итоге, по данным ID Agent, эффективность целевых атак на компании с использованием фишинга и социальной инженерии – порядка 80%, при этом в 45% случаях открывшие опасное письмо или ссылку сотрудники компании не сообщают руководству о сделанном из страха лишиться премии или потерять работу. В связи с этим ID Agent рекомендует не просто проводить учения, но и заставить каждого сотрудника почувствовать себя частью команды информационной безопасности, защищающей компанию от злоумышленников.