2023/12/21 14:54:30

Киберпреступность в мире

Состояние киберпреступности в различных регионах мира

Содержание

Основная статья: Информационная безопасность

Что такое киберпреступность

Основная статья: Киберпреступность

Киберпреступность – незаконные, противоправные действия, которые осуществляются людьми, использующими информационно-телекоммуникационные технологии, компьютеры и компьютерные сети для преступных целей.

Кибервойны между странами

Информация о соглашениях об электронном ненападении, а также о киберконфликтах между странами, выделена в отдельную статью:

Киберпреступность в коммерческом секторе

Обзор событий киберпреступности в банковской сфере вынесен в отдельную статью:

Потери от киберпреступности

Обзор потерь мировой экономики от киберпреступности в статье:

Расценки пользовательских данных

Анализ условий работы хакеров в статье

Кибератаки

Виды кибератак и обзор ключевых событий.

2023

Интерпол арестовал 3500 человек и $300 млн в 34 странах по делу о глобальной сети кибепреступников

19 декабря 2023 года Интерпол сообщил о том, что в ходе масштабной международной операции по борьбе с финансовыми преступлениями в интернете арестованы 3500 подозреваемых. При этом конфискованы активы на сумму приблизительно $300 млн в 34 странах.

В антипреступной кампании продолжительностью около полугода (с июля по декабрь 2023-го) приняли участие Австралия, Камбоджа, Гонконг, Индия, Индонезия, Ирландия, Япония, Малайзия, Нигерия, Пакистан, Филиппины, Сингапур, Южная Африка, Испания, Швеция, Таиланд, ОАЭ, Британия, США и другие государства. Целью операции стала борьба с семью видами кибермошенничества: это голосовой фишинг, обман в романтической сфере, вымогательство в интернете, инвестиционные преступления, отмывание денег на рынке незаконных азартных игр, мошенничество с компрометацией деловой электронной почты и мошенничество в коммерческой области.

Интерпол сообщил об аресте 3500 подозреваемых в рамках международной операции по борьбе с финансовыми преступлениями в интернете

По итогам проведенных мероприятий правоохранительные органы заблокировали 82 112 подозрительных банковских счетов, конфисковав в общей сложности $199 млн в обычных деньгах и примерно $101 млн в виде виртуальных активов. Отмечается, что на долю инвестиционного мошенничества, компрометации деловой электронной почты и мошенничества в электронной коммерции пришлось приблизительно 75% всех расследованных инцидентов.

Работая совместно с поставщиками услуг, Интерпол помог идентифицировать почти 370 счетов виртуальных активов, связанных с транснациональной организованной преступностью. Полиция в разных странах заморозила эти активы, а расследование по состоянию на конец 2023 года продолжается. В ходе операции сотрудничество между филиппинскими и корейскими властями позволило арестовать в Маниле известного преступника, занимающегося азартными играми в интернете: злоумышленник находился в розыске в течение двух лет.[1]

Как хакеры взламывают отели на Booking.com и требуют деньги у клиентов

1 декабря 2023 года компания Panda Security, специализирующаяся на решениях для обеспечения информационной безопасности, сообщила о новой киберпреступной схеме, жертвами которой становятся пользователи системы интернет-бронирования отелей Booking.com. Злоумышленники крадут персональные данные, а затем убеждают клиентов совершить фиктивные платежи. Подробнее здесь.

4 порта в Австралии остановили работу из-за кибератаки. 30 тыс. контейнеров зависли

10 ноября 2023 года компания DP World, крупнейший портовый оператор Австралии, подверглась мощной кибератаке, которая парализовала работу информационной инфраструктуры. На полноценное восстановление систем могут уйти недели, что, по мнению экспертов, спровоцирует рост цен на самые разные товары в стране — от медикаментов до рождественских игрушек. Подробнее здесь.

Кого и как атакуют хакеры на Ближнем Востоке, и почему там закладывают миллиарды долларов на кибербезопасность

Количество и сложность кибератак растёт во всём мире, но в этой сфере есть и региональная специфика. Об особенностях киберпреступности и подходов к защите на Ближнем Востоке в октябре 2023 года на международной выставке GITEX в Дубае, где побывал TAdviser, рассказали представители «Лаборатории Касперского», которая работает в регионе уже не первый год.

Руководитель исследовательского центра «Лаборатории Касперского» на Ближнем Востоке, в Турции и Африке Амин Хасбини в разговоре с TAdviser отметил, что атаки на корпоративных пользователей в регионе часто зависят от размера организации. В случае с СМБ они нередко направлены на получение платежей и переводов на «чёрные» счета, использующиеся для отмывания средств в разных регионах мира, например в Азии или Латинской Америке. Против организаций для этого часто используются программы-вымогатели, требующие крупные выкупы. Интервью TAdviser: Вячеслав Касимов, ИБ-директор МКБ — о применении DevSecOps при разработке веб-приложений 8.1 т

Атаки на крупные организации отличаются своими подходами. Здесь часто применяются APT-атаки (Advanced Persistent Threats), способные нанести намного больший ущерб. Нередко они используются для шпионажа. Таковые могут применяться, например, в отношении банков или правительственных организаций. И даже против больниц, потому что те хранят чувствительную медицинскую информацию о своих клиентах.

На открытии павильона кибербезопасности Cyber Valley на выставке GITEX (фото: GITEX)

Продвинутые атаки в регионе META (Ближний Восток, Турция, Африка) в «Лаборатории Касперского» называют ночным кошмаром пользователей и организаций. Такой вид атак характеризуется тем, что злоумышленники изменяют свои методы и инструменты, чтобы обойти защиту, используют продвинутые технические навыки и средства, чтобы избежать обнаружения, и часто они организованы таким образом, чтобы пройти незамеченными для жертвы.

Директор по исследованиям и разработке «Лаборатории Касперского» Антон Иванов привёл данные, основанные на расследованиях, проведённых их компанией, что наиболее часто продвинутым атакам в регионе подвергаются именно страны на Ближнем Востоке. В 2023 году в топ-5 наиболее атакуемых стран были ОАЭ, Египет, Турция, Иордания и Сирия. А топ-3 злоумышленников по продвинутым атакам в регионе – это хакерские группы Lazarus (Andariel, cookietime, Bluenoroff), Kittens (CharmingKitten, Muddywater, Lyceum), а также китайскоговорящие группы (Honeymyte, APT15, Plugx, Blackmoule).

Одна из старейших и наиболее известных хакерских преступных группировок, орудующих в регионе, – OilRig, также известная, как APT34 и Helix Kitten. Впервые её заметили в 2012 году, и она до сих пор действует, рассказал Антон Иванов. Преимущественно она атакует финансовые, энергетические, телекоммуникационные и химические компании.

Примеры атак с последствиями на критическую инфраструктуру и другие объекты в регионе META в 2023 году (из презентации Антона Иванова на GITEX)

Амин Хасмини отмечает тенденцию к тому, что при атаках на крупный бизнес в регионе киберпреступники склонны объединяться. Иногда несколько преступных групп работают сообща: одна организует проникновение в ИТ-инфраструктуру, другая внедряет вредоносное ПО, третья обеспечивает коммуникацию, например, для шантажа и последующей продажи данных.

По словам Амина Хасбини, к региональной специфике можно отнести и такое явление: в последнюю пару лет на Ближнем Востоке набирает популярность наём хакеров для выполнения киберпреступной работы. Существуют специальные компании (hack-for-hire), в которых можно нанять хакеров для различных задач. Часто их привлекают для конкурентной разведки.

К примеру, есть два конкурирующих банка, которые на легальном уровне, через юристов, атакуют друг друга. И один из банков нанимает хакерскую команду, чтобы она взломала системы конкурента, нашла чувствительную или «грязную» информацию, которую в дальнейшем против компании можно использовать.

«
Полученная информация используется, чтобы нанести ущерб репутации компании, или для применения юристами в судебных спорах, - объясняет Амин Хасбини.
»

Разумеется, это нелегально, но в «Касперском» видят много такой активности в ближневосточном регионе. Аналогичное использование хакеров-наёмников можно встретить и в Европе, в том числе, в западных организациях, но на Ближнем Востоке такой вид хакинга имеет очень большую активность.

«
Возможно, что это связано с тем, что в регионе очень высокая конкуренция в бизнесе, - полагает Амин Хасбини.
»

Также это может быть связано и с некоторыми пробелами в текущей законодательной базе, затрудняющими блокировку и прекращение деятельности подобных преступников.

Нельзя сказать, что за последние годы хакеров на Ближнем Востоке стало больше, говорит Амин Хасбини. Скорее, для региональных хакеров стало характерно объединение в группы для выполнения различных задач. Иногда можно заметить схожие вещи в их активностях, и тогда можно предположить, что это одна и та же группа. Одна и та же группа может атаковать промышленные объекты в регионе, а другая – финансовые учреждения, например.

При этом ИТ-системы и сервисы на Ближнем Востоке уже достигли определённого уровня зрелости, так что злоумышленникам стало сложнее компрометировать организации. Но, например, в промышленности в области операционных технологий (ОТ) дело обстоит несколько иначе, потому что долгое время никто не занимался кибербезопасностью именно в этой сфере. Кроме того, многие индустриальные системы, которые используются для снабжения водой, электричеством, в области атомной энергии и др. являются старыми: им может быть по 10-20 лет, такие системы быстро не обновляются. А ущерб от кибератак здесь может быть огромным, т.к. это критическая инфраструктура.

Защита критической инфраструктуры оказалась одной из центральных тем в повестке по кибербезопасности на GITEX. Совет по кибербезопасности ОАЭ представил на выставке макет с различными инфраструктурными объектами и описанием ключевых киберугроз для них (фото: TAdviser)

Одна из особенностей ближневосточного региона по сравнению, например, с Европой – здесь другие приоритеты в области ИБ, и отдельные страны на Ближнем Востоке не всегда работают так же сообща по повестке в области кибербезопасности, как страны ЕС. В основном, каждая страна стремится развиваться в области ИБ сама по себе, поясняет Амин Хасбини.

При этом для каждой страны Ближнего Востока очень важен собственный суверенитет, поэтому они хотят разворачивать свои решения локально. И из соображений суверенитета страны стремятся принимать законы, которые обязывали бы глобальных вендоров локализовываться, чтобы те присутствовали в стране, случись что.

У самой «Лаборатории Касперского», к примеру, есть офисы в ОАЭ (здесь расположена штаб-квартира для всего региона META), Турции и Саудовской Аравии. В Саудовской Аравии наиболее жёсткие требования к локальному присутствую, поэтому в этой стране у «Лаборатории Касперского» также открыт центр прозрачности, где заказчики могут ознакомиться с исходным кодом продуктов, и используются свои локальные вычислительные ресурсы: часть серверов на собственной площадке, и часть – от провайдеров. Это позволяет хранить данные локально, что важно для местного правительства, и быстрее отправлять апдейты клиентам.

Кроме того, наказания за киберпреступления зачастую более жёсткие в странах Ближнего Востока, чем в Европе. К киберпреступности здесь относятся очень серьёзно и стараются как можно быстрее ловить киберпреступников. По словам Амина Хасбини, «Лаборатория Касперского» взаимодействует с различными локальными спецслужбами и делится с ними информацией о кибератаках, чтобы помогать им находить атакующих.

Многие страны региона двигаются в сторону повышения зрелости своей киберзащиты, у них уже есть правовые режимы, чтобы защищать свои государства, правительства и пользователей от киберугроз. Это вопрос национальной безопасности. Поэтому они ищут продвинутые технологии, позволяющие такую защиту обеспечивать. Проекты в госструктурах и на критической инфраструктуре сейчас среди самых крупных, рассказал TAdviser Амин Хасбини.

В «Лаборатории Касперского» видят для себя регион META в целом и Ближний Восток, в частности, как очень перспективный рынок. По оценкам ResearchAndMarkets, объём рынка кибербезопасности на Ближнем Востоке составлял $20,3 млрд в 2022 году, а в 2027 году аналитики прогнозируют его объём в $44,7 млрд со среднегодовым ростом на 17,1%[2].

Генеральный менеджер компании по Ближнему Востоку, Египту, Руанде и Пакистану Рашид Аль-Момани говорит, что крупные бюджеты на кибербезопасность на Ближнем Востоке закладывают в том числе, под влиянием геополитических факторов. Кроме того, если брать ОАЭ, там проводятся различные крупные международные мероприятия, например, в сфере технологий и спорта, которые привлекают всё больше участников, что также требует лучшей защиты.

С учётом курса на усиление киберзащиты в регионе, «Лаборатория Касперского» расширяет здесь и своё присутствие, включая численность локальной команды, а также стратегическое сотрудничество с местными властями, регуляторами, центральными банками, отмечает Рашид Аль-Момани.

Помимо «Лаборатории Касперского», к рынку ИБ Ближнего Востока проявляют всё больше интереса и другие отечественные ИБ-поставщики: на выставке GITEX совокупно присутствовало порядка 15 стендов компаний из России, где в описании заявлена кибербезопасность как основное направление или одно из направлений.

У аргентинского финрегулятора похитили 1,5 Тбайт данных. Хакеры требуют выкуп $500 тыс. и обещают уничтожить банковскую систему

В июне 2023 года Национальная комиссия по ценным бумагам Аргентины стала жертвой кибератаки, предположительно совершенной хакерской группировкой Medusa, занимающейся разработкой вирусов-вымогателей. Хакеры требуют крупный выкуп в размере $500 тыс. в течение недели, угрожая в противном случае слить в интернет 1,5 Тб документов и баз данных комиссии. Подробнее здесь.

Обновлённый пакистанский троян ReverseRAT нацелен на госучреждения Индии

ИБ-компания ThreatMon обнаружила целевую фишинговую кампанию, нацеленную на правительственные учреждения Индии, которая приводит к развертыванию обновленной версии RAT-трояна ReverseRAT. Специалисты ThreatMon приписали эту активность группировке SideCopy. Об этом стало известно 21 февраля 2023 года. Подробнее здесь.

Хакеры атаковали одну из крупнейших в Канаде энергетических компаний

В середине января 2023 года крупный поставщик электроэнергии в Канаде Qulliq Energy пострадал от кибератаки, в результате которой компьютеры были выведены со строя, а ее клиенты лишились возможность платить за услуги с помощью банковских карт. Пострадала подстанция в городе Нунавут. Подробнее здесь.

APT-группировка Dark Pink наносит киберудары по азиатским правительственным и военным структурам

APT-группировка Dark Pink наносит киберудары по азиатским правительственным и военным структурам. Об этом стало известно 11 января 2023 года.

В ходе атак хакеры используют набор мощных кастомных инструментов и новых тактик.

Проводя расследование, Group-IB подчеркнула, что Dark Pink может быть совершенно новой APT-группировкой. Свое название банда хакеров получила из-за имен некоторых электронных ящиков, на которые высылались украденные данные. Однако китайские исследователи дали ей другое название – Saaiwc Group. Подробнее здесь.

Раскрыта одна из самых сложных цепочек заражения компьютеров в истории

5 января 2023 года эксперты Check Point Research (CPR) рассказали об одной из самых сложных цепочек заражения в истории кибератак, которую группировка Blind Eagle использует для организации нападений на жертв в Южной Америке. Подробнее здесь.

2022

Хакеры начали массово атаковать операторов связи по всему миру, чтобы завладеть чужим телефонным номером

2 декабря 2022 года ИТ-специалисты CrowdStrike сообщили об обнаружении новой киберпреступной схемы: злоумышленники атакуют телекоммуникационные компании и организации в области аутсорсинга бизнес-процессов (BPO) с тем, чтобы завладеть чужим телефонным номером.

Киберпреступная кампания получила название Scattered Spider. Эксперты говорят, что цель хакеров заключается в том, чтобы получить доступ к сетям операторов мобильной связи и выполнить атаку с подменой SIM-карты. Впоследствии такой метод даёт возможность принимать одноразовые пароли финансовых транзакций для обхода двухфакторной аутентификации. В результате, могут быть похищены денежные средства жертв.

Хакеры начали массово атаковать операторов связи по всему миру

Для получения первоначального доступа к атакуемой системе могут применяться различные методы. Это, в частности, схемы социальной инженерии, в том числе посредством телефонных звонков и SMS-уведомлений, а также сообщений в мессенджерах. Злоумышленники выдают себя за ИТ-специалистов, чтобы заставить жертв ввести учётные данные на фишинговой странице или загрузить и установить определённый инструмент удалённого доступа, например, AnyDesk, BeAnywhere, DWservice, Logmein, ManageEngine, N-Able, Pulseway или Rport. Более того, киберпреступники применяют персонализированный подход для получения одноразовых паролей. Кроме того, могут эксплуатироваться уязвимости в ПО.

После проникновения в целевую систему хакеры выполняют анализ сред Windows, Linux, Google Workspace, Azure Active Directory, Microsoft 365 и AWS. Кроме того, производится выполнение горизонтального перемещения. Затем могут загружаться дополнительные инструменты для сбора данных о параметрах VPN и модулях многофакторной аутентификации. Отмечается, что в большинстве случаев злоумышленники действуют чрезвычайно настойчиво и нагло. [3]

Северокорейская хакерская группировка Kimsuky атакует политические и дипломатические организации Южной Кореи

Согласно отчету Лаборатории Касперского, северокорейская APT-группа Kimsuky проводит кампанию против политических и дипломатических организаций Южной Кореи, а также профессоров южнокорейских университетов, исследователей аналитических центров и правительственных чиновников. Об этом стало известно 25 августа 2022 года. Подробнее здесь.

Волна кибератак Killnet разбилась об эстонские системы защиты

Волна кибератак Killnet разбилась об эстонские системы защиты. Об этом стало известно 19 августа 2022 года.

Масштабные DDoS-атаки были направлены на госучреждения и предприятия Эстонии.

О масштабных хакерских атаках сообщил в своем Twitter заместитель вице-канцлера по цифровому развитию Министерства экономики и коммуникаций Эстонии Луукас Кристьян. По его словам, это были самые интенсивные кибератаки с 2007 года, направленные как на государственные учреждения, так и на частный сектор.

При этом Луукас отметил, что атаки, совершенные хакерами, были неэффективными.

Глава компьютерной группы реагирования на чрезвычайные ситуации Эстонии Тону Таммер уточнил, что кибератаки были направлены, в частности, на сайты полиции, правительства и логистических фирм, но смогли вызвать лишь незначительные перебои в работе правительственных ИТ-систем.

Ответственность за кибератаки на себя взяла Killnet группировка. Хакеры заявили, что их атака стала ответом на демонтаж памятника Т-34 в Нарве[4].

Албания ушла в оффлайн после кибератаки

Национальное агентство Албании по вопросам информационного общества (The Albanian National Agency for the Information Society, AKSHI, NAIS) было вынуждено закрыть государственные онлайн-сервисы и правительственные веб-сайты после продолжающейся кибератаки. Об этом стало известно 18 июля 2022 года.

«
Чтобы противостоять этим беспрецедентным и опасным ударам, мы были вынуждены отключить правительственные системы до тех пор, пока вражеские атаки не будут нейтрализованы, — говорится в заявлении агентства.

»

«
Национальное агентство находится в полной боевой готовности и круглосуточно работает с командой Microsoft, командой Jones Group International и группами албанских компаний в области ИКТ, чтобы не допустить ущерб или компрометации албанской ИТ-системы, — добавило AKSHI.
»

Закрыты веб-сайты парламента и канцелярии премьер-министра, а также сайт « e-Albania » — правительственный портал, которым должны пользоваться все албанцы, а также иностранные резиденты и инвесторы, чтобы получать государственные услуги[5].

Русскоязычные хакеры из Killnet парализовали работу нескольких госструктур Литвы

Хакеры из группы Killnet, предупреждавшие власти Литвы о готовящихся масштабных кибератаках из-за блокирования железнодорожного транзита товаров по территории страны в Калининградскую область, сдержали своё обещание и атаковали литовские государственные структуры. Об этом стало известно 27 июня 2022 года. Уточняется, что серьезные проблемы в работе на конец июня 2022 года испытывают многие государственные структуры Литвы, среди которых точно от кибератаки пострадали: Государственная налоговая инспекция, входящая в Министерство финансов Литвы, официальные сайты крупнейших литовских нефтегазовых портов, система видеонаблюдения по всей стране. При этом некоторые атакованные сайты открываются, но получить какие-либо услуги на них пользователи не могут. В Telegram-канале группировки Killnet говорится о том, что в результате крупномасштабной DDoS-атаки хакерам удалось отключить более 1000 литовских сайтов. Русскоязычные хакеры также представили скриншот с главной страны сайты литовской полиции, в котором указано, что сайт заблокирован.

«
1089 литовских сайтов были отключены из-за серьезного сбоя, который происходит у местного провайдера. У какого именно провайдера – об этом вы узнаете из официальных источников, – заявили в Killnet.
»

Иностранные СМИ уточняют, что пророссийские хакеры их Killnet атакуют государственные сайты Литвы в течение всего дня. Отмечается наличие проблем в работе официальный сайтов литовских аэропортов, которые не могли подключиться к системам поставщиков финансовых слуг. Веб-сайты крупных поставщиков телекоммуникационных услуг в Литве также пострадали от DDoS-атаки: некоторые из них загружались необычно медленно, а другие вообще вышли из строя. Национальный центр кибербезопасности Литвы (NCSC) ещё несколько дней назад заявил о росте числа DDoS-атак против страны, заявив, что злоумышленники нацелены на государственные учреждения, транспортный и финансовый секторы[6].

Банда Killnet объявила о масштабной атаке на Италию

Банда Killnet объявила о "масштабной и беспрецедентной" атаке на Италию. Об этом стало известно 30 мая 2022 года.

На конец мая 2022 года атаки не вызвали проблем у итальянских организаций.

Пророссийская группа «хактивистов» Killnet — одна из самых активных негосударственных структур, действующих с начала спецоперации на Украине. Исследователи из cyberknow опубликовали хронологию атак, проведенных хактивистами:

Image:Скриншот_01-06-2022_091858.jpg

CyberKnown считает, что хакеры объединились в полуформальную структурированную организацию KillNet Order of Battle (ORBAT).

«
С разными уровнями командования и постановкой задач. Анализ говорит о том, что, независимо от изощренности совершаемых атак, преступники обладают надежной структурой управления и контроля, — считают в CyberKnown.
»

Одной из основных целей бандитов является Италия. Группа призвала к действию своих членов, предоставив им список итальянских целей, включая банки, СМИ, энергетические компании и многое другое. Только три правительственных веб-сайта были недоступны во время первой волны атак.

Теперь группа объявила о массированном нападении на Италию, запланированном на 30 в 05:00, шайка также угрожает хактивистам Anonymous.

Ниже приведены сообщения, опубликованные Killnet в Telegram:

Image:Скриншот_01-06-2022_092133.jpg

Итальянская csirt опубликовала предупреждение о том , что сохраняются признаки и угрозы возможных неизбежных нападений, в частности, на национальные государственные организации, частные организации критической инфраструктуры, или частные организации, чей имидж отождествляется со страной[7].

Российских хакеров заподозрили в кибератаках на немецкие компании по возобновляемой энергетике

Три немецкие компании по возобновляемой энергетике подверглись взлому из-за отказа страны от российской нефти. Об этом стало известно 27 апреля 2022 года. Подробнее здесь.

Закрыт RaidForums-хакерский форум по торговле краденными базами данных

Власти США заблокировали работу RaidForums, форума, где по сети торговали похищенными данными. Об этом говорится в заявлении Минюста США, распространенном 12 апреля 2022 года. Сайт был был закрыт правоохранительными органами США, Соединенного Королевства, Швеции, Португалии и Румынии в ходе операции «TOURNIQUET», координируемой Европолом.

Власти США предъявили обвинения основателю и главному администратору форума - 21-летнему Диего Сантосу Коэльо из Португалии. Он был задержан 31 января в Великобритании по запросу американской стороны. Министерство юстиции США добивается его экстрадиции, после которой он предстанет перед окружным судом США Восточного округа штата Вирджиния. Против Коэльо выдвинуты обвинения по шести пунктам, включая сговор, получение доступа к устройствам мошенническим образом и хищение личных данных при отягчающих обстоятельствах в связи с его предполагаемой ролью главного администратора RaidForums в период с 1 января 2015 года по 31 января 2022 года. При этом обвиняемый и его возможные сообщники, по версии следствия, разработали и администрировали работу программного обеспечения и компьютерной инфраструктуры указанной платформы, устанавливали правила для пользователей, а также рекламировали незаконные услуги RaidForums.

Департамент заявил, что получил одобрение суда на арест трех разных доменных имен, на которых размещен веб-сайт RaidForums: raidforums.com, Rf.ws и Raid.lol.

По версии Минюста США, с помощью RaidForums ранее были проданы "сотни баз данных", содержащих похищенные сведения. На сайте продавались украденные данные для доступа к банковским счетам, информация о кредитных картах, учетные данные для входа в систему и номера социального страхования.

Объем рынка RaidForums, по сведениям Минюста США, включал сотни таких данных, содержащих более 10 миллиардов единиц учетных данных физических лиц, проживающих в США и иных государствах.

Наряду с незаконной торговлей данными, еще во время основания форума в 2015 году, RaidForum выступал площадкой для организации и поддержки онлайн-травли в форме подавления работы коммуникационных устройств потерпевших путем передачи подавляющего потока данных или практики ложного уведомления правоохранительных органов о якобы имеющих место ситуациях, требующих немедленного значительного или даже вооруженного вмешательства со стороны таких органов[8].

2021

Интерпол провел крупнейшую операцию по задержанию киберпреступников

В конце ноября 2021 года Интерпол провел масштабную операцию по задержанию киберпреступников. В ходе операции, правоохранительные органы более чем 20 стран арестовали более 1 тыс. человек и перехватили около $27 млн незаконных средств в рамках борьбы с финансовыми преступлениями с использованием кибертехнологий.

Операция под кодовым названием HAECHI-II проводилась с июня по сентябрь 2021 года. В ней приняли участие специализированные полицейские подразделения из 20 стран, включая Гонконг и Макао, которые занимались конкретными видами интернет-мошенничества, такими как романтические аферы, инвестиционное мошенничество и отмывание денег, связанных с незаконными азартными играми в интернете. В результате данной специальной операции были арестованы 1 тыс. человека, а следователи закрыли 1,6 тыс. дел. Были заблокированы 2,3 тыс. банковских счетов, связанных с незаконными доходами от финансовых преступлений и было выявлено 10 новых преступных методов работы. В ходе операции сотрудники Интерпола опробовали новый глобальный механизм прекращения платежей, протокол быстрого реагирования по борьбе с отмыванием денег (ARRP), который оказался решающим для успешного перехвата незаконных средств в нескольких случаях в операции HAECHI-II.

Интерпол провел крупнейшую операцию по задержанию киберпреступников - 1000 арестованных и изъятие $27 млн

Это вторая подобная операция в рамках проекта, запущенного в 2019 году для борьбы с финансовыми преступлениями с использованием кибертехнологий при участии стран-членов Интерпола на всех континентах. Интерпол планирует официально запустить ARRP в 2022 году. На ноябрь 2021 года его отдел по борьбе с финансовыми преступлениями работает со странами-членами над интеграцией системы в существующие каналы связи.

«
Только благодаря такому уровню глобального сотрудничества и координации национальные правоохранительные органы могут эффективно бороться с параллельной пандемией киберпреступности. Используя новую сеть ARRP, были задействованы каналы международного полицейского сотрудничества между бюро Интерпола в Пекине, Боготе и Гонконге, чтобы заморозить переведенные средства... более 94% денег было перехвачено в рекордно короткие сроки, - сказал генеральный секретарь Интерпола Юрген Шток (Jurgen Stock).
»

Интерпол сообщил, что известная текстильная компания в Колумбии была обманута более чем на $8 млн с помощью сложной аферы по компрометации деловой электронной почты. Выдавая себя за законного представителя компании, преступники отдали распоряжение перевести более $16 млн на два китайских банковских счета. Половина денег была переведена до того, как компания обнаружила мошенничество и предупредила местные судебные органы, которые связались с подразделением Интерпола по борьбе с финансовыми преступлениями через свое Национальное центральное бюро (НЦБ).[9]

Южная Корея стала мировым центром цифрового секс-шантажа

В середине июня 2021 года стало известно, что передовые технологии Южной Кореи вызвали целую волну цифровых преступлений в сфере секс-шантажа. По словам жертв, исследователей и правозащитных групп, страна стала глобальным центром незаконной съемки и обмена откровенными изображениями и видео. Подробнее здесь.

2020

Group-IB помогла Интерполу выявить преступников из Нигерии, атаковавших компании по всему миру

25 ноября 2020 года Group-IB, международная компания, специализирующаяся на предотвращении кибератак, приняла участие в операции Интерпола «Falcon» по пресечению деятельности киберпреступников из Нигерии.

Фото: INTEPROL

Группа, названная специалистами Group-IB TMT, несколько лет совершала массовые взломы корпоративной почты и похищала аутентификационные данные пользователей из браузеров, электронной почты и FTP-серверов, в том числе на продажу.

Преступники, действующие как минимум с 2017 года, скомпрометировали не менее 500 тысяч государственных и частных компаний в более чем 150 странах, в том числе России. В результате трансграничной операции, в которой участвовали Управление по борьбе с киберпреступностью Интерпола, полиция Нигерии и компания Group-IB (отдел по расследованию международных киберпреступлений, Сингапур) в Лагосе были арестованы три киберпреступника. Расследование продолжается, некоторые участники преступной группы на ноябрь 2020 года остаются на свободе.

Группа занималась BEC-атаками (от англ. business email compromise — компрометация деловой почты) — это тип фишинг-атаки, основанный на социальной инженерии. Фишинговые электронные письма могут быть нацелены на определенных сотрудников организации или рассылаться массово. Они часто маскируются под запросы денежных переводов, сообщения от HR-департамента или коммерческие предложения и предназначены для кражи конфиденциальных данных.

Три члена группы, известные под инициалами «OC» (32 года), «IO» (34 года) и «OI» (35 лет), личности которых были установлены благодаря использованию технологий слежения за киберпреступниками Group-IB, а также оперативной работе международной команды расследований Group-IB и Центра реагирования на инциденты кибербезопасности CERT-GIB, были арестованы в Лагосе нигерийским отделом киберполиции в рамках операции «Falcon». По сообщению представителей нигерийской полиции, сведения, обнаруженные на устройствах арестованных членов группы TMT, подтвердили их причастность к преступной схеме и содержали данные, принадлежащие, как минимум, 50 тысячам пострадавших.

Информация о предполагаемых злоумышленниках, которых Group-IB смогла отследить, была передана в Управление по борьбе с киберпреступностью Интерпола.

Для рассылки фишинговых писем злоумышленники использовали инструменты Gammadyne Mailer и Turbo-Mailer. Кроме того, они пользовались платформой MailChimp, чтобы узнать, открыла ли жертва полученное сообщение.

Чтобы избежать обнаружения и отслеживания традиционными системами безопасности, группа использует публичные крипторы. Для коммуникации с командным сервером злоумышленники, в частности, применяли протоколы SMTP, FTP, HTTP.

В Киргизии взломан сайт парламента

В парламенте Киргизии сообщили о взломе своего официального сайта и требованиях хакеров The Black Pirate $10 тысяч в качестве выкупа. Об этом стало известно 19 октября 2020 года. Подробнее здесь.

Взлом крупнейших баз данных ДНК, кража генеалогических профилей

В конце июля 2020 года стало известно, что база данных ДНК GEDmatch, которая позволяет пользователям искать родственников по ДНК-данным, была взломана. Полученные адреса электронной почты хакеры использовали в фишинг-атаке на другой ведущий генеалогический сайт, MyHeritage. Подробнее здесь.

Германия объявила международный розыск россиянина, обвинённого в кибератаках на бундестаг

В начале мая 2020 года генеральная прокуратура Германии выдала ордер на арест Дмитрия Бадина, которого обвиняют в кибератаках на Бундестаг. 29-летний россиянин объявлен в международный розыск. Подробнее здесь.

Выявлено 1,3 тыс. вредоносных программ с названием сервисов видеоконференций

В середине апреля 2020 года «Лаборатория Касперского» сообщила о выявлении около 1,3 тыс. вредоносных программ, которые маскируются под популярные сервисы для видеоконференций, включая Zoom, Webex и Slack.

По данным российского разработчика антивирусов, при помощи такой схемы распространяется порядка 200 видов угроз, в основном рекламные приложения — DealPly и DownloadSponsor. Оба ПО являются установщиками, которые показывают рекламу или загружают рекламные модули.

Вредоносное ПО начало чаще прикидываться сервисами для онлайн-конференций

В результате атак таких программ конфиденциальная информация человека без его согласия может оказаться на серверах третьих лиц.

Как заявляют в «Лаборатории Касперского», опасность рекламного софта, который мимикрирует под названия сервисов, не стоит недооценивать. В результате атак таких программ конфиденциальная информация человека без его согласия может оказаться на серверах третьих лиц. Причём объём данных, которые собирают такие программы, действительно разнообразен: предпочтения пользователей, история поиска, геолокация и многое другое, пояснили в компании.

«
Платформы для онлайн-конференций сейчас приобрели большую популярность в мире, ими пользуются в больших и маленьких компаниях для организации видеоконференций, к ним обращаются рядовые пользователи, чтобы пообщаться с друзьями и родными, поэтому не можем исключать, что количество вредоносных файлов, которые эксплуатируют названия таких сервисов, в ближайшем будущем будет расти, — прокомментировал эксперт по безопасности «Лаборатории Касперского» Денис Паринов.
»

Что касается популярности того или иного сервиса у киберпреступников, доли распределились так: на первом месте Zoom (42,42%), второе досталось WebEx (22,51%), третье — GoToMeeting (12,86%).

Кроме того, обнаружены угрозы, которые прячутся под видом файлов с расширением .lnk — ярлыков к приложениям. Подавляющее большинство этих файлов на деле оказалось зловредными элементами, которые используют уязвимости в различных программах.[10]

Как киберпреступники зарабатывают миллионы на коронавирусе

13 марта 2020 года антивирусная компания Eset выпустила сообщение о том, как киберпреступники наживаются на коронавирусе.

По данным экспертов, злоумышленники распространяют новости от имени Всемирной организации здравоохранения (ВОЗ), призывая пользователей перейти по вредоносным ссылкам для получения якобы секретной и крайне важной информации о вирусе. Таким образом, они похищают личную информацию и платежные данные, получая доступ к счетам жертв. В Eset рекомендуют быть внимательнее и проверять адрес e-mail, с которого пришло сообщение: например, адреса @who.com, @who.org или @who-safety.org не имеют отношения к ВОЗ.

Eset сообщила о появлении новых киберугроз в связи с распространением коронавируса

Мошенники также прибегают к фейковым благотворительным акциям, создавая рассылки с призывом отправить пожертвование на поиск вакцины от коронавируса для детей в Китае.

Кроме того, набирает популярность мошенничество с фейковыми объявлениями о продаже медицинских масок и антисептиков для рук. С их помощью злоумышленники выманивают данные кредитных карт пользователей и похищают деньги со счетов. Так, по данным Sky News только в феврале 2020 года в Великобритании преступники заработали на подобной кампании не менее 800 тыс. фунтов стерлингов ($1 млн).

В Eset советуют не поддаваться паническим настроениям в обществе и быть особенно внимательны к любым ресурсам и рассылкам, содержащим упоминание коронавируса. Необходимо остерегаться мошеннических благотворительных организаций или краудфандинговых кампаний, направленных на борьбу с эпидемией, а также игнорировать сообщения, в которых запрашиваются ваши личные или платежные данные. Ещё одна мера защиты от киберпреступников — применять комплексные антивирусные решения с модулями защиты электронной почты и функцией защиты от фишинга.[11]

В Индонезии задержаны киберпреступники, заразившие сотни онлайн-магазинов по всему миру

27 января 2020 года стало известно о том, что киберполиция Индонезии совместно с Интерполом и Group-IB задержали участников преступной группы, заразивших JavaScript-снифферами — популярным видом вредоносного кода — сотни онлайн-магазинов в Австралии, Бразилии, Великобритании, Германии, Индонезии, США и других странах мира. Среди жертв есть российские и украинские пользователи. Преступники похищали у покупателей данные банковских карт и использовали их для покупки гаджетов и предметов роскоши. Ликвидация этой преступной этой группы стала первой успешной операцией против операторов JS-снифферов в Азиатско-Тихоокеанском регионе (APAC).

Как сообщалось, совместная операция «Night Fury» киберполиции Индонезии, INTERPOL’s ASEAN Cyber Capability Desk (ASEAN Desk) и отдела расследований Group-IB в APAC была проведена в декабре 2019 — в результате были арестованы трое жителей Индонезии в возрасте от 23 до 35 лет. Всем им предъявлены обвинения в краже электронных данных с помощью снифферов GetBilling. Операция еще в 5 других регионах Азиатско-Тихоокеанского региона продолжается.

Впервые семейство снифферов GetBilling было описано в отчете Group-IB «Преступление без наказания» в апреле 2019 года. JavaScript-снифферы — популярный вид вредоносного кода, который используется в атаках на онлайн-магазины для кражи личных и платежный данных покупателей: номеров банковских карт, имен, адресов, логинов, номеров телефона и пользовательских данных из платежных систем. Специалисты Threat Intelligence Group-IB отслеживают семейство GetBilling JS-sniffer с 2018 года. Анализ инфраструктуры, контролируемой арестованными в Индонезии операторами GetBilling, показал, что им удалось заразить почти 200 веб-сайтов в Индонезии, Австралии, Европе, Соединенных Штатах, Южной Америке и некоторых других странах.

В 2019 году команде отдела расследований Group-IB удалось установить, что часть инфраструктуры GetBilling была развернута в Индонезии. INTERPOL’s ASEAN Desk оперативно проинформировал об этом киберполицию Индонезии. Несмотря на то, что операторы сниффера GetBilling старались скрыть свое местонахождение, например, для соединения с сервером для сбора похищенных данных и контролем над сниффером преступники всегда пользовались VPN, а для оплаты услуг хостинга и покупки доменов использовали только украденные карты, экспертам Group-IB вместе с местными полицейскими удалось собрать доказательства, что группа работает из Индонезии, а затем выйти на след самих подозреваемых.

«
В современном цифровом мире киберпреступники очень быстро внедряют передовые технологии для того, чтобы скрыть свою незаконную деятельность, и для того, чтобы похитить большие массивы личных данных с целью финансового обогащения. Для того, чтобы обеспечить доступ правоохранительных органов к информации, необходимой для борьбы с киберпреступностью, требуется прочное и плодотворное партнерство между полицией и экспертами по информационной безопасности.

рассказал Крейг Джонс, директор по расследованию киберпреступлений INTERPOL
»

Пример вредоносного скрипта GetBilling
«
Этот кейс явно демонстрирует международный размах киберпреступности: операторы JS-сниффера жили в Индонезии, но атаковали e-commerсе-ресурсы по всему миру, что усложняло сбор доказательств, поиск жертв и судебное преследование. Однако международное сотрудничество и обмен данными могут помочь эффективно противодействовать актуальным киберугрозам. Благодаря оперативным действиям индонезийской киберполиции и Интерпола, «Night Fury» стала первой успешной международной операцией против операторов JavaScript-снифферов в регионе APAC. Это пример скоординированной трансграничной борьбы с киберпреступностью.

рассказала Веста Матвеева, руководитель отдела расследований инцидентов информационной безопасности APAC Group-IB
»

В ходе обыска полицейские изъяли у задержанных ноутбуки, мобильные телефоны различных производителей, процессоры, идентификационные карты и банковские карты. По данным следствия, украденные платежные данные использовались подозреваемыми для покупки гаджетов и предметов роскоши, которые они затем перепродавали на индонезийских сайтах ниже рыночной стоимости. Подозреваемым уже предъявлены обвинения в краже электронных данных — согласно уголовному кодексу Индонезии это преступление карается лишением свободы сроком до десяти лет. Расследование продолжается.

Сексуальное вымогательство через умные камеры

В середине января 2020 года исследователи забили тревогу из-за волны нового вида мошенничества — сексуального вымогательства на фоне паники по поводу безопасности умных камер. Подробнее здесь.

2019

Число атак на роутер стало в десятки раз больше

Атак на роутеры в 2019 году стало в десятки раз больше: если в январе фиксировалось порядка 9-10 млн попыток в месяц, то в декабре — уже 250 млн. Об этом свидетельствуют данные компании Trend Micro.

По словам экспертов, взлом роутеров занимает довольно мало времени, поскольку во многих этих устройствах по умолчанию установлены общеизвестные пароли. Злоумышленники используют для заражения маршрутизатора такой вирус, который при удачной попытке взлома заставит его в автоматическом режиме пытаться взломать роутеры других пользователей.

Trend Micro сообщила о взрывном росте количества атак на пользовательские маршрутизаторы

Еще одна причина растущего числа атак на такое оборудование заключается в конкуренции между разными группировками киберпреступников, которые стараются скомпрометировать как можно больше пользовательских маршрутизаторов, чтобы присоединить их к своим ботнет-сетям.

В дальнейшем ботнеты продаются на специализированных ресурсах в виде инструмента осуществления DDoS-атак, либо предлагаются в качестве инструмента анонимизации разного рода противозаконных действий, в том числе кражи данных, захвата учётных записей или накрутки кликов. Отмечается, что конкуренция в этом сегменте настолько серьёзна, что хакеры удаляют любое чужое вредоносное ПО, которое обнаруживается на взломанных устройствах.

Авторы исследования также указывают, что в условиях пандемии COVID-19 и увеличения масштабов удаленной работы, данная проблема стала актуальной.

Чтобы защититься от взлома, специалисты Trend Micro рекомендуют следовать нескольким советам:

  • проверять журнал роутера на предмет подозрительной активности, странных подключений и других аномалий;
  • систематически обновлять версию прошивки на маршрутизаторе;
  • использовать сложный и трудно угадываемый пароль, при этом меняя его время от времени;
  • отключить удаленный вход, разрешив подключаться к роутеру только из локальной сети.[12]

27% компаний в мире столкнулись с кибератаками на смартфоны сотрудников

В 2019 году 27% компаний в мире столкнулись с кибератаками на смартфоны сотрудников, свидетельствуют данные разработчика решений для информационной безопасности Check Point Software Technologies.

«
Сейчас мы свидетели эпидемии мобильного рекламного ПО – одной из наиболее распространенных форм киберугроз, нацеленной на сбор личной информации с устройства пользователя. Примерно 4 млрд человек заходят в интернет со смартфона. Тем не менее, компании редко заботятся о безопасности мобильных устройств сотрудников, — говорится в сообщении Check Point.
»

Около 27% компаний в мире в 2019 году столкнулись с кибератаками на мобильные устройства сотрудников

В компании отмечают, что для кражи корпоративных данных и проникновения в сеть организации злоумышленникам достаточно взломать всего одно мобильное устройство, принадлежащее работнику. Мобильные угрозы постоянно совершенствуются, и всё чаще мошенники пользуются рекламными вредоносными инструментами. Они показывают рекламные сообщения на смартфоне и используется киберпреступниками для проведения кибератак шестого поколения, отметили в Check Point.

В качестве одного из примеров нового мобильного рекламного ПО эксперты приводят вредоносную программу Agent Smith, которая была обнаружена в 2019 году. Тогда Agent Smith заразил около 25 млн мобильных устройств по всему миру, при этом пользователи даже не заметили этого. Программа имитировала приложение Google и использовала все известные уязвимости в системе Android, автоматически заменяя установленные приложения версиями, содержащими вредоносный код. Agent Smith также использовал ресурсы устройств, отображая фейковую рекламу, которая могла красть банковские учетные данные и прослушивать разговоры.

ИБ-специалисты рекомендуют скачивать приложения только из официальных каталогов, регулярно обновлять ОС и софт в смартфонах, не позволять приложениям работать в фоновом режиме и следить за правами доступа.[13]

Хакеры атакуют бензоколонки и крадут банковские данные автомобилистов

В середине декабря 2019 года Visa предупредила клиентов, что несколько хакеров начали атаковать бензоколонки путем внедрения вредоносного ПО в корпоративные сети, чтобы выкрасть данные платежных карт автомобилистов.

Согласно отчету Visa, хакеры отошли от старой методики кражи банковских данных, в рамках которой устанавливали физические скиммеры на бензоколонках. Аналитики выявили два инцидента, когда злоумышленники внедряли вредоносное ПО в напрямую корпоративные сети торговцев. Проникнув в ИТ-инфраструктуру торговых сетей, хакеры получали доступ к торговым автоматам, содержавшим незашифрованные данные кредитных и дебетовых карт. Для распространения вирусов хакеры использовали электронную почту компаний, отправляя письма с подставных аккаунтов.

Visa предупредила клиентов, что несколько хакеров начали атаковать бензоколонки путем внедрения вредоносного ПО в корпоративные сети, чтобы выкрасть данные платежных карт автомобилистов

Аналитики Visa отметили, что торговые точки по продаже топлива зачастую пренебрегают базовыми технологиями безопасности для защиты данных карт, такими как сквозное шифрование или токенизация. Кроме того, в отчете Visa отмечается, что многие автозаправочные станции все еще полагаются на устройства считывания карт с магнитной полосой, а не чип-карт, что повышает риск взлома.

Любой бизнес, который принимает, хранит, обрабатывает и передает данные платежных карт, должен соответствовать стандартам PCI. Однако опрос Verizon, проведенный в декабре 2019 года среди более чем 300 организаций, показал, что только 37% из них постоянно обеспечивают полноценное соблюдение всех требований безопасности.

Одним из предлагаемых методов борьбы со злоумышленниками является сегментация сетей. Она не только требует от хакеров большего мастерства и времени для проникновения в нужную часть сети, но и создает точки обнаружения, где защитники смогут отследить активность злоумышленника.[14]

Рассекречена самая большая хакерская группировка в истории

В начале декабря 2019 года министерство финансов США назвало компанию Evil Corp крупнейшей хакерской группировкой в истории и заявило, что она базируется в Москве. Подробнее здесь

У посетителей воруют данные кредиток

В конце ноября 2019 года стало известно о серии кибератак, которые обрушились на отели по всему миру. Своими действиями хакеры пытаются украсть данные кредитных карт, которые хранятся в ИТ-системах самих гостиниц, а также турагентств.

О новой вредоносной кампании, от которой пострадали не менее 20 представителей гостиничного бизнеса в Бразилии, Аргентине, Боливии, Чили, Коста-Рике, Франции, Италии, Мексике, Португалии, Испании, Таиланде и Турции, сообщили в «Лаборатории Касперского».

Кибератаки, которые обрушились на отели по всему миру

Для сбора информации из буферов обмена, устройств для вывода на печать и скриншотов документов злоумышленники используют троянские программы удаленного администрирования, распространяя их через вредоносные вложения в Word, Excel, PDF в фишинговых письмах. Письма, имитирующие официальные запросы на групповую бронь от реальных людей из реальных компаний, выглядят весьма убедительно, в них включены копии официальных документов и подробные разъяснения причин, по которым был выбран именно этот отель. Единственное, что выдает подделку, — ошибки в написании домена компании.

Злоумышленники не только сами используют удаленный доступ к зараженным компьютерам, но и продают его на нелегальных форумах. В кампании участвуют несколько кибергруппировок, среди которых — RevengeHotels и ProCC.

По данным сервиса Bit.ly, который использовался для сокращения вредоносной ссылки, она распространялась и во многих других странах, кроме перечисленных выше, а значит, объем скомпрометированных данных может быть значительно больше.

«Лаборатория Касперского» рекомендует путешественникам использовать для бронирования отеля через онлайн-турагентства виртуальную платежную карту, а для расчета на месте либо виртуальный кошелек, либо карту с ограниченным количеством денег на счету. [15]

Белорус украл у банков 630 тысяч евро и вернул деньги биткоинами

12 ноября 2019 года Следственный комитет Белоруссии сообщил о расследовании уголовного дела о хищении денежных средств со счетов зарубежных банков. 28-летний житель Гродно, причастный к преступлениям, был арестован при содействии американского ФБР. Подробнее здесь.

Чиновники во всём мире атакованы через WhatsApp

В конце октября 2019 года стало известно о масштабной атаке хакеров на высокопоставленных чиновников по всему миру через WhatsApp. Киберпреступники воспользовались уязвимостью мессенджера для получения доступа к смартфонам более 1,4 тыс. пользователей. Подробнее здесь.

Fortinet 2019 Operational Technology Security Trends Report

  • В 2018 году значительно выросло число атак, направленных на устаревшее программное обеспечение OT-cистем
  • Киберпреступники используют в своих интересах отсутствие стандартизированного протокола для OT-сетей
  • Атаки на OT-системы не дифференцируются по географическому или отраслевому признаку
  • 85% новых угроз были обнаружены на устройствах с OPC Classic, BACnet и Modbus

Проанализировав данные за 2018 год[16], исследователи выявили множество атак с использованием IT-сетей (IT-based), направленных, в первую очередь, на промышленные сети, программное обеспечение которых давно не обновлялось. С другой стороны, подобные действия в отношении ИТ-систем более не являются эффективными. Кроме того, наблюдается рост количества атак, направленных на SCADA и ICS.

Такие угрозы зачастую нацелены на самые уязвимые части OT-сетей и используют сложности, вызванные отсутствием стандартизации протоколов. Примечательно также, что подобные атаки не дифференцируются по географическому или отраслевому признаку – в 2018 наблюдался рост по всем направлениям и во всех регионах мира.

Эксперты Fortinet также выявили тревожную тенденцию увеличения распространенности эксплоитов практически для каждого поставщика ICS / SCADA. В дополнение к атакам на необновленные OT-системы, 85% новых угроз были обнаружены на устройствах с OPC Classic, BACnet и Modbus. Кроме того, киберпреступники также используют в своих интересах широкий спектр OT-протоколов, не имеющих единого стандарта и отличающихся в зависимости от функционала системы, географии и индустрии. Это создает сложности в разработке решений по безопасности OT-систем для вендоров по всему миру.

В целом исследование показало, что риски, связанные с конвергенцией IT/OT, вполне реальны и должны серьезно восприниматься любой организацией, которая начала подключать свои промышленные системы к ИТ-сетям. Злоумышленники продолжат использовать более медленные циклы замены и обновления технологии на предприятиях. Такая тенденция, вероятно, будет сохраняться на протяжении многих лет. Лучший способ противостоять новым угрозам – принять и внедрить комплексный стратегический подход, который упростит функционирование OT-систем и задействует всех имеющихся в организации экспертов в области IT и ОТ.

Цена хакерского взлома

Расходы от хакерских атак окупаются сразу после первого хищения, сообщается в исследовании экономики хакеров от Positive Technologies. Начальная стоимость хакерской атаки на финансовые организации составит порядка 45–55 тыс. долларов США, сообщают в мае 2019 года специалисты.

Примерно 2,5 тыс. долларов США стоит месячная подписка на сервис по созданию документов с вредоносом, инструменты по созданию вредоносных файлов стоят 300 долларов, исходный код программы-загрузчика вредоноса — от 1,5 тыс. долларов, программа по эксплуатации уязвимостей для внедрения — порядка 10 тыс. долларов, легальные инструменты, которые могут использовать хакеры, знатоки рынка оценили в 30–40 тыс. долларов.

Самые незначительные расходы идут на рассылку вредоносов. Так по оценкам эксперта, они составляют порядка 1 тыс. долларов в месяц.

Мошенник выманил у Google и Facebook $123 млн

В конце марта 2019 года Министерство юстиции США вынесло обвинение гражданину Литвы, который выманил у Google и Facebook $123 млн. Мошенник, признавший себя виновным, обманул американские компании с помощью компрометации корпоративного e-mail. Подробнее здесь.

Массовые задержания пользователей теневого интернета

В конце марта 2019 года стало известно о массовых задержаниях преступников, которые вели свою незаконную деятельность в теневом интернете. Подробнее здесь.

В номерах десятков гостиниц встроили мини-камеры. Подглядывать за гостями можно было за $50 в месяц

В середине марта 2019 года стало известно, что в десятках гостиниц Южной Кореи были установлены мини-камеры. Тайная съемка 1600 ни о чем не подозревающих туристов транслировалась в прямом эфире – подглядывать за гостями можно было за $50 в месяц.

В целом в скандал оказались вовлечены 30 гостиниц в десяти городах страны; двое правонарушителей уже арестованы, еще двое находятся под расследованием. Камеры были спрятаны в коробках цифрового телевидения, настенных розетках и держателях для фена, а отснятый материал транслировался онлайн, говорится в заявлении отдела кибер-расследований Национального агентства полиции. На сайте трансляции было зарегистрировано более 4000 участников, 97 из которых платили за доступ к камерам ежемесячно. По данным полиции, в период с ноября 2018 года по март 2019 года эта услуга принесла нарушителям более $6000.

Клиентов мотелей в Южной Корее записывали на скрытые камеры и транслировали видео онлайн

Южная Корея не впервые сталкивается с подобной ситуацией: в 2012 в полиции было зарегистрировано более 2400 случаев незаконных съемок, в 2017 году уже более 6400 случаев, и этот показатель растет. В 2018 году десятки тысяч женщин вышли на улицы Сеула и других городов в знак протеста против подобных нарушений под лозунгом «Моя жизнь не ваше порно!»

В ответ Сеул создал специальную группу женщин-инспекторов, которые проводят регулярные проверки около 20 000 общественных туалетов города для поиска потайных камер. Впрочем, критики осуждают этот шаг как поверхностную меру. Тем не менее, этим деятельность полиции не ограничивается: в январе 2019 года совладелец южнокорейского порносайта был приговорен к четырем годам тюрьмы и обязался выплатить штраф в размере $1,26 млн. Soranet, который был закрыт в 2018 году, был популярным сайтом для загрузки видео и фотографий, снятых с помощью скрытых камер.[17]

Мошенники, представляясь техподдержкой Microsoft, устанавливали вирусы

В конце февраля 2019 года был заключен в тюрьму владелец компании Devine Technical Services Бальинджер Сингх (Baljinder Singh), который под видом техподдержки Microsoft предлагал пользователям устранить вирусы с компьютеров, но на самом деле устанавливал вредоносное ПО для кражи денег. Подробнее здесь.

2018

Секс-шантаж в интернете набирает популярность

В августе 2018 года стало известно о набирающем популярность способе вымогательства денег через интернет. Кибермошенники шантажируют пользователей тем, что расскажут их друзьям и близким о просмотре порно.

Хакеры отправляют электронное письмо, в котором прикладывают используемые жертвой логины и пароли, утечка которых, скорее всего, произошло ранее. Авторы сообщения утверждают, что взломали веб-камеру и засняли, как человек смотрит порнографические ролики и что делает в это время. Затем мошенники требуют выкуп в биткоинах за то, чтобы они не рассылали видео, которое якобы есть у них.

Хакеры заработали $0,5 млн, шантажируя жертв тем, что расскажут близким о просмотре порно

В одном из таких писем было написано следующее:

«
Я знаю, что это ваш пароль. Сначала мы записали видео, которое вы смотрели (у вас хороший вкус, ха-ха), а потом сделали запись с вашей веб-камеры (да, именно то место, где вы занимаетесь грязными делишками).
»

В этом сообщении хакеры требуют перечислить $1400 на биткоин-кошелек в течение 24 часов. В качестве доказательства они изъявляют готовность разослать интимное видео нескольким друзьям.

Пользователи, которые боятся запятнанной репутации, соглашаются на требования мошенников.

На такой схеме, как рассказал изданию Motherboard генеральный директор занимающейся кибербезопасностью компании Banbreach Суман Кар (Suman Kar), мошенники с минимальными усилиями смогли заработать $500 тыс., используя старые пароли.

В Banbreach изучили около 770 электронных кошельков, которые указывали мошенники в сообщениях о порно-шантаже. Большинство (540) кошельков были пустыми, но в 230 замечены более 1 тыс. транзакций на общую сумму в 71 биткоин.[18]

Некоторые злоумышленники находят жертв в социальных сетях и вебкам-чатах, знакомятся с ними от лица привлекательной женщины или мужчины и вовлекают пользователя в откровенный разговор, целью которого является виртуальный половой акт. Как только преступникам удается запечатлеть жертву на камеру или получить скриншот интимной переписки, они начинают шантажировать ее, угрожая опубликовать видео- и фотоматериалы в открытом доступе. 

Киберпреступники похитили около $1,2 млрд в криптовалюте

С начала 2017 года киберпреступники похитили около $1,2 млрд в криптовалюте. Такие данные содержатся в отчете международной некоммерческой организации Anti-Phishing Working Group (APWG). Выдержки из исследования 24 мая 2018 года опубликовало агентство Reuters.

В интервью агентству председатель APWG Дейв Джеванс (Dave Jevans), также возглавляющий компанию CipherTrace, специализирующуюся на вопросах безопасности в сфере криптовалют, заявил, что кража токенов злоумышленниками — распространенная проблема, в дополнение к контрабанде наркотиков и отмыванию денег с использованием криптовалют.

Кражи криптовалют достигли $1,2 млрд с 2017 года

По оценке Дейва Джеванса, из указанной суммы в $1,2 млрд лишь около 20% или менее того удалось вернуть силами правоохранителей. По его словам, органы правопорядка по всему миру заняты отслеживанием злоумышленников, причастных к краже цифровых денег.[19]

Об очередном крупном инциденте, связанном с криптовалютным мошенничеством, стало известно в мае 2018 года. Агентство Bloomberg сообщило о начатом в США расследовании по поводу предполагаемых манипуляций с курсом биткоина и других криптовалют.

Министерство юстиции США выясняет, не прибегали ли трейдеры к незаконным практикам, влияющим на котировки, таким как спуфинг. Под данным термином понимается наводнение рынка фейковыми заявками с целью подтолкнуть других трейдеров к покупке или продаже криптовалюты.

Минюст сотрудничает в расследовании с Комиссией по фьючерсной торговле сырьевыми товарами (CFTC), которая является финансовым регулятором рынка деривативов на биткоин.[20]

Ранее Центробанк РФ оценил общий ущерб от хищений на мировом рынке криптовалют с начала 2018 года. Как сообщила глава департамента финансовых технологий Банка России Алиса Мельникова на прошедшем 10 апреля Московском биржевом форуме, с начала этого года в мире было совершено 22 крупные мошеннические схемы с использованием цифровых финансовых активов, криптовалют. В результате злоумышленники похитили около $1,36 млрд в криптовалюте, или $23 млн в день. В январе только с японской биржи CoinCheck было выведено более $420 млн, подчеркнула Мельникова, ссылаясь на имеющуюся у ЦБ статистику.[21]

Технологическое соглашение по кибербезопасности (Cybersecurity Tech Accord)

17 апреля 2018 года 34 компании в сфере технологий и обеспечения безопасности подписали Технологическое соглашение по кибербезопасности (Cybersecurity Tech Accord) - договор между крупнейшей в истории группой компаний, обязующихся защищать клиентов по всему миру от злонамеренных действий киберпреступников. В число 34 компаний-подписантов вошли ABB, Arm, Cisco, Facebook, HP, HPE, Microsoft Corp., Nokia, Oracle и Trend Micro. Совместно эти предприятия представляют создателей и пользователей технологий, обеспечивающих работу мировой коммуникационой и информационной инфраструктуры.

  • Повышенная защита - Предприятия создадут более мощную систему защиты от кибератак. В рамках этого начинания компании обязались защищать клиентов по всему миру вне зависимости от мотивов и целей онлайн-атак.
  • Ненападение - Компании не будут оказывать содействие правительствам в нанесении кибератак и предпримут меры по защите своих продуктов и сервисов от взлома или злонамеренного использования на всех этапах технологической разработки и дистрибуции.
  • Наращивание потенциала - Предприятия будут прилагать дополнительные усилия для поддержки разработчиков, компаний и частных пользователей своих технологий, помогая им расширять свою способность к самозащите. Такие усилия могут включать совместную разработку новых практических стандартов обеспечения безопасности и новых функций, которые компании смогут внедрять в свои продукты и сервисы.
  • Коллективные действия - Компании будут развивать существующие связи и совместно создавать новые формальные и неформальные партнёрства с другими представителями отрасли, гражданского общества и исследовательских кругов с целью наращивания масштабов технического сотрудничества, выявления факторов уязвимости, совместного анализа рисков и сведения к минимуму потенциальной возможности появления вредоносных кодов в киберпространстве.

Несмотря на тот факт, что многие подписанты соблюдали все эти принципы до заключения соглашения, пусть и не афишируя это, данный договор представляет собой публичное совместное обязательство сотрудничать в вопросах обеспечения кибербезопасности. Технологическое соглашение остаётся открытым и для других подписантов из частного сектора, вне зависимости от масштабов или специализации их деятельности, пользующихся высокой репутацией, строгими стандартами кибербезопасности и согласных безоговорочно соблюдать принципы докумнта.

Жертвами кибератак становятся предприятия и организации всех масштабов, а экономический ущерб от подобных злонамеренных действий к 2022 году может достичь 8 трлн. долл. США[22]. Среди прочих рисков недавние кибератаки привели к закрытию предприятий малого бизнеса, задержкам жизненно важных хирургических операций и сбоям в предоставлении общественных услуг.

"Технологическое соглашение поможет защищать функциональную целостность триллиона сетевых устройств, которые, по нашим прогнозам, будут введены в строй на протяжении следующих 20 лет, - отметила главный консультант Arm Каролин Херцог (Carolyn Herzog). - Договор объединяет ресурсы, опыт и стратегические наработки важнейших технологических компаний мира, создавая прочный фундамент для пользователей технологий, которые смогут извлечь обширнейшие преимущества из более безопасного сетевого окружения".

Подписанты Технологического соглашения по кибербезопасности: ABB, Bitdefender, Cisco, ARM, BT, Cloudflare, Avast!, CA Technologies, DataStax, Dell, HPE, SAP, DocuSign, Intuit, Stripe, Facebook, Juniper Networks, Symantec, Fastly, LinkedIn, Telefonica, FireEye, Microsoft, Tenable, F-Secure, Nielsen, Trend Micro, GitHub, Nokia, VMware, Guardtime, Oracle, HP Inc., RSA

Технологическое соглашение по кибербезопасности (Cybersecurity Tech Accord). Данный документ представляет собой публичное совместное обязательство 34 международных компаний мира, намеревающихся защищать и поддерживать гражданское общество в онлайн-среде, а также повышать безопасность, стабильность и устойчивость киберпространства.

Microsoft Security Intelligence Report

Корпорация Microsoft опубликовала в апреле 2018 года отчет об угрозах информационной безопасности Security Intelligence Report за период с февраля 2017 года. Он базируется на данных, полученных защитными программами и сервисами компании (Данные о количестве обнаруженных угроз, а не о случаях заражения). Информация была предоставлена корпоративными и частными пользователями, которые согласились делиться ей с привязкой к геолокации.

Отчет посвящен трем темам: ботнетам, популярным методам хакерских атак и вирусам-вымогателям. Целью публикации отчета является повышение осведомленности корпоративных и частных пользователей о существующих угрозах и методах противодействия им.

Широкое распространение ботнетов и вирусов-вымогателей привело к тому, что количество устройств в России, столкнувшихся с киберугрозами в период с февраля 2017 года по январь 2018 года, достигло 25-30% в среднем в месяц, тогда как аналогичный показатель в первом квартале 2017 года был почти в два раза меньше – 15%. Самые высокие показатели были зафиксированы в Пакистане, Непале, Бангладеше и Украине (33,2% или выше), самые низкие – в Финляндии, Дании, Ирландии и США (11,4% или ниже).

Согласно данным Windows Defender Security Intelligence, самой часто встречающейся категорией нежелательного ПО стали трояны. Процент их распространения с февраля 2017 года по январь 2018 года вырос с 6% до 10%. Показатели других видов вредоносного ПО (дропперов, обфускаторов, вирусов-вымогателей и т.д.) составили менее 1%.

В 2017 году методы получения «легкой добычи», такие как фишинг, использовались для того, чтобы получить учетные данные и другую конфиденциальную информацию от пользователей. Согласно данным Microsoft Advanced Threat Protection (ATP) фишинг был в числе самых серьезных угроз в почтовых ящиках пользователей Office 365 во втором полугодии 2017 года (53%), 180-200 миллионов фишинговых писем обнаруживались ежемесячно. В России, в частности, было обнаружено 7,01 (в мире – 5,85) фишинговых сайтов на каждую 1000 хостов. Следующими по распространенности угрозами стали загрузчики вредоносного ПО (29%) и Java-бэкдоры (11%).

Другой мишенью для злоумышленников являются облачные приложения с низким уровнем безопасности. В ходе исследования выяснилось, что 79% SaaS-приложений для облачного хранения данных и 86% SaaS-приложений для совместной работы не обеспечивают шифрование ни хранящейся, ни передаваемой информации. Для защиты корпоративной инфраструктуры организации должны ограничивать использование пользователями облачных приложений, не использующих шифрование, и контролировать это с помощью брокера безопасности облачного доступа (Cloud Access Security Broker, CASB).

Еще одна тенденция второй половины 2017 года – киберпреступники используют легитимные встроенные средства системы, чтобы распространить зараженный документ (например, документ Microsoft Office), содержащийся в фишинговом письме, и загрузить программу-вымогатель. Лучшим способом избежать такого вида угрозы является своевременное обновление операционной системы и программного обеспечения.

Cisco Annual Cybersecurity Report

Вредоносное ПО не перестает совершенствоваться: сегодня злоумышленники используют облачные сервисы и избегают обнаружения с помощью шифрования, которое помогает скрыть активность потока команд и управления. По данным 11-го отчета Cisco по кибербезопасности (Cisco 2018 Annual Cybersecurity Report, ACR[23]), чтобы сократить время обнаружения злоумышленников, специалисты по кибербезопасности начинают все больше применять (и закупать) средства, использующие искусственный интеллект (ИИ) и машинное самообучение (МС).

С одной стороны, шифрование помогает усилить защиту, с другой — рост объемов как легитимного, так и вредоносного шифрованного трафика (50% по состоянию на октябрь 2017 г.) множит проблемы для защищающихся в процессе выявления потенциальных угроз и мониторинга их активности. За прошедшие 12 месяцев специалисты Cisco по информационной безопасности зафиксировали более чем трехкратный рост шифрованного сетевого трафика от инспектируемых образцов вредоносного ПО.

Применение машинного самообучения помогает повысить эффективность защиты сети и с течением времени позволит автоматически выявлять нестандартные паттерны в шифрованном веб-трафике, в облачных и IoT-средах. Некоторые из 3600 директоров по информационной безопасности, опрошенных в ходе подготовки отчета Cisco 2018 Security Capabilities Benchmark Study, заявили, что доверяют таким инструментам, как МС и ИИ, и хотели бы их использовать, но они разочарованы большим количеством ложных срабатываний. Технологии МС и ИИ, которые сейчас находятся в самом начале своего развития, с течением времени усовершенствуются и научатся определять «нормальную» активность сетей, мониторинг которых они осуществляют.

Некоторые результаты отчета Cisco 2018 Annual Cybersecurity Report

Финансовый ущерб от атак все более реален

  • По данным респондентов, более половины всех атак нанесли финансовый ущерб в размере свыше 500 млн долларов, включая в том числе потерю доходов, отток заказчиков, упущенную выгоду и прямые издержки.

Атаки на цепочки поставок усложняются и набирают скорость

  • Такие атаки способны масштабно поражать компьютеры, при этом их действие может продолжаться месяцы и даже годы. Необходимо помнить о потенциальных рисках использования программного и аппаратного обеспечения организаций, которые не воспринимают серьезно вопросы информационной безопасности.
  • В 2017 г. две подобные атаки заражали пользователей вирусами Nyetya и Ccleaner через доверенное ПО.
  • Для снижения рисков атаки на цепочку поставок необходимо пересматривать процедуры сторонних организаций для тестирования эффективности технологий информационной безопасности.

Защищать становится все сложнее, уязвимости становятся разнообразнее Для своей защиты организации используют комплексные сочетания продуктов от различных производителей. Такое усложнение при расширяющемся разнообразии уязвимостей отрицательно сказывается на способность организаций к отражению атаки и ведет в том числе к увеличению рисков финансовых потерь.

  • В 2017 г. 25% специалистов по информационной безопасности сообщили, что используют продукты от 11—20 вендоров, в 2016 г. так ответили 18%.
  • Специалисты по информационной безопасности сообщили, что 32% уязвимостей затронули более половины систем, в 2016 г. так ответили 15%.

Специалисты по информационной безопасности оценили пользу средств поведенческого анализа для выявления вредоносных объектов

  • 92% специалистов считают, что средства поведенческого анализа хорошо справляются с поставленной задачей.
  • 2/3 представителей сектора здравоохранения и представители индустрии финансовых услуг считают поведенческую аналитику полезной для выявления вредоносных объектов.

Растет использование облачных технологий; атакующие пользуются отсутствием продвинутых средств обеспечения безопасности

  • В этом году 27% специалистов по информационной безопасности сообщили об использовании внешних частных облаков (показатель 2016 г. — 20%).
  • Из них 57% размещают сеть в облаке ради лучшей защиты данных, 48% — ради масштабируемости, 46% — ради удобства эксплуатации.
  • Хотя облако и обеспечивает повышенную безопасность данных, атакующие пользуются тем, что организации не очень хорошо справляются с защитой развивающихся и расширяющихся облачных конфигураций. Эффективность защиты таких конфигураций повышается с использованием сочетания передовых методик, таких продвинутых технологий безопасности, как машинное самообучение, и таких средств защиты первой линии, как облачные платформы информационной безопасности.

Тенденции роста объемов вредоносного ПО и время обнаружения

  • Продемонстрированное Cisco медианное время обнаружения (time to detection, TTD) за период с ноября 2016 по октябрь 2017 г. составило около 4,6 часов. В ноябре 2015 г. этот показатель составил 39 часов, а по данным Отчета Cisco по кибербезопасности за 2017 г., медианное время обнаружения за период с ноября 2015 по октябрь 2016 г. составило 14 часов.
  • Ключевым фактором для Cisco в процессе сокращения времени обнаружения и поддержания его на низком уровне стали облачные технологии обеспечения информационной безопасности. Чем меньше время обнаружения, тем быстрее отражается атака.

Дополнительные рекомендации для подразделений информационной безопасности:

  • контроль за соблюдением корпоративных политик и практик для обновления приложений, систем и устройств;
  • своевременное получение точных данных по угрозам и наличие процессов, позволяющих использовать эти данные для контроля безопасности;
  • проведение углубленного и продвинутого анализа;
  • регулярное резервное копирование данных и проверка процедур восстановления — критичные действия в условиях быстрой эволюции сетевых программ-вымогателей и разрушительного вредоносного ПО;
  • проведение проверки безопасности микросервисов, облачных сервисов и систем администрирования приложений.

Обвинение членов группы Infraud

7 февраля 2018 года Министерство юстиции США сообщило о предъявлении обвинений 36 лицам, входящим в киберпреступную группу Infraud, чья деятельность нанесла ущерб потребителям, бизнесу и финансовым организациям на сумму более $530 млн. При этом хакеры намеревались украсть более $2,2 млрд. Подробнее здесь.

Интернету грозит фрагментация из-за кибератак

В результате трансграничных кибератак интернет может распасться на отдельные национальные и региональные участки. Об этом сообщается в докладе «Глобальные риски – 2018», представленном на Всемирном экономическом форуме (ВЭФ) в Женеве.

Фрагментация Глобальной сети может привести к прекращению ее функций и замедлению технического прогресса. Предотвратить разделение интернета на части поможет развитие сферы кибербезопасности. По мнению авторов доклада, большое значение в этом сыграет диалог между правительствами и технологическими компаниями.

Согласно докладу, в настоящее время больше внимания уделяется развитию наступательных, а не оборонительных возможностей в киберпространстве. Из-за этого возникает «туман неопределенности, при котором потенциал неправильных расчетов может вызвать спираль ответных карательных мер», – приводит отрывок из доклада информагентство ТАСС Информационное агентство России. В свою очередь, принятие ответных мер может вызвать цепную реакцию, отмечают авторы.

Существует вероятность того, что настоящий источник кибератаки будет определен неверно и ответный удар будет нанесен по невинной цели. Тогда цель также нанесет ответный удар, и круг вовлеченных в конфликт сторон расширится. В результате атак на неверные цели в ход даже может пойти физическое, а не кибероружие.

В настоящее время применение обычного вооружения регулируется с правовой стороны, и необходимо разработать подобные нормы по отношению к ведению кибервойны, уверены авторы доклада. С помощью таких норм можно было бы запретить целые классы кибероружия, как это сделано с химическим и биологическим оружием.

Клиника заплатила $55 тыс. кибервымогателям

В начале января 2018 года клиника Hancock Health в американском городе Гринфилде, Индиана, подверглась хакерской атаке с помощью вируса-шифровальщика SamSam, который парализовал работу медучреждения в самый разгар эпидемии гриппа в штате. Чтобы быстрее восстановить данные, руководство больницы заплатило вымогателям выкуп в размере 4 биткоинов, что на момент выплаты составила порядка $55 тыс. Подробнее здесь.

2017

Тренды от PandaLabs

  • Более половины атак обусловлено стремлением извлечь из них финансовую выгоду, в то время как шпионаж стал вторым основным мотивирующим фактором.
  • Скрытые атаки с адаптивными горизонтальными перемещениями становятся весьма распространенным явлением.
  • Злоумышленники все чаще стали осуществлять атаки без использования вредоносных программ. Они предпочитают оставаться незамеченными для традиционных моделей защиты, не требуя взаимодействия с жертвой. При оптимальном исполнении такие атаки способны удвоить получаемую прибыль.
  • Инструменты для эксплуатации уязвимостей породили новые векторы атаки, которые также не требуют взаимодействия с жертвой.
  • Цель – конечные устройства. Периметр стал размытым, мобильность – это норма практически для любой компании, а потому корпоративные сети стали все более уязвимы.
  • Бывшие сотрудники предприятий пытаются шантажировать своих предыдущих работодателей, инициируя атаки изнутри компаний.
  • Также в 2017 году мы наблюдали все более широкое присутствие организованных кибер-преступных групп, таких как Lazarus Group, атакующих СМИ, аэрокосмический и финансовый секторы, а также объекты критической инфраструктуры в США и других странах мира.
  • Кибер-войны и кибер-армии: в кибер-пространстве наблюдается полномасштабная гонка вооружений, и многие государства создают командные кибер-центры для повышения уровня защиты от атак, направленных на свои компании и инфраструктуры.

Итоги года и прогнозы от Positive Technologies

Минувший год, по мнению экспертов Positive Technologies, запомнился следующими событиями и тенденциями:

  • Вирусы-вымогатели. Отсутствие актуальных обновлений и привычка жить с уязвимостями привели к остановке заводов Renault во Франции, Honda и Nissan в Японии; пострадали банки, школы, энергетические, телекоммуникационные компании.
  • Практическая безопасность. С бумажной безопасностью начали бороться на самом высоком уровне. Федеральный закон N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» не просто рекомендует, а обязывает защищаться государственные и коммерческие компании и вводит механизмы контроля эффективности защитных мер.
  • Уязвимости телекома стали использовать. Злоумышленники начали перехватывать коды для двухфакторной аутентификации с помощью уязвимостей сигнального протокола SS7. Первыми пострадали абоненты O2-Telefonica.
  • «Масштабируемые» атаки на банкоматы. Банкоматы грабят давно и разными способами, например, привязывают к тросу автомобиля и увозят. Но когда киберпреступники стали подключаться к локальной сети банка и удаленно контролировать множество ATM, у банков появился серьезный повод для беспокойства.
  • Тайный майнинг. Весной 2017 года наши эксперты обнаружили сотни компьютеров в крупных компаниях, которые майнили криптовалюту для неизвестных взломщиков. Майнер использовал ту же уязвимость, что и WannaCry, и защищал от шифровальщика захваченные ПК.
  • Войти через IoT. Не успел стихнуть шум вокруг безопасности IoT из-за ботнетов и DDoS-атак, как с помощью незащищенных «умных» кофемашин стали останавливать нефтехимические заводы, а смарт-аквариумы использовать для атак на казино.
  • Биткоины и уязвимый веб. К концу года биткоин опередил по капитализации российский рубль, и хакеры сконцентрировали свое внимание на блокчейн-стартапах. Самая простая схема атаки — найти уязвимости на сайте ICO и подменить адрес кошелька для сбора инвестиций. Израильский CoinDash таким образом лишился $7,5 млн.
  • Эпидемия целевых атак. Число компаний, столкнувшихся в 2017 году с APT-атаками, увеличилось почти вдвое. Одновременно с этим атаки прямо на глазах усложняются, начинают активно применяться методы, затрудняющие анализ и расследование инцидентов.

В числе прогнозов на 2018 год эксперты Positive Technologies отмечают следующие:

  • Ответом на усложнение атак стал рост интереса к построению центров мониторинга безопасности (SOC). Только в этом году около 10 компаний приступили к созданию своих SOC в той или иной форме. В 2018 году число SOC вырастет в три раза.
  • Система ГосСОПКА и требования закона N 187-ФЗ не гарантируют, что систему невозможно будет взломать, но выполнение этих требований и создание центров ГосСОПКА позволит отсечь 90% примитивных атак, позволив сконцентрироваться на высокоуровневых.
  • Продолжится рост логических атак на банкоматы (только за первое полугодие 2017 года общий объем атак такого типа в странах Европы вырос на 500%). Банки, в свою очередь, станут еще активнее интересоваться реальными угрозами, грозящими финансовыми потерями, и оценивать риски.
  • Уязвимости мобильных сетей могут стоить человеческих жизней. С помощью мобильных сетей самоуправляемые автомобили обмениваются данными о скорости, расположении автомобилей на трассе и другими данными. DDoS-атаки могут оставить такой автомобиль буквально без «чувств и глаз». В качестве другого примера можно назвать умные светофоры, подключенные к мобильным сетям. В рамках рабочих групп наши эксперты обратили внимание мобильных операторов на небезопасности протокола Diameter. Благодаря этому операторами было принято решение об отказе от протокола Diameter в сетях следующего поколения 5G и замены его на альтернативный вариант.
  • Внимание злоумышленников будет направлено на веб-кошельки — это хоть и удобно, но небезопасно, рано или поздно они будут взломаны. Мы прогнозируем также рост количества взломов веб-приложений блокчейн-проектов за счет фишинга.
  • Аппаратные атаки, такие как использование уязвимости в Intel Management Engine, ожидает реннесанс. Если злоумышленники сумеют ими воспользоваться, на другой уровень выйдут таргетированные атаки, а также атаки криптолокеров, когда не просто блокируются данные, но и ломается материнская плата.

Прогнозы Trend Micro

Компания Trend Micro опубликовала в декабре 2017 года ежегодный отчет с прогнозами по информационной безопасности на 2018 год «Изменения парадигмы: прогнозы по информационной безопасности 2018» (Paradigm Shifts: Trend Micro Security Predictions for 2018[24]). Согласно прогнозам, использование известных уязвимостей в атаках будет увеличиваться в результате роста атакуемой поверхности современных предприятий, что открывает все больше брешей в защите. Чтобы защитить наиболее ценные данные организации, руководство должно поменять приоритеты в пользу патч-менеджмента и обучения сотрудников.

Как говорится в отчете, по прогнозам компании Trend Micro на 2018 год в процессе слияния информационных (IT) и операционных (ОТ) технологий приложения и платформы предприятий попадают под риски манипуляций и уязвимостей. Кроме того, Trend Micro прогнозирует рост числа уязвимостей в области Интернета вещей (IoT), поскольку все больше устройств производятся без учета правил безопасности и отраслевых стандартов. В целом, рост сетевой связанности и увеличенная атакуемая поверхность создают новые возможности для киберпреступников, использующих известные огрехи в защите для проникновения в корпоративную сеть.

Программы-вымогатели останутся ключевой составляющей ландшафта киберугроз, так как они доказали свою успешность. Компания будет наблюдать увеличение направленных атак программ-вымогателей, в рамках которых будут подвергаться опасности отдельные предприятия, после чего руководители будут вынуждены выплатить больший выкуп. Компрометация корпоративной электронной переписки (ВЕС-атаки) также будет набирать популярность у злоумышленников, так как окупаемость в случае успешной атаки весьма высока.

Киберпреступники также будут использовать все больше распространяющие свое влияние технологии - блокчейн и машинное обучение - для маскировки своей деятельности от традиционных методов защиты информации. По этой причине Trend Micro рекомендует использовать эшелонированную стратегию с использованием технологий безопасности разных поколений, которая сочетает в себе передовые инструменты безопасности, подкрепленные почти 30-летним опытом компании в защите крупнейших мировых брендов.

Основные выводы:

  • По прогнозам экспертов, глобальные потери от ВЕС-атак в 2018 году превысят сумму в $9 млрд.
  • Киберпреступники начнут использовать технологии машинного обучения и блокчейн в своих методиках взлома. DAO (Decentralized Autonomous Organization), первый децентрализованный венчурный фонд, построенный на базе блокчейна Ethereum, подвергся крупной масштабной атаке. В результате эксплуатации ошибки в коде DAO со счетов проекта исчезли более $50 млн электронной наличности
  • В 2018 году программы-вымогатели останутся основным инструментом получения прибыли, хотя и другие виды киберпреступлений будут набирать обороты
  • В 2018 году киберпреступники найдут новые способы использовать бреши в устройствах класса IoT для получения собственной выгоды. Кроме DDoS-атак, злоумышленники будут использовать IoT-устройства для создания прокси-серверов с целью скрыть свое настоящее местоположение и веб-трафик. Причина подобной тенденции в том, что при проведении расследований полиция чаще всего опирается на IP-адрес в журналах. Все больше устройств, таких как биометрические трекеры, дроны, аудиоколонки и голосовые помощники будут взломаны с целью извлечения накопленных данных, проникновения в жилища и т.д.
  • Корпоративные приложения и платформы будут подвержены риску нецелевого использования и уязвимостям. SAP и другие системы планирования ресурсов предприятия могут быть взломаны. Если обрабатываемые данные были модифицированы или отправлена неправильная команда в системе ERP, вычислительная техника может стать инструментом саботажа, приводя к ошибочным решениям, таким как неверные объемы ресурсов, нежелательные переводы денег и даже перегрузка систем
  • Кампании киберпропаганды станут более отточенными, благодаря использованию уже опробованных методик спам-рассылок
  • Большинство компаний начнут соблюдать правила европейского закона о защите персональных данных акта (General Data Protection Regulation, GDPR) только после первого громкого судебного процесса

Спецслужбы США: «Исламское государство» «ушло» в виртуальный мир

Террористическая организация «Исламское государство» (ИГ) после разгрома в Сирии обосновалось в киберпространстве. Такое предположение в начале декабря 2017 года выдвинули представители спецслужб США.

«
Возможности ИГ связываться с симпатизирующими им людьми посредством социальных сетей беспрецедентны и дают организации шанс достичь большого числа экстремистов внутри разных стран, — подчеркнула глава разведки в Национальном контртеррористическом центре США Лора Шайо.
»

Таким образом, по мнению представителей спецслужб, террористы продолжат продвигать свою идеологию средствами интернета.

Рон Джонсон, представитель комитета по нацбезопасности и государственным вопросам, также считает, что «новый халифат» теперь расположен в киберпространстве.[25]

PwC: Российские компании сравнялись с американскими по уровню кибербезопасности

Стратегию по кибербезопасности имеют 60% российских компаний. Таким образом в данной сфере Россия обошла Германию (45%), Францию (51%), Италию (55%) и сравнялась с США (также 60%). Об этом сообщают «Известия» со ссылкой на отчет консалтинговой компании PricewaterhouseCoopers (PwC)[26].

По данным отчета, наиболее защищеными от кибератак странами являются Малайзия (74%), Япония (72%) и Индонезия (70%). Основное отличие российских компаний от зарубежных состоит в том, что не все из них выбирают и используют на практике международные стандарты кибербезопасности и, как следствие, отдельные аспекты защиты от киберугроз часто упускаются. В то же время за границей данные стандарты часто являются обязательными.

Согласно отчету, наиболее серьезными киберугрозами в российских компаниях считают нарушение конфиденциальности данных (48%), нарушение нормального хода деятельности компании (47%), снижение качества продукции (27%) и создание угрозы для жизни (21%).

Как отмечается в отчете, большинство сотрудников опрошенных российских компаний назвали фишинговые атаки основными причинами киберинцидентов. На втором месте оказалось использование мобильных устройств - на данную проблему указали более четверти респондентов.

Как отметили эксперты, больше всего средств на защиту от киберугроз тратит государственный сектор. Госструктуры в больших объемах закупают программные и аппаратные средства защиты и реализуют крупные IT-проекты. В то же время банки лидируют в данном вопросе по показателю эффективности защиты от киберинцидентов.

Специалисты также отмечают, что Россия и США являются мировыми лидерами в сфере кибербезопасности. Добившись определенных успехов на данном рынке, РФ сможет экспортировать продукты и услуги по защите от киберугроз за рубеж, считают они.

Данные "Лаборатория Касперского"

Согласно данным исследования «Лаборатории Касперского» с участием более 350 представителей индустриальных организаций по всему миру, включая Россию, за последние 12 месяцев каждая вторая промышленная компания в мире пережила от одного до пяти киберинцидентов – они затронули критически важные инфраструктуры или автоматизированные системы управления технологическими процессами (АСУ ТП) на этих предприятиях. На устранение последствий этих инцидентов, случившихся в течение года, каждая компания потратила в среднем $497 тыс.

Опрос также показал, что столкновение с киберугрозами не стало неожиданностью для промышленных предприятий – три четверти компаний допускают вероятность пострадать от кибератаки. Более того, 83% респондентов считают себя хорошо подготовленными к тому, что в их промышленных инфраструктурах может произойти какой-либо инцидент.

Больше всего на сегодняшний день компании опасаются возможности заражения вредоносным ПО. И реальность показывает, что это не напрасно – 53% пострадавших от инцидентов предприятий подтвердили случаи столкновения с различными зловредами. Более того, около трети компаний (36%) подвергались таргетированным атакам. Таким образом, вредоносные программы и хорошо спланированные целенаправленные операции стали доминирующими угрозами для промышленных и критически важных инфраструктур.

В то же время исследование показало, что компании зачастую недооценивают внутренние угрозы, опасаясь рисков извне. Так, 44% организаций полагают, что их кибербезопасности с большой долей вероятности будут угрожать какие-либо третьи лица, например, поставщики. А 33% считают, что наибольшую опасность для них представляют программы-вымогатели. Однако чаще киберинциденты в промышленных сетях случаются из-за ошибок и непреднамеренных действий персонала – именно этот фактор угрожал почти трети (29%) компаний.

Как мошенник нагрел авиакомпании на 32 млн долл и сел на 5 лет

В июне 2017 года в США к почти пяти годам тюрьмы приговорен мошенник, который нанес ущерб в $32 млн авиакомпаниям и туристическим агентствам. 32-летний гражданин Камеруна Эрик Донис Симью (Eric Donys Simeu) еще в декабре 2016 года признал себя виновным.[27]

Как следует из судебных документов, в течение продолжительного времени Симью и его подельники рассылали фишинговые письма от лица Travelport и SABRE - крупнейших операторов глобальных систем дистрибуции - их основным клиентам, в том числе авиалиниям и агентам по бронированию и продаже авиабилетов. Жертв заманивали на вредоносный сайт, на котором те должны были вводить свои логины и пароли. Злоумышленники использовали их для того, чтобы получать доступ уже к сетям самих систем дистрибуции.

В июне 2017 года в США к почти пяти годам тюрьмы приговорен мошенник, который нанес ущерб в миллионы долларов авиакомпаниям и туристическим агентствам

В результате в период между июлем 2011 и сентябрем 2014 года Симью и его подельники мошенническим образом заказали авиабилеты более чем на два миллиона долларов. Билеты эти либо втридорога перепродавались на сторону жителям западно-африканских стран, либо же члены банды использовали их для путешествий в свое удовольствие.

Симью был задержан в сентябре 2014-го в парижском аэропорту имени Шарля де Голля. Как оказалось, к тому времени на него уже был выписан международный ордер на арест. После 18 месяцев во французской тюрьме, Симью экстрадировали в США, где он предстал перед судом. Признание вины обеспечило ему сравнительно легкое наказание: четыре года и десять месяцев тюрьмы и возмещение в размере 162 146 долларов компании Travelport.

«
Мошенничество обходится мировому бизнесу в миллиарды долларов ежегодно, при том, что разнообразием методы злоумышленников не блещут: в схеме по которой работал Симью и его почему-то так и оставшиеся неизвестными подельники, нет ничего нового, - отмечает Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - Симью наконец отправился за решетку, однако, если вдуматься, то его не могли вычислить три года, его подельники так и остались неизвестными, ущерб остается невозмещенным. Вдобавок, один мошенник-фишер - это капля в море. Ключ к эффективной защите от подобного мошенничества - это регулярное обучение пользователей, в первую очередь, корпоративных работников, как определять попытки фишинговых атак и противодействовать им.
»

Российские хакеры получили возможность для промышленного шпионажа с эксплойтами АНБ

В мае 2017 года группировка The Shadow Brokers объявила, что планирует в дальнейшем распространять все эксплойты и хакерские инструменты только по подписке. Ранее группировка публиковала их во всеобщем доступе. Теперь желающим придется выплачивать примерно 20 тысяч долларов в месяц — в криптовалюте Zcash. [28]

Подписка, которую сами The Shadow Brokers называют «Wine of Month Club» (Клуб «Вино месяца») [29], обойдется потенциальным абонентам в весьма круглую сумму: 100 ZEC в месяц. ZEC — это новая криптовалюта Zcash, появившаяся в октябре 2016 года [30]

Группа The Shadow Brokers просит более $20 000 за доступ к новым эксплоитам

«Брокеры» указывают, впрочем, что могут сменить платежную систему в любой момент. К концу мая 2017 года 100 Zcash составляет около $21 тыс. Внесшим требуемую сумму и предоставившим контактную информацию будут пересланы ссылки на архив с эксплойтами и пароль к нему.

Что касается содержания июньского архива, то «брокеры» его не раскрывают. Лишь отмечают, что он заинтересует хакеров, компании, занимающиеся вопросами ИТ-безопасности, правительства и OEM-поставщиков. Предварительно анонсирована и июльская «распродажа», но что включать в нее, а что нет, The Shadow Brokers не решили.

«
The Shadow Brokers еще не решают. Что-то ценное для кого-нибудь, — пишут участники группировки на своем «фирменном» ломаном английском. — ...Время, когда «я покажу тебе свое, если ты первым покажешь свое, заканчивается. Народы видят, что случается, когда The Shadow Brokers показывают свое первыми. Это неправильный вопрос. Вопрос, который должен задаваться: «Может ли моя организация позволить себе не первой получить доступ к архиву The Shadow Brokers?
»

Группировка The Shadow Brokers известна исключительно как распространитель хакерских инструментов, похищенных у Equation — группы, тесно связанной с Агентством национальной безопасности США. Большая часть этих эксплойтов нацелена на уязвимости в продуктах Microsoft.

В 2016 году The Shadow Brokers несколько раз попыталась заработать на своей добыче, выставляя эксплойты на продажу или пытаясь собрать деньги с помощью краудфандинга. В апреле 2017 года The Shadow Brokers опубликовала в открытом доступе пароль к архивам с вредоносными инструментами, которые до этого пытались продать, а затем, 14 апреля, выложили новый архив с множеством эксплойтов для Windows, в том числе ETERNALBLUE, DARKPULSAR и другими.

Эксплойт ETERNALBLUE вскоре был использован создателями червя-шифровальщика WannaCry, распространение которого приобрело характер глобальной эпидемии. И это несмотря на то, что еще за месяц до релиза Microsoft выпустила обновления, исправляющие все или большую часть уязвимостей, на которые были направлены эксплойты АНБ.

«
Выставленная цена достаточно высока, однако не исключено, что план The Shadow Brokers сработает, — говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». — Все заинтересованные стороны уже имели возможность убедиться, что в распоряжении группировки - реально работающие и очень опасные инструменты. Так что предположение о том, что и правительства, и киберкриминал - в том числе российский - согласятся инвестировать столь крупные средства ради получения этого оружия в свое распоряжение. Для сферы кибербезопасности в целом это не означает ничего хорошего.
»

Крупнейшая киберсхема на финансовом рынке

22 мая 2017 года украинского хакера Вадима Ермоловича приговорила к 2,5 годам тюремного заключения за участие в преступной схеме, которая позволила злоумышленникам заработать более $100 млн. Об этом говорится в сообщении министерства юстиции США.

Приговор 29-летнему украинцу, задержанному в 2014 году, вынесла окружной судья Ньюарка (Нью-Джерси, США) Мадлен Кокс Арлео (Madeline Cox Arleo). О судебном вердикте публично рассказал исполняющий обязанности федерального прокурора Уильям Фитцпатрик (William Fitzpatrick).

Украинский хакер получил 2,5 года тюрьмы за кражи в $100 млн

Вадим Ермолович признал себя виновным в участии в преступном сговоре с целью взлома компьютеров и хищения персональных данных. Мошенники крали у компаний пресс-релизы до их официальной публикации и продавали инсайдерскую информацию трейдерам, которые затем использовали эти данные для заработка на акциях.

В махинациях участвовали и российские трейдеры. Они составляли для хакеров списки пресс-релизов и имена предпочтительных компаний. Среди них — Caterpillar, Home Depot и Panera Bread.

По данным американских властей, хакеры похитили более 150 тыс. предназначенных для СМИ корпоративных сообщений с порталов Business Wire, Marketwired и PR Newswire в период с февраля 2010 года по август 2015-го. Киберпреступники заработали на этом около $100 млн.

Reuters отмечает, что речь идет о крупнейшей известной хакерской схеме, применяемой для игры на финансовых рынках, а 29-летний Вадим Ермолович из Киева стал первым участником этой группировки, признавшимся в совершении преступлений. Учитывая это смягчающееся обстоятельство, судья приговорила его к 30 месяцам тюрьмы.

Комиссия по ценным бумагам и биржам США предъявила обвинения более 40 человекам. Десять обвиняемых — трое хакеров и семь трейдеров — привлечены к уголовной ответственности в Нью-Джерси и Нью-Йорке. Пять человек сознались в преступлениях.[31]

Кибервымогатели требуют с жертв почти вчетверо больший выкуп

Средний размер выкупа, который требовали кибервымогатели со своих жертв, в 2016 году вырос на 266%. Об этом сообщается в ежегодном отчете по угрозам в Интернете (Internet Security Threat Report), подготовленном ИБ-компанией Symantec.[32]

В 2015 году злоумышленники, шифрующие данные на компьютере при помощи вредоносного ПО (ransomware) и требующие деньги за их разблокировку, в среднем просили у пользователей $294. Однако в 2016 году сумма увеличилась до $1077, выяснили специалисты.

Средний размер выкупа, который требовали кибервымогатели со своих жертв, в 2016 году вырос на 266%

Основной причиной быстрорастущих аппетитов кибервымогателей эксперты называют готовность жертв платить деньги. Как правило, преступники требуют выкуп в криптовалюте, поскольку это обеспечивает анонимность и безотзывность транзакций. По данным Symantec, 34% пользователей в мире, столкнувшись с ransomware, согласятся перевести названную им сумму. Однако выкуп совсем не гарантирует, что пользователь получит назад свои данные. Только 47% жертв после перечисления денег восстанавливают доступ к зашифрованным файлам, предупреждают эксперты.

Между тем, в США жертвы кибервымогателей еще охотнее платят выкуп — на требования преступников соглашаются 64% пользователей. В Symantec считают, что именно поэтому Соединенные Штаты лидируют по количество регистрируемых кибервымогательств. В 2016 году на долю этой страны пришлось 34% от всего числа зафиксированных инфекций типа ransomware. Также в тройке антилидеров Япония и Италия с показателями 9% и 7%. Статистика свидетельствует, что хакеры чаще атакуют развитые страны со стабильной экономикой.

В списке десяти самых популярных среди киберпреступников стран оказалась и Россия. По данным Symantec, в прошлом году на долю РФ пришлось 3% случаев кибервымогательства. Такой же показатель — 3% — был у Голландии, Германии, Австралии и Великобритании. Кроме того, по 4% у Канады и Индии.

Интерпол: кибермошенничество в Западной Африке стало источником богатства и объектом поклонения

В марте 2017 года стало известно о том, что за последние три года мошенники из Западной Африки нанесли западному бизнесу ущерб в размере $3 млрд. Об этом говорится в результатах исследования, проведенного экспертами Интерпола и Trend Micro.[33]

Заработок на мошеннических схемах в странах Западной Африки стал настолько популярен, что, например, в Гане интернет-мошенничество даже обзавелось собственным духом-покровителем.

За последние три года мошенники из Западной Африки нанесли западному бизнесу ущерб в размере $3 млрд

Как отмечается в исследовании, злоумышленники в последние годы чаще всего используются схему под названием Business Email Compromise (BEC), компрометация бизнес-почты. Злоумышленники, использующие подобные схемы направляют своим потенциальным жертвам фальшивые, но весьма достоверно выглядящие счета на оплату, а также поддельные служебные записки в надежде, что кто-либо из финансово-ответственных сотрудников компании клюнет и переведёт денежные суммы на счета мошенников.

Иногда эти сообщения содержат вложения с кейлоггерами; при удачном стечение обстоятельств, злоумышленики получают доступ к банковским счетам своих жертв и могут переводить деньги напрямую.

В период между октябрём 2013 и маем 2016 года мошенники, использовавшие BEC-схемы, увели у западных компаний более трех миллиардов долларов. В одних только Соединённых Штатах коммерческие компании лишились за этот период почти одного миллиарда долларов. Иногда – но, увы, далеко не всегда – выплаты мошенникам удается аннулировать, а средства вернуть обратно.

Западно-африканские кибермошенники всё чаще применяют более сложные, нежели раньше, схемы, проводят более продуманные операции и применяют всё более изощрённые бизнес-модели; акценты смещаются, в частности, в сторону BEC и налогового мошенничества, говорится в докладе. Благодаря опыту и изобретательности в сфере социальной инженерии, а также богатому вредоносному инструментарию (кейлоггерам, инструментам удалённого администрирования, шифровальщикам и средствами обхода антивирусов), западно-африканские киберпреступники похищают большое количество финансовых средств у индивидуальных пользователей и коммерческих компаний по всему миру.

Причиной, по которой Западная Африка стала рассадником кибермошенничества, довольно прозрачна: практически половина выпускников университетов там не могут найти работу в течение как минимум года после выпуска. Участие в кибермошеннических схемах оказывается весьма привлекательной альтернативой нищете и голоду.

Как раз преимущественно из таких молодых и образованных, но не сумевших устроиться, и формируются «бригады» кибермошенников. Исследователи Интерпола и Trend Micro определили две крупные группировки, действующие в Западной Африке.

Первая – так называемые Yahoo! Boys, которая занимается преимущественно традиционными видами мошенничества, таким как, например, «нигерийский» спам. Помимо этого, Yahoo! Boys активно пробавляются брачными мошенничествами и спамом с просьбами срочно прислать денег путешественнику, якобы попавшему в беду за границей.

Своё название Yahoo! Boys заработали благодаря тому, что до самого недавнего времени координировали свои действия через чат портала Yahoo. Типичные представители этой группировки - молодые люди за двадцать, которые очень любят хвастаться своим богатством в социальных сетях. Несмотря на то, что их методы мошенничества довольно просты и банальны, они до сих пор приносят им немалый доход.

Куда большую угрозу представляют преступники более высокого уровня (Next Level Criminals).

Их профессиональный уровень очень высок. Перед проведением своих операций они активно собирают из всех возможных источников информацию о потенциальных жертвах (в основном, финансового характера), и тем самым обеспечивают повышенную эффективность своим атакам.

Кроме того, эти мошенники контролируют обширную сеть «денежных мулов», людей, которые за небольшую комиссию, производят оперативное обналичивание украденных средств.

Злоумышленники подобного рода в буквальном смысле зарабатывают миллиарды, хотя, в отличие от Yahoo! Boys, они предпочитают не афишировать свои состояния. Интерпол время от времени пытается бороться с этими преступниками, но эти усилия редко приводят к успеху. Лишь в 30% случаев, когда данные передаются местной полиции, преступника арестовывают.

В отчете Trend Micro отмечается, что криминальной культуре Западной Африки сформировалась определённая ментальность, оправдывающая мошенничество; встречаются мнения, что эта культура даже поощряет подобные действия, приравнивая мошенничество к одурачиванию жертв, в особенности, иностранцев. Наиболее очевидным примером подобного является «sakawa», ритуализированная практика онлайнового мошенничества в Гане. Практикующие sakawa верят, что высшая сущность дарует мошенникам защиту и удачу в их деятельности.

«
Мифологизированное мышление и флер таинственности свойственны хакерской среде, как имеющей дело с секретными данными и чужими тайнами, - говорит Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - А в случае с африканскими хакерами, зачастую не очень квалифицированными и использующими готовые разработки своих европейских и американских коллег, появление подобного карго-культа не кажется чем-то удивительным, особенно, если эта информация - не очень ранняя первоапрельская шутка.
»

Датские депутаты испугались брать гаджеты в командировку в Россию

В марте 2017 года стало известно о том, что датские депутаты приедут в Россию без личных мобильных устройств и ноутбуков из-за опасений взлома этой электроники.

На своей странице в социальной сети Facebook бывший министр иностранных дел Дании Мартин Лидегор (Martin Lidegaard), представляющий социал-либеральную партию, написал следующее:

«
Прощай, смартфон. Комитет по внешней политике рекомендовал нам не брать в командировку в Россию гаджеты по соображениям безопасности.
»

Член партии социал-демократов Ник Хэккеруп (Nick Haekkerup) на своей странице в Facebook также посетовал на то, что вынужден оставить дома электронные устройства, такие как iPhone и iPad, так что ему придется неделю жить без интернета, электронной почты и социальных сетей.

Однако депутатов не оставили без сотовой связи. Лидегор опубликовал фотографию старого кнопочного телефона Nokia, который разрешили взять с собой в Россию. Планы делегации датских парламентариев в РФ не сообщаются.

Датским депутатам разрешили использовать в России только старые кнопочные телефоны, фото со страницы Мартина Лидегора в Facebook

Датские министерства неоднократно подвергались хакерским атакам в 2015-2016 годах, сообщает агентство Reuters со ссылкой на отчет подразделения кибербезопасности минобороны Дании. По данным властей, за нападениями стояли иностранные хакерские группировки, спонсируемые государствами. Хотя в докладе не называется конкретная страна, ответственная за кибератаки, в нем отмечается, что Россия и Китай обладают обширными возможностями для кибершпионажа.

В отделе по кибербезопасности министерства обороны Дании также сообщили, что угроза совершения киберпреступлений против местных властей и компаний остается «очень высокой». Мартин Лидегор ранее говорил, что Евросоюз должен готовиться к гибридной войне с Россией.

В 2016 году разведслужбы США обвинили Россию в хакерских атаках, направленных на увеличение голосов в пользу республиканца Дональда Трампа (Donald Trump) в ходе президентских выборов. Москва отрицает эти заявления.[34]

Positive Technologies: в 2017 году число кибератак на банки возрастет на треть

27 января 2017 года компания Positive Technologies опубликовала выводы о тенденциях 2016 года в сфере информационной безопасности, которые будут оказывать влияние на будущее всей индустрии. Основой для оценки послужила статистика атак и данные, полученные в результате проектов внедрения.

Топ 5 событий 2016, оказавших влияние на индустрию информационной безопасности, (2016)

2016 год

  • Потеря данных не лучше, чем потеря денег: результат большинства компьютерных атак 2016 года − утечки конфиденциальной информации.
  • Целевые атаки: 62% кибератак года были целевыми. Главный метод проникновения – таргетированный фишинг. Среднее время присутствия атакующих в системе составляет до 3 лет. Лишь 10% атак выявляются самими жертвами.
  • Финансовые системы: злоумышленники используют простые методы и легальное ПО для маскировки, а сами атаки готовятся более тщательно. Ожидается 30%-й рост атак на финансовые организации. Основная причина - реактивные подходы к ИБ и отказ от регулярного анализа защищенности. Хакеры, увидев «лёгкие деньги», начинают тиражировать успешные атаки.
  • Выкуп на высшем уровне: крупные компании подвергаются вымогательству с помощью троянов-шифровальщиков, DDoS-атак и уязвимостей веб-сайтов. Способ вымогательства, когда хакеры требуют выкуп за информацию об уязвимостях, найденных в веб-приложениях компаний (т.н. bug poaching), уже стал массовым. Перечисленные техники вымогательства будут развиваться и в 2017 году.
  • Под ударом энергетика: Среди промышленных систем управления, доступных через Интернет, лидируют системы автоматизации зданий и управления электроэнергией. Практически половина уязвимостей, найденных в 2016 году, имеет высокую степень риска.
  • Между АСУ и Интернетом вещей. Автоматизация управления стала доступна массовым пользователям без необходимых мер безопасности. Не исключено, что ситуация в сфере Интернета вещей может потребовать регулирования минимального уровня защищенности устройств — если производители сами не проявят сознательность в этом вопросе, то подключится государство, которое займется вопросами сертификации и стандартизации подобной продукции.
  • Государственные сайты – самая частая цель веб-атак. Наиболее популярны атаки «Внедрение операторов SQL» и «Выход за пределы назначенной директории (Path Traversal)».
  • Не верьте спутниковой навигации. Реализация атак с подменой GPS-сигнала стала доступной всем желающим.
  • Вами управляет Android. Поскольку смартфоны становятся основным «пультом управления» современной жизни, внимание злоумышленников к устройствам на базе ОС Android не ослабевает. «Сфера влияния» мобильных приложений расширяется: приложения для управления бытовыми приборами или для игр с дополненной реальностью дают злоумышленникам новые возможности вмешательства в жизнь своих жертв.
  • Атаки через уязвимости аппаратных платформ. Легальные аппаратные возможности, предусмотренные самими производителями, могут быть использованы не по назначению. Аппаратные атаки страшны тем, что зачастую они не зависят от ОС и не могут быть оперативно предотвращены.

Ожидаемый рост атак на финансовые системы, государственные сайты и корпорации с использованием несложных технологий (фишинг, легальное ПО) говорит о необходимости применения современных средств мониторинга событий и расследования инцидентов (SIEM), систем обнаружения атак на основе машинного обучения (WAF), а также требует повышения осведомленности сотрудников [35].

Слабая защищенность промышленных систем управления (АСУ ТП) в сочетании с ухудшением геополитической обстановки может привести в 2017 году к увеличению числа кибератак на промышленные объекты, особенно в энергетической сфере. Использование сложных паролей и отключение компонентов АСУ ТП от Интернета могут уменьшить риски, однако более серьезные меры включают регулярные аудиты безопасности, своевременное обновление уязвимого ПО и использование средств защиты, «заточенных» на специфику конкретных АСУ ТП.

Пользователям мобильных устройств рекомендуется уделять повышенное внимание безопасности приложений и использовать настройки для ограничения прав доступа к персональной информации и потенциально опасным действиям.

Атаки на Интернет вещей показали, что пользователи зачастую лишены возможности самостоятельно контролировать безопасность новых устройств. Для уменьшения рисков необходимо, чтобы сами вендоры или провайдеры услуг Интернета вещей проводили специальные тестирования защищенности устройств. Обязать их к этому могут либо дополнительные правила государственных регуляторов, либо саморегуляция на основе угрозы потери репутации после крупных атак. Кстати, эксперты прогнозируют, что в 2017 году злоумышленники расширят спектр используемых IoT-устройств: в зоне риска — «умные» бытовые приборы (вплоть до чайников и холодильников).

2016

Kaspersky Cybersecurity Index

«Лаборатория Касперского (Kaspersky)» объявила в апреле 2017 года о зафиксированном уменьшении доли российских пользователей, подвергающихся киберугрозам и пренебрегающих компьютерной защитой. Об этом свидетельствует обновленный индекс информационной безопасности Kaspersky Cybersecurity Index, который компания подсчитала по итогам второй половины 2016 года.

Первый Kaspersky Cybersecurity Index был опубликован в сентябре 2016 года – в нем содержались данные за первую половину 2016 г. Вторая волна опроса пользователей, на основе ответов которых и рассчитывается индекс, позволила «Лаборатории Касперского» не просто обновить показатели, но также проследить изменения в поведении пользователей.

В основу индекса легли три индикатора, отражающие отношение респондентов к киберугрозам: необеспокоенные (Unconcerned) – доля пользователей, которые не верят, что они могут стать жертвами киберпреступников, незащищенные (Unprotected) – число пользователей, которые не установили защиту на свои компьютеры, планшеты и смартфоны, и пострадавшие (Affected) – процент пользователей, которые стали жертвами киберпреступников.

Таким образом, индекс кибербезопасности в России за вторую половину 2016 года выглядит так: 83%–37%–33% (Unconcerned–Unprotected–Affected). Другими словами, подавляющее большинство российских пользователей (83%) не верят, что киберугрозы могут как-либо затронуть их жизнь. К слову, этот показатель не изменился с первой половины 2016 года. Более трети пользователей (37%) до сих пор пренебрегают защитными программами; при составлении первого индекса таких было чуть больше – 39%. Наконец, 33% опрошенных россиян признались, что сталкивались с киберугрозами. Этот показатель изменился наиболее заметно по сравнению с первой половиной 2016 года – тогда жертвами киберпреступников были 42% российских пользователей.

Для сравнения, глобальный индекс кибербезопасности выглядит так: 74%–39%–29%. То есть необеспокоенных киберугрозами и пострадавших от них в среднем по миру меньше, чем в России.

Помимо собственно индекса информационной безопасности, на сайте http://index.kaspersky.com можно также найти другие данные, отражающие особенности поведения пользователей в разных странах мира. К примеру, статистика говорит о том, что российские пользователи стали заметно больше общаться с помощью мессенджеров (86% против 69% в первой волне), управлять своими финансами через системы онлайн-банкинга (80% против 56%) и хранить свои личные данные в облаке (51% против 24%).

В основе Kaspersky Cybersecurity Index лежат данные, полученные от тысяч пользователей по всему миру в рамках масштабных исследований, проводимых «Лабораторией Касперского» совместно с компанией B2B International. Последняя волна опроса охватила 17377 пользователей в 28 странах мира, включая Россию.

2016 год побил рекорд по количеству киберугроз

1 марта 2017 года компания Trend Micro Incorporated определила 2016 год, как год онлайн-вымогательств - количество киберугроз достигло максимальной отметки за всю историю наблюдений, а убытки компаний достигли $1 млрд в мировом масштабе.

Trend Micro опубликовала 1 марта 2017 года ежегодный отчет по кибербезопасности за 2016 год под названием «Рекордный год для киберугроз в корпоративном секторе» (2016 Security Roundup: A Record Year for Enterprise Threats). Согласно этому документу, программы-вымогатели и мошенничество с использованием корпоративной почты (BEC) стали популярными у киберпреступников, которые ищут способы для осуществления корпоративного онлайн-вымогательства. Количество семейств программ-вымогателей выросло на 752%.

Trend Micro и Zero Day Initiative (ZDI) обнаружили 765 уязвимостей, 678 из них посредством Bug Bounty - программы ZDI.

По сравнению с числом уязвимостей, обнаруженныхTrend Micro и ZDI в 2015 году, в продуктах Apple число уязвимостей выросло на 145%, в то время как у Microsoft снизилось на 47%. Использование уязвимостей в наборах эксплойтов сократилось на 71%, что отчасти связано с арестом в июне 2016 года участников хакерской группировки, стоявшей за созданием набора эксплойтов Angler.

«
Поскольку киберугрозы постоянно развивались и становились все более сложными, злоумышленники переместили фокус своих атак с рядовых пользователей на тех, у кого есть деньги – то есть, на корпорации. В 2016 году мы стали свидетелями того, как киберпреступники похищали средства компаний и организаций ради финансовой выгоды, и у нас нет надежд, что эта тенденция изменится. Цель этого исследования – повысить осведомленность компаний о тех тактиках, которые активно используются злоумышленниками для компрометации корпоративных данных, а также помочь организациям так выстроить свою стратегию защиты, чтобы всегда оставаться на шаг впереди злоумышленников и противостоять потенциальным атакам.

Эд Кабрера (EdCabrera), руководитель службы информационной безопасности Trend Micro
»

Технология Trend Micro Smart Protection Network заблокировала более 81 млрд угроз в 2016 году, что на 56% больше, чем в 2015 году. Во второй половине 2016 года блокировалось, в среднем, более 3 тыс. атак в секунду, на клиентов компании. За этот период 75 млрд угроз получено через электронную почту.

Ernst & Young: готовность защищаться растет, а инвестировать - нет

23 декабря 2016 года компания EY сообщила о готовности компаний мирового уровня противостоять кибератакам и недостаточных инвестициях в развитие направлений по борьбе с киберпреступлениями, отсутствии планов устранения негативных последствий таких атак.

Эти выводы сделаны по результатам исследования в области информационной безопасности «Путь к киберустойчивости: прогноз, защита, реагирование» (Path to cyber resilience: Sense, resist, react) за 2016 год.

В опросе принимали участие 1 735 компаний из разных стран и отраслей индустрии. Согласно исследованию, половина опрошенных (50%) способны, по их мнению, обнаружить тщательно подготовленные кибератаки – наибольший уровень уверенности с 2013 года – за счет инвестиций в средства обнаружения киберугроз для прогнозирования последствий атаки, а также за счет создания механизмов непрерывного мониторинга, работы операционных центров информационной безопасности (Security Operation Center, SOC) и механизмов активной защиты.

Несмотря на упомянутые инвестиции 86% респондентов признают, что их служба кибербезопасности не соответствует в полной мере потребностям организации.

Почти две трети (64%) респондентов не имеют специальных программ сбора и анализа информации о киберугрозах, либо ограничиваются несистемными мероприятиями в этой области. Что касается выявления уязвимостей, более половины (55%) не располагают соответствующими техническими средствами и возможностями, или же такие средства используются нерегулярно, от случая к случаю. У 44% отсутствует операционный центр информационной безопасности для ведения непрерывного мониторинга кибератак и потенциальных угроз.

Более половины (57%) респондентов ответили положительно на вопрос об инцидентах в компании, в сфере кибербезопасности. Почти половина (48%) считают наибольшей уязвимостью своей организации устаревшие средства контроля, особенности архитектуры информационной безопасности. В 2015 году это заявили 34% опрошенных.

«
Организации совершили большую работу по подготовке защиты от кибератак, но киберпреступники не менее оперативно придумывают новые уловки. В связи с этим организации должны уделять больше внимания развитию навыков и возможностей противодействия кибератакам. Им также стоит задуматься не только о защите и безопасности, но и об устойчивости к киберугрозам – подходе, который обеспечит подготовку и полноценное противодействие инцидентам в области кибербезопасности и устранение их последствий в рамках всей организации. Компаниям следует иметь план действий на случай кибератаки, быть готовыми оперативно ликвидировать последствия и восстановить нормальную работу организации. В противном случае они подвергают риску своих клиентов, сотрудников, поставщиков и в конечном итоге собственное будущее.

Пол ван Кессель, руководитель международного направления консультационных услуг EY в области кибербезопасности
»

Респондентов беспокоят вопросы кибербезопасности:

  • возросшие риски в результате действий сотрудников, совершенных по небрежности или незнанию (55% по сравнению с 44% в 2015 году),
  • несанкционированный доступ к данным (54% по сравнению с 32% в 2015 году).

Основные ограничения, препятствующие работе функции информационной безопасности:

  • недостаточное финансирование (61% по сравнению с 62% в 2015 году);
  • недостаток или отсутствие квалифицированных кадров (56% по сравнению с 57% в 2015 году);
  • недостаток понимания или поддержки со стороны руководства организации (32% без изменения к 2015 году).

Несмотря на всеобъемлющий характер современной цифровой экосистемы, исследование показало:

  • 62% организаций считают маловероятным увеличение расходов на кибербезопасность в результате атаки, не причинившей видимого ущерба операционной деятельности
  • 58% указали на низкую вероятность увеличения расходов на кибербезопасность в результате кибератаки конкурента
  • 68% считают маловероятным увеличение своих расходов на кибербезопасность в результате кибератаки поставщика
  • почти половина респондентов (48%) в течение первой недели после атаки не станет информировать клиентов, на деятельности которых атака могла бы отразиться, если кибератака явно привела к компрометации данных
  • 42% организаций не имют согласованной стратегии взаимодействия или плана действий на случай серьезной атаки.

Организации сталкиваются с ростом числа устройств, подключаемых к своим цифровым экосистемам. Почти три четверти (73%) опрошенных организаций обеспокоены несоблюдением владельцами мобильных устройств (планшеты, смартфоны, ноутбуки) правил их использования, недостаточной информированностью пользователей о возможных рисках и последствиях.

Половина респондентов (50%) увидели основной риск возрастающего использования мобильных устройств в возможности их утраты.

Интернет-пропаганда в составе значимых киберугроз 2017 года

19 декабря 2016 года компания Trend Micro публикуя свой прогноз на 2017, поставила интернет-пропаганду в число основных киберугроз, не умаляя при этом влияние уязвимостей интернета вещей и кибератак.

По мнению экспертов компании, в 2017 году с развитием технологий на другие рубежи выходят и киберпреступники. В 2016 году ИБ-эксперты отметили новый виток усовершенствования кибератак и появление разнообразных целей для них[36].

«
Мы прогнозируем появление новых методов атак на крупные корпорации, расширение тактики онлайн-вымогательства, которое будет затрагивать все более широкий ассортимент устройств, а также применение методов киберпропаганды для манипуляции общественным мнением.

Раймунд Гинес, директор по технологиям японской компании Trend Micro
»

Интернет-пропаганда, (2016)

На декабрь 2016 года 46% населения разных стран получает информацию из интернет-источников. С ростом этого показателя растёт угроза воздействия киберпропаганды, под которой подразумевается автоматическая генерация информационного трафика, направленного на интернет-пользователей, появление большого числа ложных новостных материалов в соцсетях.

Примеры манипуляций такого рода - ложные новости, появившиеся в Facebook во время президентских выборов в США. Именно в соцсети пользователи узнали информацию о том, что папа римский Франциск поддержал Дональда Трампа, "новость" о смерти агента ФБР, который вел расследование в отношении кандидата от демократов Хиллари Клинтон. Президент США Барак Обама отметил вероятность влияния этих новостей на ход президентских выборов.

В конце ноября 2016 года Facebook заявила о начале действия плана борьбы с фальшивыми новостями. В ряду мер – усовершенствование алгоритма определения достоверности новостного материала, улучшение взаимодействия с пользователями, которые со своей стороны сообщают о недостоверной информации и обращение к третьим лицам и организациям за экспертной оценкой.

Panda Security: прогноз на 2017 год

15 декабря 2016 года Panda Security опубликовала прогноз вредоносной активности на 2017 год. Характерные особенности года грядущего: снижение количества новых вредоносных программ, более высокий профессиональный уровень атак.


Кибер-преступления

Кибер-преступники фокусируют свои усилия на тех атаках, которые могут дать им огромные прибыли, используя для этого наиболее эффективные техники и повышая профессиональный уровень своих операций так, чтобы быстрее и легче «зарабатывать» деньги.

Клавиатура, (2015)

Шифровальщики

Трояны будут в центре внимания при рассмотрении вопросов информационной безопасности. Они поглотят другие, ставшие традиционными атаки для кражи данных. Стремление к прибыли – это основная мотивация кибер-преступников, а шифровальщики – наиболее простой и эффективный способ в достижении этих целей. Кое-что останется без изменений: жертвам таких угроз придется решать, платить выкуп преступникам или нет, чтобы восстановить данные. Принимая решение, Panda Security призывает учитывать - оплата выкупа не гарантирует полного восстановления украденных данных.


Компании

Количество атак, направленных против компаний, будет расти, поскольку эти атаки все более совершенствуются. Компании уже стали первоочередной целью для кибер-преступников, т.к. хранящаяся у них информация более ценна по сравнению с той, что имеется у частных лиц.


[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|[[Интернет вещей Internet of Things (IoT)|Интернет вещей (IoT)]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]]

Компания видит Интернет вещей (IoT) очередным кошмаром для служб информационной безопасности. Технологическая революция привела к полной интеграции в сеть небольших устройств, которые могут превратиться в точки, позволяющие хакерам проникать в корпоративные сети.


DDoS-атаки

Наиболее крупные DDoS-атаки проведены в последние месяцы 2016 года, сообщила компания. Эти атаки выполнены бот-сетями из тысяч зараженных IoT-устройств (IP-камеры, роутеры и пр.). В 2017 году число подобных атак возрастет.


Мобильные телефоны

Киберпреступникам будет проще сфокусироваться на одной операционной системе для получения максимальных прибылей. Пользователей Android ожидают сложные и опасные 12 месяцев.


Кибервойны

Нестабильная ситуация в сфере международных отношений может привести к тяжелым и серьезным последствиям в сфере кибербезопасности. Правительства разных стран стремятся получить доступ к большим объемам информации (в то время, когда шифрование становится все более популярным), и спецслужбы будут еще более заинтересованы в получении информации, которая может принести пользу промышленности своих стран. Такая глобальная тенденция может препятствовать инициативам по обмену данными в 2018 году.

PandaLabs: Кибербезопасность. Прогнозы на 2017

Исследование IBM и Ponemon Institute: компании все еще не готовы противостоять кибератакам

Компания IBM и Ponemon Institute опубликовали в ноябре результаты глобального исследования устойчивости организаций к кибератакам под названием «Cyber Resilient Organization». Согласно результатам исследования, только 32% специалистов в сфере ИТ и безопасности считают, что их компании имеют высокий уровень киберзащиты. В 2015 году этот показатель составлял 35%. Помимо этого, 66% респондентов, участвовавших в исследовании в 2016 году, отмечают, что их организации не готовы к восстановлению после кибератак[37].

Проблемы, связанные с реагированием на инциденты (Incident Response), как показывает исследование второй год подряд, являются основным препятствием в обеспечении устойчивости организаций к угрозам кибербезопасности. 75% опрошенных заявили, что в их компаниях отсутствует план по реагированию на киберинциденты (Cyber Security Incident Response Plan). В тех организациях, где такой план есть, 52% респондентов не пересматривали или обновляли документ с момента его принятия, или, более того, такая процедура не предусмотрена в компании. Вместе с тем, 41% участников исследования отметили, что за последние 12 месяцев увеличилось время, которое требуется для разрешения киберинцидента. 31% респондентов ответили, что этот показатель уменьшился.

«Исследование устойчивости предприятий к угрозам кибербезопасности показывает, что в 2016 году организации во всем мире до сих пор не готовы к реагированию и нейтрализации инцидентов, – заявил Джон Брюс, глава и соучредитель Resilient, компании IBM. – Лидеры безопасности могут добиться значительных улучшений, сделав главным приоритетом реагирование на инциденты и сосредоточив внимание на планировании, подготовке и сборе информации».

По мнению респондентов, платформа реагирования на инциденты (Incident Response Platform) является одной из наиболее эффективных технологий безопасности, которая помогает организациям противостоять кибератакам, наряду с управлением идентификацией и аутентификацией, системами обнаружения и предотвращения взломов.

В ходе исследования также были выявлены типичные проблемы, препятствующие увеличению уровня кибербезопасности организаций. Большинство участников опроса (66%) считают, что недостаточное планирование и низкая готовность являются главными барьерами для повышения устойчивости предприятий к киберугрозам. Респонденты также указывают, что сложность ИТ и бизнес-процессов растет быстрее, чем способность предотвращать, обнаруживать и реагировать на кибератаки, что делает компании уязвимыми. В этом году 46% участников исследования указали повышенную сложность ИТ-процессов как главную помеху для выстраивания надежной информационной защиты бизнеса – показатель вырос с 36% по итогам исследования 2015 года. 52% респондентов заявили, что сложность бизнес-процессов является существенным барьером, по сравнению с 47% в 2015 году.

Ключевые выводы исследования:

Компании подвергаются частым и успешным кибератакам

  • Больше половины респондентов (53%) пострадали по меньшей мере от одной утечки данных за последние два года
  • 74% опрошенных заявили, что в течение последнего года они столкнулись с киберугрозами, причиной которых стал человеческий фактор
  • Оценивая последние два года, 74% респондентов сказали, что подвергались многочисленным хакерским атакам, а 64% были неоднократно скомпрометированы с помощью фишинга

Организации не могут обеспечивать непрерывную работу и быстро восстанавливаться после атак

  • 68% считают, что их организации не способны противостоять кибератакам
  • 66% не уверены, что их компания может эффективно восстановиться после атаки

Самым большим барьером является недостаток планирования и подготовки

  • Только 25% используют план по реагированию на инциденты. 23% вовсе не приняли такого плана
  • Лишь 14% респондентов осуществляют ревизию планов реагирования на инциденты чаще одного раза в год
  • 66% называют отсутствие планирования самым большим барьером, мешающим их организации стать устойчивой к кибератакам

Способность реагировать на кибератаки существенно не улучшилась

  • 48% считают, что устойчивость к кибератакам их организации уменьшилась (4%) или не улучшалась (44%) в течение последних 12 месяцев
  • 41% респондентов считают, что время устранения инцидента кибербезопасности увеличилось или значительно возросло, в то же время 31% заявили, что оно уменьшилось или существенно снизилось

Check Point отметил рост количества кибератак и вредоносных программ на 5%

Команда исследователей Check Point обнаружила, что и количество вредоносных семейств, и количество атак выросло на 5%. Объем атак на бизнес в октябре достиг своего пика, по сравнению со всеми предыдущими месяцами 2016 года. Продолжает расти число атак с вымогателем Locky, поэтому в октябре он перемещается с третьего на второе место среди наиболее часто используемых видов вредоносного ПО. Причина популярности Locky — постоянное появление его модификаций и механизм распространения преимущественно через спам-рассылку. Создатели Locky меняют тип файлов, используемых для загрузки вымогателя (doc, xls и wsf файлы), а также вносят значительные структурные изменения в спам-письма. Сам по себе вымогатель не является чем-то исключительным, но киберпреступники затрачивают много времени, чтобы заразить как можно больше компьютеров. В топ-3 также возвращается банковский троян Zeus.

1. ↔ Conficker — Использовался в 17% зарегистрированных атак. Червь, обеспечивающий удаленное исполнение операций и загрузку вредоносного ПО. Инфицированный компьютер управляется ботом, который обращается за получением инструкций к своему командному серверу.

2. ↑ Locky — Вымогательское ПО, появившееся в феврале 2016 года. Распространяется в основном через спам-письма, содержащие инфицированный Word или Zip файл, который загружает и устанавливает вредоносное ПО, шифрующее пользовательские файлы. Зарегистрирован в октябре в 5% известных атак.

3. ↑ Zeus — Также отмечен в 5% обнаруженных атак. Троян, который атакует Windows-платформы и часто используется для кражи банковской информации посредством захвата введенных учетных данных (формграббера) и кейлоггинга

Количество атак на Россию в октябре значительно уменьшилось, что позволило ей опуститься с 52 на 101 место. Атаки на компании на территории страны проводились с использованием таких вредоносных программ, как InstalleRex, Conficker, Kometaur, Ramnit, Cryptoload, Dorkbot, Cryptowall, Locky, Bancos и Sality. Больше всех в прошлом месяце атаковали Ботсвану, Уганду и Замбию, а меньше всех зарегистрированных атак было на Уругвай, Аргентину и Доминиканскую Республику.

Мобильные зловреды продолжают подвергать бизнес значительной опасности: 15 из 200 видов вредоносного ПО атакуют именно мобильные устройства. Также в течение последних семи месяцев HummingBad, вредоносное ПО для Android, остается самым используемым для атак на мобильные устройства. Три наиболее часто используемых вида мобильных угроз в октябре:

1. ↔ HummingBadВредоносное ПО для Android, которое, используя устойчивый к перезагрузке руткит, устанавливает мошеннические приложения и с небольшими модификациями может проявлять дополнительную вредоносную активности, включая установку программных клавиатурных шпионов, кражу учетных данных и обход зашифрованных email-контейнеров, используемых компаниями.

2. ↔ Triada — Модульный бэкдор для Android, который дает повышенные привилегии загруженным зловредам, поскольку помогает им внедриться в системные процессы. Triada также была замечена в подмене URL-адресов, загруженных в браузере.

3. ↑ XcodeGhost — Компрометированная версия платформы разработчиков iOS Xcode. Эта неофициальная версия Xcode изменена так, что она может внедрять вредоносный код в приложение, которое разработано и скомпелировано с ее помощью. Внедренный код отправляет информацию о приложении на командный сервер, позволяя инфицированному приложению считывать данные из буфера обмена устройства.

«Тот факт, что топ-10 вредоносных программ остается без изменений с сентября, позволяет нам предполагать, что киберпреступники довольны их действием. А для компаний это сигнал, что им нужно реагировать проактивно, чтобы защищать свои критические бизнес-активы. Эффективность таких программ, как Conficker, говорит также о том, что пока компании не используют защиту необходимого уровня, — комментирует Василий Дягилев, глава представительства Check Point Software Technologies. — Чтобы защитить себя, бизнесу необходим комплексный подход и меры продвинутой защиты сетей, конечных и мобильных устройств, чтобы остановить вредоносное ПО еще до заражения. Это возможно с такими решениями, как Check Point’s SandBlast™ Zero-Day Protection и Mobile Threat Prevention, которые способны противостоять новейшим угрозам».

Fortinet о тенденциях в сфере кибербезопасности

Fortinet обнародовала шесть прогнозов, проведенных специалистами отдела исследования угроз FortiGuard Labs и касающихся развития угроз в 2017 г. В этих прогнозах говорится о стратегиях и способах, которыми, по мнению исследователей Fortinet, киберпреступники будут пользоваться в ближайшем будущем. Также охарактеризован масштаб потенциальных негативных последствий кибератак для мировой виртуальной экономики.

1. От умных к еще более умным: автоматизированные и человекоподобные атаки потребуют разработки более интеллектуальных систем безопасности

Угрозы становятся все более изощренными и автономными. В следующем году ожидается появление вредоносного ПО с человекоподобным поведением, способного к адаптации и обучению на основе успешных действий. Это сделает атаки более эффективными и вредоносными.

2. Производители устройств IoT понесут ответственность за нарушения безопасности

Если производителям устройств IoT не удастся обеспечить безопасность своей продукции и удержать покупателей, интерес которых снизится вследствие опасений, связанных с рисками в сфере информационной безопасности, это приведет к значительным изменениям на мировом виртуальном рынке. Существенно возрастет заинтересованность потребителей, поставщиков и других групп в разработке и реализации стандартов безопасности, с помощью которых производителей устройств можно будет призвать к ответственности за ущерб, вызванный поведением их продуктов.

3. 20 миллиардов устройств IoT — слабое звено облачной инфраструктуры

Самое слабое звено системы безопасности облака — это далеко не ее архитектура. Главный источник угрозы — это миллионы удаленных устройств, которые получают доступ к ресурсам облака. Ожидается появление средств, разработанных специально для поражения конечных устройств. Это приведет к атакам на стороне клиента, которые смогут легко пробивать бреши в системах безопасности поставщиков облачных услуг. Возрастет количество организаций, внедряющих стратегии защиты и сегментации на основе систем безопасности. Такие системы позволяют создавать, настраивать и применять единые политики безопасности для физических, виртуальных и частных облачных сред — от IoT до облака.

4. Вследствие атак обстановка в «интеллектуальных городах» начнет накаляться

В следующем году целями злоумышленников станут быстро развивающиеся системы автоматизации зданий и управления. Если какая-либо из этих интегрированных систем, представляющих особый интерес для киберпреступников, попадет под удар, это может привести к серьезным нарушениям в сфере обслуживания граждан.

5. Программы-вымогатели — это только начало

Ожидается, что киберпреступники проведут направленные атаки, целями которых станут знаменитости, политические деятели и крупные организации. Автоматизированные атаки с применением программ-вымогателей позволят злоумышленникам воспользоваться эффектом масштаба и обогатиться за счет одновременного обмана множества жертв, каждая из которых предоставляет небольшую сумму. Чаще всего атакам будут подвергаться устройства IoT.

6. Возникнет необходимость в компенсации критической нехватки квалифицированных кадров в сфере безопасности за счет внедрения новых технологий

Ввиду наблюдающейся в настоящее время нехватки специалистов по информационной безопасности многие организации и страны, желающие выйти на мировой виртуальный рынок, подвергнутся значительной опасности. Персонал этих организаций не располагает опытом и подготовкой, необходимыми для решения таких задач, как разработка политики безопасности, защита важных ресурсов, которые свободно перемещаются между сетевыми средами, или выявление современных продвинутых атак и принятие мер реагирования.

Прогнозируемые тенденции развития угроз и выводы

Интернет вещей (IoT) и облачная технология по-прежнему часто фигурируют в прогнозах, однако с течением времени выявились некоторые тенденции. Степень интернет-активности как организаций, так и отдельных лиц значительно увеличилась, что способствует росту числа потенциальных направлений атак. Кроме того, в качестве цели может выступать все что угодно, и точно так же любое средство может стать оружием. Угрозы становятся все более изощренными, они могут функционировать автономно, и выявить их все труднее. И последняя тенденция: возвращаются старые угрозы, усовершенствованные с помощью новых технологий, что открывает новые горизонты в сфере выявления и анализа угроз.

3,2 млн ПК уязвимы, 0,002 млн имеют средства защиты

В октябре 2016 года инженерный департамент Talos (подразделение Cisco, занимающееся исследованием и анализом угроз для информационной безопасности) напомнил о традициях киберпреступников, адаптированных для цифровой эпохи.

Киберпреступность стала масштабной проблемой человечества, она затрагивает пользователей, компании, государства. Действия хакеров способны привести к материальному ущербу и парализовать работу корпораций, банков, государственных служб и систем.

«
Мартин Ли (Martin Lee), руководитель инженерного департамента Talos
Модели, по которым ведут свою деятельность злоумышленники, не новы. Они используют традиционные схемы, адаптируя их к реалиям цифровой эпохи.

Классическая модель преступной деятельности – похищение с требованием выкупа, получила широкое распространение у кибермошенников. Если раньше гангстеров ограничивала территория, на которой они работали, то киберпреступники не знают границ. Первый случай похищения с требованием выкупа в цифровом пространстве зафиксирован в 1989 году в Таиланде. Мошенник разослал в медицинские учреждения электронные письма с требованием перевести деньги за похищенные данные на адрес в Панаме. Подобный вид вымогательства действовал 16 лет.

В 2005 году появились GP-кодеры. Посредством этих устройств преступники шифруют файлы на зараженном устройстве и требуют деньги у пользователя за расшифровку. Создание программных средств для шифрования ‒ очень сложный процесс, поэтому злоумышленники зачастую используют фальшивками. Отдав деньги, пользователь может и не получить обратно похищенные документы, поскольку они уже удалены, с высокой вероятностью. Этот вид вымогательства преступники используют до сих пор, только совершенствуют методы шифрования.

Следующий этап эволюции DDoS-атак начался в марте 2016 года, когда мы столкнулись с деятельностью банды SamSam. Эта группа проникает в серверную систему организации, добирается до ключевых данных, необходимых для повседневной операционной деятельности, шифрует их и требует выкупа. У взломанной компании существует большой соблазн заплатить преступникам, так как эти файлы важны для повседневной работы.

Мартин Ли (Martin Lee), руководитель инженерного департамента Talos
»

Киберпреступность стала бизнесом. Злоумышленники ведут свою деятельность как коммерческие компании. Они стремятся снизить издержки и максимизировать прибыль, выходят на другие рынки. Преступники тщательно просчитывают свою выгоду. Размер выкупа должен быть несколько ниже, чем ценность украденных документов у компании, он должен покрывать расходы на ведение преступной деятельности. В своей работе злоумышленники используют те же высокотехнологичные инструменты, что и коммерческие компании. Крупных игроков на этом черном рынке обслуживают сервисные организации, создана экосистема отдельных специалистов и преступных групп, которые осуществляют DDoS-атаки.

«
Нужно помнить, что если у вас есть что-то, представляющее ценность, то обязательно найдется мошенник, который попытается это украсть. По нашим данным, в мире 3,2 миллиона компьютеров и систем уязвимы к хакерским атакам, и только на 2100 из них установлены необходимые средства защиты.

Мартин Ли (Martin Lee)
»

Europol назвал восемь основных тенденций киберпреступлений

  • Преступление-в-качестве-услуги: «подпольные цифровые услуги» подкрепляются моделью «преступление-в-качестве-услуги», которая становится все более популярной и востребованной. Она объединяет между собой специализированных поставщиков хакерских утилит и организованные преступные группировки. Террористы имеют очевидный потенциал для получения доступа к этому сектору в скором будущем.
  • Программы-вымогатели: вымогательство и банковские «трояны» остаются главными угрозами среди вредоносного программного обеспечения. И эта тенденция вряд ли изменится в обозримом будущем.
  • Преступное использование данных: данные остаются ключевым товаром для киберпреступников. Во многих случаях они используются для получения немедленной финансовой выгоды, но все чаще применяются для реализации более сложных схем мошенничества, зашифровываются с целью получения выкупа, либо используется непосредственно для вымогательства.
  • Платежное мошенничество: EMV (чип и PIN-код), гео-блокировка и другие промышленные меры безопасности продолжают помогать в эффективной борьбе с карточным мошенничеством, но, тем не менее, растет и число атак, направленных против банкоматов. Организованные преступные группы начинают компрометировать платежи, связанные с использованием бесконтактных карт (NFC).
  • Он-лайн сексуальное насилие над детьми: использование платформ со сквозным шифрованием для обмена медиа файлами, а также применение анонимных платежных систем способствует эскалации он-лайн трансляции жестокого обращения с детьми.
  • Злоупотребление «темной стороной сети»: «темная часть всемирной интернет-паутины» продолжает содействовать преступникам, участвующим в ряде незаконных видов деятельности, таких как, обмен файлами с записью сексуального насилия над детьми. Степень, в которой экстремистские группы используют кибертехнологии для осуществления атак, в настоящее время ограничены, но предложение в «темной сети» хакерских утилит и услуг, а также незаконных товаров, может быстро изменить сложившуюся ситуацию.
  • Социальная инженерия: правоохранительными органами был зарегистрирован рост числа фишинг-атак, направленных на цели, имеющие высокую значимость. Главной угрозой стали атаки против генеральных директоров предприятий и организаций.
  • Виртуальные валюты: Bitcoin остается той валютой, которую мошенники предпочитают для оплаты за приобретение незаконных товаров и услуг в «темной сети. Bitcoin также стал стандартным платежным решением притребовании выкупа и других форм вымогательства.

По-прежнему наблюдается рост объема, масштаба и стоимости киберпреступлений. За последнее время эти показатели достигли небывалого уровня. Некоторые государства, входящие в ЕС, говорят о том, что случаи преступлений в сфере кибербезопасности, возможно, уже превосходят численность традиционных преступлений[38].

Рост численности мошенников совместно с увеличением количества возможностей для участия в высокодоходной незаконной деятельности частично подпитывает подобную тенденцию, равно как и появление новых инструментов для совершения киберпреступлений в таких сферах, как мобильное вредоносное ПО и мошенничество, направленное против банкоматов. Тем не менее, главная часть проблемы состоит в недостаточном соблюдении стандартов цифровой безопасности юридическими и физическими лицами.

Значительная часть киберпреступной деятельности по-прежнему использует относительно старые технологии, обеспечение безопасности для которых доступны, но не пользуется широким распространением.

9-кратный рост неизвестных зловредов за десятилетие

22 сентября 2016 года Check Point Software Technologies Ltd. опубликовала результаты исследования, в котором отметила 9-кратный рост неизвестных зловредов, атакующих системы предприятий и сделала вывод о необходимости внедрения в компаниях лучшей в своем классе защитной архитектуры.

Эксперты компании провели анализ сведений, полученных от 31 тыс. шлюзов безопасности Check Point по всему миру, и описали - какие известные и неизвестные виды вредоносного ПО и атак воздействуют на ИТ-системы компаний, каковы последствия интеграции мобильных устройств в ИТ-инфраструктуры предприятий. Также дана оценка потерь компаний от взломов и расходы на устранение их последствий.

Картина среднего дня на предприятии согласно отчету Check Point 2016 Security Report, (2016)

В рамках исследования SANS 2016 Threat Landscape Study, проведенного вместе с исследователям института SANS, специалисты опросили более 300 профессионалов в сфере ИТ и безопасности по всему миру.

Цель опроса - выяснить:

  • с какими угрозами организации сталкиваются в реальности,
  • когда и как эти угрозы становятся инцидентами безопасности,
  • какие типы угроз имеют самые серьезные последствия,
  • какие критические задачи стоят перед компаниями, желающими себя защитить.

Оба отчета, Check Point Security Report и SANS 2016 Threat Landscape Study, дают представление о ландшафте происходящих киберугроз — от сети до конечного устройства.

Основные выводы исследования:

  • Число видов неизвестного вредоносного ПО продолжает расти. Исследователи обнаружили 9-кратное увеличение количества неизвестных программ, атакующих организации. Причина роста количества случаев проникновения в сеть - сотрудники, загружающие неизвестные зловреды каждые 4 секунды. Каждый месяц специалисты обнаруживают почти 12 млн неизвестных вариантов вредоносных программ. За последние два года таких «находок» больше, чем за все предыдущее десятилетие.
  • Безопасность не успевает за быстро развивающимися мобильными устройствами. На смартфоны и планшеты приходится 60% всего времени, потраченного на цифровые медиа. Для бизнеса мобильные устройства — ужас с точки зрения обеспечения безопасности доступа и удача с точки зрения повышения продуктивности. Несмотря на то, что сотрудники не хотят умышленно вредить безопасности компании, по вине каждого пятого из них происходит взлом — через мобильное вредоносное ПО или зараженную точку Wi-Fi.
  • Конечные устройства — отправная точка большинства атак. В исследованных компаниях пользовательские устройства являются самой частой причиной взломов и самым важным компонентом киберзащиты, причем в 75% случаев для совершения атак хакеры используют электронную почту. 39% атак на конечные устройства обходят защиту брандмауэров, а регулярные проверки обнаруживают 85% угроз уже после того, как они попали в сеть компании.

Оба отчета предупреждают: эффективная безопасность начинается с внедрения лучшей в своем классе защитной архитектуры, которая поможет решать нынешние и будущие задачи по защите ИТ-инфраструктуры. Продвинутое предотвращение угроз, защита мобильных устройств и сегментация сети — критические компоненты, необходимые для информационной безопасности современной компании.

Киберпреступники нацелились на добывающую промышленность

11 августа 2016 года Trend Micro Incorporated опубликовала отчет «Киберугрозы в горнодобывающей отрасли» (Cyber Threats to the Mining Industry), в котором сделан вывод о растущем уровне интереса киберпреступников к добывающей промышленности.

Ранее основными целями киберпреступников были банки, финансовые, медицинские учреждения, теперь они обратили внимание и на предприятия добывающей промышленности. Проблема кибератак в этой отрасли тесно связана с растущей степенью автоматизации ее процессов. На смену ручному труду и простым механизмам пришли устройства, контролируемые централизованно посредством специального программного обеспечения.

На подобных предприятиях используются операционные технологии (Operational Technology, OT) – аппаратное и программное обеспечение, фиксирующее изменения в производственном процессе и управляющее ими. При этом во многих организациях OT в лучшем случае слабо защищены от возможных кибератак. А все большее проникновение в отрасль облачных вычислений, систем бизнес-аналитики и Интернета вещей приводит к сращиванию IT и OT, что дает злоумышленникам широкий доступ к компонентам систем и критически важным процессам.

Большинство промышленных систем управления (Industrial Control Systems, ICS), используемых в 2016 году, разработаны десятилетия назад. В связи с новыми требованиями подключения к корпоративной сети и использования удаленного доступа, разработчики ICS, как правило, адаптируют соответствующие ИТ-решения для упрощения интеграции и снижения затрат на разработку. Однако это приводит к возникновению целого ряда новых уязвимостей.

Примеры крупных кибератак в добывающей промышленности:

В апреле и мае 2015 года канадская золотодобывающая компания Detour Gold Corp. подверглась атаке хакерской группировки, которая называла себя Angels_Of_Truth. В результате злоумышленниками было украдено более 100 Гб ценной информации. При этом 18 Гб из этих данных были размещены на торрент-трекере.

В феврале 2016 года Департамент промышленности, ресурсов и энергетики Нового Южного Уэльса также подвергся атаке хакеров. Злоумышленники безуспешно пытались получить доступ к конфиденциальной информации, касающейся разрешения на добычу полезных ископаемых.

В апреле 2016 года в канадской золотодобывающей компании Goldcorp произошла крупная утечка данных. Злоумышленники обнародовали 14.8 Гб данных, разместив соответствующий документ на Pastebin, популярном сайте для хранения и общего использования данных, с ссылкой на его скачивание. Архив содержал персональные данные работников и финансовую информацию.

Кибератаки в промышленности совершаются, в основном, для получения определенных технических знаний в достижении конкурентного преимущества, ослабления экономики другого государства, получения определённых данных (личную информацию (PII), финансовую составляющую или учетные записи) или даже с целью протеста против компаний в добывающей отрасли, как источника загрязнения окружающей среды.

Кибератаки действительно способны оказывать большое влияние на бизнес компании, например, приводить к ухудшению финансовых показателей, краже интеллектуальной собственности, потере конкурентного преимущества и т.д. Все это становится возможным из-за способности киберпреступников получить доступ к необходимой информации. В добывающей промышленности злоумышленникам интересны, прежде всего:

  • данные по ценообразованию на металлы и минералы;
  • интеллектуальная собственность, например, способ производства, обработки сырья, химических формул, программное обеспечение и т. д.;
  • информация о государственной политике, решениях и процессах принятия решений руководителями корпораций;
  • данные о новых потенциальных месторождениях;
  • информация о запасах руды и производственном процессе;
  • данные систем мониторинга шахт, которые используются для контроля производства, безопасности и мониторинга состояния окружающей среды в режиме реального времени.

Кибератаки в добывающей промышленности не только могут быть причиной потерь из-за простоев на производстве, но оказать негативное влияние на стоимость акций компании, нанести ущерб экономике страны или региона, если она зависит от подобного предприятия.

Наиболее часто используемыми методами совершения кибератак на сегодняшний являются:

  • фишинг и социальная инженерия;
  • эксплуатация уязвимостей;
  • заражение сайта, который сотрудники предприятия посещают чаще всего;
  • неправильная конфигурация системы эксплуатации;
  • скрытая загрузка;
  • вредоносная реклама;
  • компрометация сторонних вендоров;
  • атака «человек посередине» (MitM);
  • заражение оборудования;
  • инсайдеры.

В своем отчете компания делает вывод - большинство предприятий добывающей промышленности не осознают важность защиты от кибератак. А уязвимости, которыми могут воспользоваться злоумышленники, обнаруживаются постоянно.

Отдельное внимание специалистам по кибербезопасности стоит уделить крупным добывающим компаниям, чья деятельность напрямую связана с состоянием экономики отдельных регионов или стран. Им прежде всего необходимо внедрять передовые методы защиты на всех уровнях управления предприятием.

Cisco: программы-вымогатели наступают

28 июля 2016 года Cisco опубликовала отчёт по информационной безопасности за первое полугодие 2016 года, в котором указала на высокую вероятность появления следующего нового поколения программ-вымогателей. В свете этого заявления, основным решением задачи для организаций в деле защиты данных, компания видит необходимость закрыть «окно возможностей» перед злоумышленниками.

Согласно отчету Midyear Cybersecurity Report компании Cisco, организации не готовы к появлению разновидностей изощренных программ-вымогателей и среди основных причин, содействующих скрытной активности злоумышленников:

  • нестабильная инфраструктура,
  • плохая сетевая гигиена,
  • низкая скорость обнаружения.

Cisco 2016 Midyear Cybersecurity Report: Executive Perspectives, (2016)

Результаты исследования позволяют сделать вывод: основные трудности компании испытывают при попытках ограничить оперативное пространство атакующих, что ставит под угрозу всю базовую структуру, необходимую для цифровой трансформации. Злоумышленники расширили сферы активности атакуя серверы, возросла изощренность атак, участились случаи использования шифрования для маскировки злонамеренной деятельности.

По итогам первого полугодия 2016 года программы-вымогатели стали самым доходным типом злонамеренного ПО в истории, заявили эксперты Cisco. Они считают, эта тенденция сохранится, программы-вымогатели будут иметь еще более разрушительный функционал, получив способности распространяться самостоятельно. В этом случае "заложниками" могут стать сети и компании.

Cumulative Annual Alert Totals, (2016)

Модульные разновидности таких программ будут быстро менять тактику для достижения максимальной эффективности. Например, будущие программы-вымогатели смогут избегать обнаружения благодаря способности свести к минимуму использование центрального процессора и отсутствию управляющих команд. Такие версии программ-вымогателей будут распространяться быстрее своих предшественников и до начала атаки самореплицироваться в организациях.

Одна из основных проблем компаний и сетей, была и остается - плохая обозреваемость сети и конечных точек. В среднем на выявление новых угроз у организаций уходит до 200 дней. Сокращение времени обнаружения угроз чрезвычайно важно с точки зрения ограничения оперативного пространства злоумышленников и минимизации ущерба от вторжений.

Дополнительные удобства атакующим создают неподдерживаемые и необновляемые системы, которые позволяют им получать доступ, оставаться незамеченными, увеличивать свой доход и наносить максимальный ущерб. Отчет Cisco MCR 2016 свидетельствует о том, что проблема относится к общемировым. В течение нескольких месяцев рост атак отмечен в наиболее важных отраслях (например, в здравоохранении), при этом целью злоумышленников становятся все вертикальные рынки и мировые регионы. Общественные организации и предприятия, благотворительные и неправительственные организации, компании электронной коммерции — все они в первой половине 2016 года фиксировали рост количества атак.


Злоумышленники себя не ограничивают

Размеры прибыли атакующих прямо пропорциональны периоду времени скрытных действий. По данным Cisco, в первой половине 2016 года доходы злоумышленников возросли вследствие ряда факторов:

  • Расширение сферы действий. Атакующие расширяют сферу своих действий, переходя от клиентских эксплойтов к серверным, избегая обнаружения, максимизируя ущерб предприятиям и свои доходы.
    • уязвимости Adobe Flash остаются одной из главных целей вредоносной рекламы и наборов эксплойтов. В распространенном наборе Nuclear на долю Flash приходится 80% успешных попыток взлома.
    • Cisco отметила также тенденцию программ-вымогателей, эксплуатирующих серверные уязвимости, в особенности это касается серверов Jboss (скомпрометированы 10% всех подключенных к Интернету серверов). Многие из уязвимостей Jboss, используемые для компрометации систем, выявлены пять лет назад и базовые корректировки, обновления вендоров могли бы предотвратить подобные атаки.

  • Новые методы атак. В первой половине 2016 года киберпреступность разрабатывала методы, использующие недостаток обозреваемости сети.

    • эксплойты двоичных файлов Windows за прошедшие полгода вышли на первое место среди веб-атак. Этот метод обеспечивает прочное положение в сетевых инфраструктурах и затрудняет обнаружение и устранение атак.
    • мошеннический социальный инжиниринг в Facebook переместился с первого места (2015 год) на второе.

  • Заметание следов. В дополнение к проблемам обозреваемости злоумышленники стали чаще использовать шифрование как метод маскирования различных аспектов своей деятельности.

    • Cisco зафиксировала рост использования криптовалют, протокола безопасности транспортного уровня Transport Layer Security и браузера Tor - The Onion Router, что позволяет анонимно общаться в Интернете.
    • В кампаниях вредоносной рекламы за период с декабря 2015 по март 2016 года отмечен 300% рост использования вредоносного ПО с шифрованием по протоколу HTTPS. Такое ПО позволяет атакующим длительное время скрывать свою веб-активность, увеличивая продолжительность неправомерных действий.


Действия защиты в попытках сократить уязвимости и закрыть бреши

При столкновении с изощренными атаками компаниям, имеющим ограниченные ресурсы и стареющую инфраструктуру, трудно угнаться за своими противниками. Полученные данные позволяют предположить - чем важнее технология для бизнес-операций, тем хуже обстоят дела с адекватностью сетевой гигиены, в том числе, с корректировкой ПО. Например:

  • применительно к браузерам, последнюю или предпоследнюю версию Google Chrome, поддерживающую автоматические обновления, используют 75 — 80% пользователей;
  • Java обновляется значительно медленнее: на одной трети исследованных систем установлено ПО Java SE 6, которое компания Oracle давно вывела из эксплуатации (действующая на 28 июля 2016 года версия — SE 10);
  • не более 10% пользователей Microsoft Office 2013 v.15x установили последнюю версию пакета исправлений.

Исследование Cisco выявило также - большая часть инфраструктуры потенциальных жертв не поддерживается или эксплуатируется при наличии известных уязвимостей. Это системная проблема, и для вендоров, и для конечных точек. Cisco, обследуя >103 тыс. устройств, подключенных к Интернету, обнаружила:

  • на каждом устройстве присутствовало в среднем 28 известных уязвимостей;
  • средний срок активности известных уязвимостей на устройствах ~5,64 года;
  • более 9% известных уязвимостей старше 10 лет.

Для сравнения специалисты Cisco обследовали более 3 млн программных инфраструктур, в основном на платформе Apache и OpenSSH. В них обнаружено в среднем 16 известных уязвимостей со средним сроком существования 5,05 года.

Обновить браузер на устройстве пользователя просто, сложнее — корпоративные приложения и серверные инфраструктуры, поскольку это может повлечь перебои в бизнес-процессах. Вывод, сделанный в исследовании: чем важнее роль приложения в бизнес-операциях компании, тем меньше вероятность его регулярного, частого обновления, что влечет за собой появление брешей в защите и возможностей для последующих атак.

Цены взлома аккаунтов соцсетей и почтовых сервисов

Взлом сервера, кража средств с банковских карт, утечка персональных данных – на эти и многие другие «услуги» появился прайс. Компания Dell SecureWorks, которая специализируется на оценке и анализе информационной безопасности компьютерных систем, опубликовала летом 2016 года «прейскурант» цен на услуги хакеров по всему миру. По мнению участников рынка, это один из сигналов процветания киберпреступности.

По данным специалистов, доступ к американскому аккаунту в социальных сетях стоит порядка 129$, а в российские «Одноклассники» и «ВКонтакте» - 194$. Взлом аккаунта Gmail, Hotmail или Yahoo обойдется в среднем 129$. И всего за 40-60 тыс.рублей можно «заказать» любую информацию об отечественном конкуренте: сведения о банковских счетах, ИНН, учредительные документы, сведения о сотрудниках и номера телефонов.

Новости о краже персональных данных или незаконном снятии денежных средств с банковской карты появляются в прессе с завидной регулярностью. Так, например, в мае личные данные 117 млн. пользователей социальной сети LinkedIn были выставлены на продажу в «теневом интернете». По подсчетам аналитиков, хакер под псевдонимом «Мир» мог на этом заработать порядка 2,5 тыс.$. А на днях женщина из Нижегородской области перевела злоумышленнику 85 тыс.руб., думая, что разговаривает с сотрудником банка.

Balabit: ТОП-10 самых популярных хакерских методов

1. Социальная инженерия (например, фишинг)

Большинство хакеров стремятся стать инсайдерами и повысить привилегии украденной учетной записи. Попытки найти существующий привилегированный аккаунт и взломать его пароль — процесс не самый быстрый, и он оставляет много следов (например, дополнительных логов, сгенерированных в результате попыток автоматизированных атак), которые значительно увеличивают риск обнаружения подозрительной активности. Именно поэтому хакеры предпочитают использовать приемы социальной инженерии, побуждая пользователей добровольно поделиться своим логином и паролем.

«Последнее хищение данных более 10 000 сотрудников министерств юстиции и национальной безопасности и взлом более 20 000 аккаунтов сотрудников Федерального бюро расследований (ФБР) еще раз доказывают, что сегодня хакерам намного проще стать «своим» в системе с помощью тактик социальной инженерии, чем писать эксплойты нулевого дня», — говорит Золтан Дъёрку, генеральный директор компании Balabit. Традиционные инструменты контроля доступа и антивирусные решения, безусловно, необходимы, но они защищают важнейшие активы компаний, только когда хакеры находятся за пределами сети. Стоит им один раз проникнуть в систему, даже через низкоуровневый доступ, они могут легко увеличить полномочия и получить уже привилегированный административный доступ в корпоративную сеть. Больший риск — это нахождение хакера внутри сети, когда он становится одним из привилегированных пользователей.

Взломанные учетные записи (когда законные логины и пароли используются в преступных целях) можно обнаружить, заметив изменения в поведении пользователей, например, во времени и места входа в систему, скорости печати на клавиатуре, используемых командах, подозрении на использование учетное записи в скриптах. Инструменты анализа пользовательского поведения, которые создают базовые профили действий реальных сотрудников, могут легко обнаружить аномалии в использовании учетных записей и предупредить об этом специалистов по безопасности или заблокировать пользователя до выяснения всех обстоятельств», — добавляет Золтан Дъёрку.

2. Скомпрометированные учетные записи (например, слабые пароли)

Взлом учетных записей, особенно слабозащищенных, представляют опасность, потому что пользователи обычно предпочитают использовать простые легко запоминающиеся пароли и часто одни и те же для корпоративных и личных учетных записей. Если хакер получит доступ к логину и паролю пользователя в менее защищенной системе (например, от личного аккаунта в социальной сети), он сможет использовать их для входа в сеть компании.

3. Web-атаки (например, инъекции SQL-кода)

Использование дыр безопасности онлайн-приложений (например, внедрение SQL-кода) по-прежнему является очень популярным методом взлома, главным образом, потому, что приложения являются важнейшим интерфейсом доступа к активам компании для большого количества внутренних и внешних пользователей, что делает их привлекательной целью для атак. К сожалению, качество кода приложений по-прежнему вызывает вопросы с точки зрения безопасности. Существует множество автоматических сканеров, которые злоумышленники могут использовать для обнаружения уязвимых приложений. Остальные методы взлома могут привести хакеров к тем же результатам, но оказаться более сложными в применении или более продолжительными. Например, написание эксплойта занимает больше времени и требует хороших навыков программирования.

Места среди остальных самых популярных хакерских методов распределились следующим образом: 4. Атаки на клиентскую часть (т.е. на программы просмотра документов, браузеры)
5. Использование эксплойтов для популярных серверных обновлений (например, OpenSSL, Heartbleed)
6. Неуправляемые личные устройства (например, при отсутствии политик BYOD в корпоративной среде)
7. Физическое вторжение
8. Теневые ИТ (например, применение пользователем личных облачных сервисов в рабочих целях)
9. Использование поставщиков услуг третьих сторон (например, аутсорсинг инфраструктуры)
10. Хищение данных, загруженных в облако (например, IaaS, PaaS)

2015 год

Gemalto: Breach Level Index 2015 Индекс критичности потери данных

Компания Gemalto опубликовала в феврале 2016 года результаты анализа своего индекса критичности утечек данных Breach Level Index[39], согласно которому в 2015 году в мире было зафиксировано 1673 инцидента, которые привели к компрометации 707 миллионов записей данных.

Breach Level Index 2015

Согласно результатам индекса критичности утечек данных, с 2013 года - когда компания начала составлять сравнительную базу данных публично освещаемых утечек - в мире было скомпрометировано в общей сложности более 3,6 млрд. записей данных. По источнику утечек в 2015 году наибольшее количество инцидентов пришлось на атаки сторонних злоумышленников – всего было зафиксировано 964 таких инцидента, или 58% от общего числа инцидентов и 38% от количества скомпрометированных записей данных. По типу скомпрометированных данных наиболее распространёнными утечками по-прежнему оставались утечки, направленные на хищение учетных записей, – 53% от общего числа инцидентов и 40% от количества всех скомпрометированных записей данных.

В разбивке по отраслям на долю утечек в государственном секторе пришлось 43% всех скомпрометированных записей данных, что на 476% выше по сравнению с 2014 годом (это обусловлено несколькими чрезвычайно крупными утечками данных, произошедшими в США и в Турции), и лишь 16% от общего числа утечек. На сектор здравоохранения пришлось 19% общего числа скомпрометированных записей и 23% от всех утечек данных. Количество скомпрометированных записей данных в секторе розничной торговли резко сократилось по сравнению с аналогичным периодом предыдущего года (на 93%): в 2015 году на их долю пришлось лишь 6% от всех похищенных записей данных и 10% от всех зафиксированных утечек. В секторе финансовых услуг количество скомпрометированных учетных записей сократилось почти на 99%, на их долю пришлось лишь 0,1% от всех скомпрометированных записей данных, или 15% от общего числа утечек.

Хотя больше всего утечек данных было связано с деятельностью сторонних злоумышленников (58%), на долю случайных утечек приходится целых 36% всех скомпрометированных записей данных. Число атак, осуществленных по заказу правительств различных стран, составило лишь 2% от всех утечек данных, однако количество похищенных записей данных в результате подобных атак составило 15% от всего числа скомпрометированных записей. На долю атак, совершенных злоумышленниками изнутри сети, пришлось 14% всех утечек данных и лишь 7% скомпрометированных записей данных.

С точки зрения географии 77% всех утечек данных произошло в Северной Америке, при этом 59% из всех скомпрометированных записей пришлось на США. Количество утечек, совершенных в Европе, составило 12% от общего числа инцидентов, а на долю Азиатско-тихоокеанского региона пришлось лишь 8% от всего числа утечек.


Результаты полного анализа утечек данных, в том числе с разбивкой по отраслям, источникам, типу и географии доступны в отчете 2015 Breach Level Index Report.

Gemalto: только шифрование поможет защититься от потери данных

По сравнению с первой половиной 2014 года количество утечек данных увеличилось на 10%, при этом количество скомпрометированных записей данных за первые шесть месяцев этого года сократилось на 41%. Снижение числа скомпрометированных данных объясняется тем, что в этом году количество зафиксированных крупномасштабных утечек в отрасли розничной торговли оказалось меньше, чем за аналогичный период прошлого года.

Несмотря на снижение общего количества скомпрометированных записей, в результате крупных утечек по-прежнему похищаются большие объёмы персональной информации и учетных данных. Самой крупной утечкой данных в первой половине 2015 года стала атака с целью хищения идентификационных данных клиентов Anthem Insurance. В результате этой атаки, получившей 10 баллов по степени опасности по Индексу критичности утечек данных, было скомпрометировано 78,8 миллионов учетных записей, что составило почти одну треть (32%) от общего числа записей данных, похищенных за первое полугодие 2015 года. Среди других крупных инцидентов, произошедших в отчетный период, стала утечка 21 миллиона учетных записей из Управления кадрами США (U.S. Office of Personnel Management) со степенью опасности BLI: 9.7; утечка 50 миллионов учетных записей в Генеральной дирекции по делам населения и гражданства Турции (Turkey’s General Directorate of Population and Citizenship Affairs) со степенью опасности BLI: 9.3; и утечка 20 миллионов учетных записей в российском сервисе Topface со степенью опасности BLI:9.2. Фактически, на долю 10 крупнейших утечек данных приходится 81,4% всех скомпрометированных записей данных.


Утечки данных по источнику

На долю утечек, организованных государственными структурами, приходится всего лишь 2% от всех инцидентов, однако количество скомпрометированных данных в результате подобных атак составляет в общей сложности 41% от общего числа похищенных данных, что обусловлено масштабами инцидентов с Anthem Insurance и с Управлением кадрами в США. Хотя ни один из десяти крупнейших инцидентов в первой половине 2014 года не был атакой госструктур, в этом году три из десяти крупнейших утечек, в том числе две самых крупных, были профинансированы государством.

В то же время, наиболее распространённым источником утечек в первой половине 2015 года стали действия внешних злоумышленников внутри компании (malicious outsiders) – на долю подобных инцидентов пришлось 546 утечек или 62% от всех утечек, по сравнению с 465 утечками (58%) в первой половине прошлого года. В результате действий внешних злоумышленников было скомпрометировано 56% или 116 миллионов записей данных, тогда как в 2014 году результаты были выше - 71,8% или 298 миллионов записей данных.

Утечки данных по типу

Кража персональных и идентификационных данных остаётся основным видом утечек данных, на долю которых приходится 75% всех скомпрометированных записей, и чуть больше половины (53%) всех утечек данных, зафиксированных в 2015 году. Пять из десяти крупнейших утечек, в том числе три наиболее крупные, получившие статус катастрофических по Индексу Gemalto, представляли собой хищение именно таких данных. Для сравнения, за аналогичный период прошлого года на хищение персональных и идентификационных данных пришлось семь из десяти крупнейших инцидентов.

Утечки данных по отраслям

Что касается статистики по отраслям, то на утечки в правительственных учреждениях и в отрасли здравоохранения пришлось примерно две трети всех скомпрометированных записей (31% и 34% соответственно), несмотря на то, что в этом году на отрасль здравоохранения пришлось всего лишь 21% от общего числа утечек, по сравнению с 29% годом ранее. В секторе розничной торговли наблюдалось значительное снижение числа похищенных записей, на долю которых пришлось всего лишь 4% от общего числа скомпрометированных данных (по сравнению с 38% в прошлом году). В разбивке по регионам наибольшее число утечек – более трех четвертей (76%) произошло в США, где было скомпрометировано около половины (49%) всех данных. На долю Турции пришлось 26% всех скомпрометированных данных, что, главным образом, обусловлено крупномасштабной утечкой в GDPCA, где из-за злоумышленных действий сторонних лиц было скомпрометировано 50 миллионов записей.

Уровень шифрования, использованного для защиты вскрытых данных (и позволяющего радикально снизить возможный урон от утечек данных), увеличился незначительно - до 4% от числа всех инцидентов (в первой половине 2014 года этот показатель составлял 1%).

По мнению Forrester, злоумышленники используют всё более совершенные и сложные механизмы атак, в результате чего эффективность традиционных мер обеспечения периметра безопасности заметно снизилась. Постоянно меняющийся и развивающийся характер угроз требует внедрения новых мер безопасности, одной из которых является повсеместное использование технологий шифрования данных. В будущем организации будут автоматически шифровать данные – как те, которые перемещаются по сети, так и те, которые просто хранятся на носителях. Подход к обеспечению безопасности, направленный на обработку данных, является намного более эффективным с точки зрения противодействия хакерам. Шифруя конфиденциальные данные, организации делают их бесполезными для злоумышленников, в результате чего атаки на корпоративные сети станут невыгодными, и хакеры будут переключаться на менее защищенные объекты. Шифрование становится стратегическим фундаментом для руководителей служб безопасности и отделов управления рисками, которые отвечают за защиту данных и за конфиденциальность информации в своих организациях.

Trend Micro Security Predictions

Основные прогнозы на 2015 год от `Trend Micro Security Predictions for 2015and Beyond: The Invisible Becomes Visible`

  • Все больше киберпреступников будут обращаться к подпольным сетям и закрытым форумам для обмена и продажи программного обеспечения криминального профиля;
  • Повышение активности злоумышленников приведет к появлению более изощрённых инструментов взлома;
  • Все большую роль в заражении устройств будут играть мобильные уязвимости; получат распространение наборы эксплойтов, направленные на Android
  • Наиболее распространенным видом киберпреступности станут целенаправленные атаки
  • Новые методы мобильных платежей приведут к появлению новых угроз
  • Мы увидим новые попытки использования уязвимостей в приложениях с открытым кодом
  • Разнообразие технологий пока еще защищает устройства Интернета всего (Internet of Everything) от массовых атак, однако этого нельзя сказать о данных, которые они обрабатывают
  • Появятся новые, еще более опасные угрозы для онлайн-банкинга и других финансовых сервисов

Прогнозы в области целенаправленных атак

Согласно отчету, после того как киберпреступникам удалось достичь заметных результатов в США, количество новых целенаправленных атак в 2015 году будет расти. Эксперты ожидают, что хакеры во Вьетнаме, Великобритании и Индии будут продолжать использовать целенаправленные атаки, и мы также увидим атаки в тех странах, где они ранее не отмечались, как это произошло в Малайзии и Индонезии.

Прогнозы в области угроз для финансовых услуг

Значительное повышение уровня угроз ожидает банковскую сферу, прогнозируется увеличение числа уникальных кибератак, нацеленных на банки и другие финансовые организации. В связи с этим, финансовым учреждениям придется внедрять двухфакторную идентификацию для своих онлайн-сервисов.

Прогнозы в области угроз для «Интернета всего»

Отчет «Trend Micro Security Predictions for 2015» также прогнозирует увеличение использования уязвимостей «умных устройств», таких как камеры, различные бытовые системы и телевизоры, поскольку киберпреступники все более агрессивно атакуют эти платформы и организации, управляющими их данными.

Такие факторы, как давление рынка, стимулируют производителей устройств выпускать все больше умных систем, однако в погоне за спросом они не всегда успевают предусмотреть вопросы безопасности. Поэтому киберпреступники все чаще будут находить уязвимости и использовать их в своих целях.

HP Cyber Risk Report

24 февраля 2015 года HP опубликовала Cyber Risk Report — отчет о кибербезопасности за 2015 год, содержащий результаты анализа наиболее острых проблем, с которыми бизнес сталкивался в 2014 году[40].

Сотрудники подразделения HP Security Research изучили распространенные уязвимости, которые ставят под угрозу безопасность организаций. Согласно результатам исследования, основными причинами проблем в области кибербезопасности в 2014 году стали «старые», хорошо известные уязвимости и неверные конфигурации.

«Технологии киберзащиты непрерывно совершенствуются, однако мы не должны «терять из виду» старые уязвимости, — говорит Арт Гиллиланд (Art Gilliland), старший вице-президент и руководитель подразделения Enterprise Security Products, HP. — Мы обнаружили, что самые серьезные риски для безопасности связаны с уязвимостями, о которых мы уже давно знаем. И мы не можем двигаться вперед, забыв об этих проблемах».

Основные результаты исследования

  • 44% известных инцидентов безопасности связаны с уязвимостями, которым уже 2–4 года. Злоумышленники продолжают использовать «старые» методы для взлома систем и проникновения в сети. Самые крупные атаки 2014 года были проведены с использованием уязвимостей в коде, написанном несколько лет или даже десятилетий назад.
  • Неверные конфигурации серверов — это проблема номер один. Согласно результатам исследования, основной проблемой, связанной с неверной конфигурацией, является предоставление слишком широких прав доступа к файлам и папкам. Информация, которую получают злоумышленники, затем используется для совершения других атак.
  • В 2014 году киберпреступники активно использовали новые каналы для совершения атак, например физические устройства, подключенные к сети через «Интернет вещей». Кроме того, наблюдался рост числа вредоносных программ для мобильных устройств. Расширение вычислительной экосистемы играет на руку злоумышленникам, поскольку создает для них еще больше «точек входа» в системы.
  • Основными причинами возникновения уязвимостей в программном обеспечении являются неполадки и ошибки, в том числе логические. Большинство уязвимостей возникает из-за небольшого числа распространенных ошибок в коде. Киберпреступники оперативно «осваивают» старые и новые уязвимости в программном обеспечении.

Что нужно сделать, чтобы обезопасить себя?

  • Внедрите комплексную стратегию применения исправлений. Поддержание систем в актуальном состоянии существенно снижает вероятность успешной атаки.
  • Регулярное тестирование на проникновение и проверка конфигураций (своими силами или с помощью внешних организаций) позволят выявить ошибки в конфигурациях, до того как хакеры воспользуются ими.
  • Перед внедрением новых технологий полезно проанализировать, как они скажутся на общем уровне безопасности.
  • Эффективный обмен данными об угрозах поможет составить представление о тактике злоумышленников и принять меры для предотвращения проблем, усовершенствовать защитное ПО, чтобы укрепить безопасность в целом.

CyberEdge Group Cyberthreat Defense Report: Более половины компаний опасаются успешных кибератак против них в 2015 году

10 августа 2015 года опубликованы итоги ежегодного отчета Cyberthreat Defense Report компании CyberEdge Group, где содержится информация об определении профессионалами в сфере ИТ-безопасности киберугроз и способов борьбы с ними.

В формировании отчета приняли участие более 800 руководителей отделов ИТ-безопасности и практикующих специалистов - представителей 19 различных отраслей бизнеса.

Отчет о противодействии угрозам, 2015

Несколько цифр статистики:

  • более половины (52%) респондентов предполагают, что их компании станут жертвами успешных кибератак в 2015 году. В 2014 году на их долю пришлось 39% участников опроса.

  • в качестве ключевых киберугроз респонденты называют атаки на веб-приложения. Веб-приложения широко распространены в современных компаниях и зачастую находятся в центре внимания злоумышленников. Причин для этого очень много, не последняя из которых - возможность прямого доступа к конфиденциальным данным.

  • озабоченность у специалистов вызывает безопасность мобильных устройств. При оценке способностей компаний защититься от киберугроз в различных сферах интересов ИТ, респонденты дали самые низкие оценки мобильным устройствам.

Уровень тревоги по типу кибератаки, 2015

Затем в рейтинге идут ноутбуки и приложения для социальных сетей. Более 2/3 организаций, принявших участие в опросе, хотят заменить или модернизировать уже имеющиеся у них инструменты защиты конечных устройств. Респонденты отметили - применение подхода использования собственных устройств в рабочих целях (BYOD) увеличится практически в два раза– от 30% до 59% в течение этого года. Это указывает на необходимость дополнительного инвестирования в мобильную безопасность.

Положительное влияние на защиту от кибератак, по мнению участников опроса, может оказать технология SDN – 63% респондентов разделяют эту точку зрения. При вопросе о том, как SDN оказывает влияние на способность компании бороться с киберугрозами, количество респондентов, которое считают эту технологию полезным решением, значительно превышает количество участников опроса, которые не разделяют такую уверенность коллег (соотношение находится на уровне 10 к 1).

Уровень безопасности применительно к сфере ИТ, 2015

62% респондентов указали - в 2015 году бюджет на ИТ-защиту должен быть увеличен. Особое внимание при распределении средств эксперты советуют обращать на аспекты:

  • защита следующего поколения для конечных и мобильных устройств;
  • быстро развивающиеся сервисы разведки в отношении киберугроз;
  • программно-определяемые решения для защиты.

Positive Technologies: основные тенденции кибератак 2015 года

15 октября 2015 года представители компании Positive Technologies (Позитив Текнолоджиз) выступили на конференции «Тенденции развития преступлений в области высоких технологий — 2015».

Обсуждая высокотехнологичные преступления и киберугрозы, руководитель отдела мониторинга Positive Technologies (Позитив Текнолоджиз) Владимир Кропотов и ведущий аналитик Евгений Гнедин выступили с докладом «Статистика и тренды кибератак за год: смотрим снаружи, изнутри и сбоку». Эксперты отметили основные тенденции киберпреступлений текущего года:

  • массовый характер приняли атаки, при которых злоумышленники действуют в обход — например, взламывают партнеров атакуемой организации
  • выросло количество случаев, когда социальная инженерия используется совместно с технологическими методами. Киберпреступники получают доступ к почте партнера (или выясняют его электронный адрес и специально для атаки создают похожий домен) и вступают в переписку с жертвой, которая не догадывается о подмене
  • рост атак, направленных на взлом определенного лица, группы лиц или конкретных компаний. Но если раньше преступники, как правило, действовали через взлом рабочих станций, то в 2015 году 30% анализируемых атак совершено на корпоративные ресурсы (почтовые серверы, серверы баз данных, внутренние веб-сервисы). Исследуя целенаправленные атаки эксперты отметили продвинутые технологии, такие как Watering Hole, осложняющие выявление атак профильными организациями и позволяющие маскировать целевые атаки под массовые.

Подвергается атакам и разного рода техника, подключенная к интернету («интернет вещей»). Преступники пользуются тем, что пользователи редко устанавливают на такие устройства обновления, вследствие чего они становятся уязвимыми для угроз из интернета. Подобных устройств в сети достаточно много: роутеры, «умные» телевизоры, тепловые датчики и автомобили. Злоумышленники могут быстро получить доступ к сотне устройств с помощью компьютера, использовать их для DDoS-атак или создания ботнетов, при этом оставаясь незамеченными. Особенность этих устройств в том, что если их перезагрузить или отключить питание, то все следы атак будут стерты.

Специалисты Positive Technologies (Позитив Текнолоджиз) сообщили о результатах работ по аудиту инцидентов безопасности, исходных кодов приложений и мониторинга ИБ. Исследованию подверглись 16 систем крупных компаний и государственных организаций (российских и зарубежных), в отношении которых проведены работы по внешнему тестированию на проникновение в 2014—2015 годах.

Статистика компании свидетельствует о возможности в 44% случаев получить полный контроль извне над всеми системами корпоративной структуры, а привилегии администратора в критически важных системах (базы данных, электронная почты, рабочие станции руководителей) — в 33% случаев. При этом в 58% систем для получения злоумышленниками полного контроля над критически важными ресурсами достаточно низкой квалификации, в 26% — сложность доступа к ним была средней и только в 16% – им не удалось проникнуть внутрь корпоративной сети. В большинстве случаев (56%) киберпреступники пользовались существующими уязвимостями веб-приложений, в 26% действовали путем подбора словарного пароля.

«Наше исследование показало, что всего лишь 20% анализируемых атак использовали уязвимости нулевого дня, то есть ранее неизвестные. Это говорит о том, что в 80% случаев у жертв была возможность эффективно защищаться, но ею не воспользовались», — отметил Владимир Кропотов.

Телекомы

Эксперты Positive Technologies отмечают тенденцию к усложнению телекоммуникационных сетей. В связи с развитием сервисов Skype, WhatsApp, Google сократились доходы мобильных операторов. Актуальной проблемой для них стал поиск новых возможностей для получения прибыли: компании предлагают не только сотовую связь, но и домашний интернет, IP-телевидение и собственные приложения. Все это приводит к усложнению сети: раньше для телефонии, интернета и кабельного телевидения были свои отдельные сети — теперь они интегрированы в одну общую сеть. Из-за тесной интеграции возникают риски нарушения информационной безопасности.

Работы Positive Technologies по тестированию защиты сетей мобильной связи показали, что уязвимости сетей сотовой связи на основе технологии SS7 позволяют злоумышленнику даже с невысокой квалификацией реализовать атаки, такие как раскрытие местоположения абонента, нарушение доступности абонента, перехват SMS-сообщений, подделка USSD-запросов и перевод средств с их помощью, перенаправление голосовых вызовов, подслушивание разговоров, нарушение доступности мобильного коммутатора. По данным Positive Technologies, большинство телеком-операторов не защищены от подобных атак. Однако наметилась положительная динамика: теперь операторы связи заинтересованы в мониторинге безопасности своих сетей. В следующем году эксперты прогнозируют увеличение с их стороны спроса на ИБ-услуги.

84 миллиона новых образцов вредоносных программ, на 9 миллионов больше, чем в 2014 году

PandaLabs, антивирусная лаборатория компании Panda Security, в течение всего 2015 года обнаружила и обезвредила свыше 84 миллионов новых образцов вредоносных программ, что на девять миллионов больше, чем за 2014 год. Такой уровень означает, что каждый день в течение 2015 года появлялось примерно 230 000 новых образцов вредоносных программ.

Прошедший год показал наибольшее количество кибер-атак, зафиксированных по всему миру, в рамках которых было использовано порядка 304 миллионов образцов угроз. Следовательно, более четверти всех образцов использованных вредоносных программ были произведены в 2015 году (27,63%).

Прошедший год также был сложным для целого ряда транснациональных компаний, которые пострадали от масштабных краж данных и негативного воздействия на свои ИТ-системы.

Самые мощные угрозы в 2015 году: трояны и ПНП

В 2015 году трояны, ПНП (потенциально нежелательные программы, PUP) и отдельные семейства Cryptolocker посеяли страх среди крупных компаний во всем мире посредством массированных атак и кражи тысяч конфиденциальных файлов.

Трояны продолжают оставаться основным источником вредоносных программ (51,45%), комфортно расположившись впереди остальных типов: вирусы (22,79%), черви (13,22%), ПНП (10,71%) и шпионское ПО (1,83%).

Помимо троянов, Cryptolocker (относится к программам-шифровальщикам, ransomware) был главным героем кибер-атак в течение всего года. По словам Корронса, «Cryptolocker – это лучший выбор для кибер-преступников, т.к. это один из самых простых способов заработка денег. Кроме того, он показал себя очень эффективным, особенно в случае с предприятиями, которые долго не думают при оплате выкупа за восстановление контроля над украденной информацией».

Самые крупные инфекции вызваны троянами

Среди всех типов вредоносных программ, которые привели к крупным заражениям во всем мире, трояны показали самый высокий уровень заражения (60,30%), но их показатель снизился на 5% по сравнению с 2014 годом.

ПНП также оказали достаточно негативное влияние: примерно треть случаев заражений использовали техники обмана для проникновения на ПК своих жертв. Далеко позади в данном «рейтинге» остались такие типы угроз, как рекламное и шпионское ПО (5,19%), черви (2,98%) и вирусы (2,55%).

Китай остается одной из самых зараженных стран мира

Прошлый год был примечателен тем, что показал самые высокие уровни заражений на компьютерах. В географическом плане Китай оказался страной с самым большим уровнем зараженных компьютеров (57,24%), и этот показатель был примерно на 30% выше, чем в 2014 году. Следом расположился Тайвань с уровнем заражения в 49,15%, а на третьем месте – Турция (42,52%). Эти три страны по-прежнему остаются на вершине данного рейтинга заражений, как это было в 2014 и 2013 годах.


В десятку самых зараженных стран мира не вошли следующие страны, которые показали уровень заражения выше среднемировых значений: Колумбия (33,17%), Уругвай (32,98%) и Испания (32,15%).

Скандинавские страны показали самый низкий уровень заражения

В десятке менее зараженных стран мира девять стран представляют Европу, и только Япония оказалась единственной страной с другого континента.

Скандинавские страны заняли все три верхние позиции: Финляндия показала самый низкий уровень заражения 20,32%, далее следуют Норвегия (20,51%) и Швеция (20,88).

2014 год

Лучше платить, чем защищать?

Половина финансовых организаций в России возмещает своим клиентам потери, понесенные ими в результате интернет-мошенничества, без проведения расследования. 31% компаний, готовы рассматривать возможность компенсации после внутреннего расследования инцидента, а 8% для этого требуется внешнее расследование. Такие данные были получены в ходе специального исследования об отношении коммерческих компаний к киберугрозам, проведенного «Лабораторией Касперского» совместно с независимым агентством B2B International в 2014 году.

Как выяснили эксперты, многие организации, работающие с онлайн-платежами, готовы допустить неизбежные денежные риски лишь бы не инвестировать в специализированную ИТ-защиту. Так, четверть компаний все еще уверена, что спровоцированные киберугрозами расходы меньше, чем затраты на защитные решения. Удивительно, что среди финансовых организаций, имеющих самое непосредственное отношение к онлайн-операциям с деньгами, доля придерживающихся той же позиции даже выше – 33%.

По данным, полученным с помощью облачной инфраструктуры Kaspersky Security Network, в 2013 году почти 4 миллиона пользователей продуктов «Лаборатории Касперского» столкнулись с попыткой кражи их денег с помощью специальных вредоносных программ (по сравнению с 2012 годом показатель вырос на 18,6%). Этот факт свидетельствует о возрастающем интересе злоумышленников к электронным платежам, и подобная тенденция неизбежно приведет к тому, что расходы, которые компании будут нести в связи с компенсационными выплатами, окажутся существенно больше, чем инвестиции в защиту от подобных киберугроз.

«Помимо того, что финансовые компании закладывают в бюджет отдельные фонды на возмещение украденного, они также несут расходы на обработку клиентских жалоб. Но самое главное, даже если пострадавшему оперативно вернут деньги, он задумается, а стоит ли пользоваться услугами банка, который не может обеспечить безопасность его онлайн-счета? Потери лучше предотвращать, а не компенсировать», — комментирует ситуацию Александр Иванюк, старший менеджер по развитию направления бизнес-решений «Лаборатории Касперского» для финансовых компаний.

Gemalto: Обзор утечек и краж данных

Компания Gemalto опубликовала в феврале 2015 года результаты Индекса критичности утечек данных (SafeNet Breach Level Index, BLI), согласно которым более 1500 утечек данных, имевших место в 2014 году, привели к тому, что по всему миру было скомпрометировано порядка одного миллиарда записей данных. Эти данные означают, что количество утечек данных выросло на 49%, а количество украденных или пропавших данных увеличилось на 78% по сравнению с 2013 годом.

Продолжая этот сопоставительный анализ, который был разработан в компании SafeNet, приобретенной компанией Gemalto, Индекс критичности утечки данных (BLI) является глобальной базой данных о происходящих утечках данных, которая предоставляет специалистам в области безопасности методику, позволяющую оценить серьезность утечки и определить ее место среди утечек, информация о которых раскрыта публично. BLI оценивает тяжесть утечки данных по различным параметрам на основании информации, раскрытой об утечке.

Согласно данным в базе BLI, основной мотивацией для киберпреступников в 2014 году было воровство личных данных; этот вид хищения данных составил 54% всех утечек и превысил все остальные категории, включая доступ к финансовой информации. Кроме того, утечки данных, связанные с кражей личной информации, составили одну треть самых серьезных утечек, которые были охарактеризованы BLI либо как катастрофические (9,0-10 баллов по шкале BLI) либо как серьезные (7,0-8,9 балла). Количество нарушений безопасности, включая нарушения периметра безопасности, где скомпрометированные данные были зашифрованы полностью или частично, увеличилось с 1% до 4%.

В 2014 году не только произошел сдвиг в сторону учащения краж личных данных; утечки также стали более серьезными: две трети из 50 самых серьезных утечек согласно баллу BLI имели место в 2014 году. Кроме того, количество утечек данных, включая более 100 млн. скомпрометированных записей данных, по сравнению с 2013 годом выросло вдвое.

С точки зрения отраслей экономики, в 2014 году розничная торговля и финансовые услуги претерпели наиболее заметные изменения по сравнению с другими секторами. В розничной торговле количество утечек данных слегка увеличилось по сравнению с прошлым годом, составив 11% от всех утечек данных 2014 года. Однако если говорить о скомпрометированных записях данных, их доля в розничной торговле выросла до 55% по сравнению с 29% в прошлом году из-за увеличения количества атак, направленных на системы точек продаж. Для сектора финансовых услуг количество утечек данных остается относительно стабильным из года в год, но среднее количество записей, утерянных в результате каждой утечки, увеличилось в десять раз, с 112 000 до 1,1 миллиона.

Согласно BLI, в целом в 2014 году при осуществлении атак, персональные данные оставались основной целью киберпреступников. На долю таких инцидентов пришлось 54%. Чаще всего информацию крадут из предприятий розничной торговли. Хакеры, взломав ИТ-системы торговой сети, получают такие персональные данные, как:

  • данные о платежных картах,
  • информацию, указанную при оформлении дисконтной или клубной карты,
  • данные о месте жительства,
  • номер мобильного телефона и т.д.

В ежегодных обзорах информационной безопасности утверждается, что наиболее часто данные утекают благодаря сотрудникам компаний. Это происходит либо по злому умыслу, либо по неосторожности. Сторонние компании-конкуренты воруют информацию также часто, как хакеры.

Больше всего утечек информации в 2014 году фиксировалось в США. Это объясняется особой щепетильностью, с которой американцы относятся к своим персональным данным. Например, в одном из учреждений здравоохранения в США в марте 2014 года обнаружился инсайдер, который копировал персональные данные пациентов. Жертвами кражи информации могли стать только четыре пациента, но в итоге пострадало несколько тысяч пациентов, обращавшихся в медучреждение на протяжении нескольких лет, пока там работал инсайдер.

Индекс критичности утечек данных (BLI) включает в себя централизованную глобальную базу данных утечек и обеспечивает оценку уровня той или иной утечки данных по различным параметрам, в том числе по типу данных и количеству похищенных записей, источнику утечки, а также по тому, были ли утекшие данные зашифрованы. Каждая утечка получает определенный балл, таким образом, индекс BLI представляет собой сравнительную таблицу утечек, позволяющую отличить мелкие и незначительные инциденты от действительно крупных и значимых утечек. Сведения, вошедшие в базу данных BLI, основаны на публично доступной информации об утечках.

Global Cyber Executive Briefing «Делойт Туш Томацу Лимитед»

В отчете Global Cyber Executive Briefing «Делойт Туш Томацу Лимитед» говорится о том, что кибератакам будут подвержены практически все организации, поэтому топ-менеджерам необходимо как можно глубже вникнуть в суть ключевых угроз, а также определить наиболее уязвимые активы (как правило, это те из них, которые лежат в основе ведения бизнеса).

«Если раньше для получения выгоды злоумышленникам необходимо было физическое присутствие и непосредственный контакт с объектом, в адрес которого направлены противоправные действия, то сейчас все стало намного проще. В наше время, когда технологии развиваются с каждым годом все быстрее, крайне высокую ценность приобрела информация, ― отмечает Сергей Буханов, директор Отдела по управлению рисками организаций в компании «Делойт», СНГ. ― Подавляющее большинство наиболее «прибыльных» для злоумышленников преступлений сегодня совершаются удаленно, о чем красноречиво свидетельствуют новостные ленты последних месяцев: хищения денежных средств со счетов сотен клиентов популярной сети платежных терминалов; хищение персональных данных о платежных картах сотен тысяч граждан, которые осуществляли покупки билетов через сайт одной из крупнейших транспортных компаний мира, что вынудило некоторые банки блокировать или ограничивать функциональные возможности пластиковых карт нескольких тысяч своих клиентов. Помимо этого мы зачастую узнаем о разоблачении сотрудников банков, воспользовавшихся избыточными привилегиями для незаконного перевода средств клиентов на личные счета либо выдачи банковской гарантии посредством неавторизованного использования системы SWIFT. Учитывая все это, все больше руководителей различных компаний во всем мире приходят к пониманию существенности возникающих угроз и уделяют повышенное внимание вопросам информационной безопасности при использовании информационных технологий. Также важно отметить, что за прошедшие несколько лет было усовершенствованно законодательство Российской Федерации в областях, связанных с вопросами обеспечения безопасности использования информационных технологий и защиты персональных данных. Так, опубликованы новые стандарты Центрального банка РФ по обеспечению информационной безопасности банковских систем; обсуждаются вопросы усиления ответственности за преступления в банковской сфере, совершаемые в целях хищения денежных средств с использованием высоких технологий».

Согласно выводам отчета обеспечение надежности начинается с определения слабых сторон прикладных программ и усиления цифровой инфраструктуры. Соответственно, организации, которые хотят проявлять бдительность, должны быть готовы как можно раньше обнаружить любую атаку. Быстрая мобилизация включает в себя раннее определение направления действия угрозы, причины атаки и то, как она проявится. Быстрое выявление атаки может стать для организации сигналом к действию и таким образом помочь локализовать и устранить угрозу.

Основные выводы отчета, включая угрозы для компаний по отраслям:

  • Высокие технологии: такие компании постоянно являются целью атак, которые несут в себе угрозы крупнейших потерь интеллектуальной собственности, а также наиболее подвержены хактивизму. Угрозы также используются как средство атаки и заражения других компаний.
  • Онлайн-медиа: такие компании наиболее подвержены кибератакам с целью нанесения ущерба их репутации. Угрозы используются как средство атаки и заражения других компаний.
  • Телекоммуникации: данные компании сталкиваются с возросшим уровнем технически сложных атак, в том числе со стороны правительственных агентств, использующих целенаправленные устойчивые угрозы для установления скрытой слежки на длительный период. Другой существенной угрозой, присущей только сектору телекоммуникаций, является атака на арендуемое техническое оборудование, такое как домашние маршрутизаторы интернет-провайдеров.
  • Электронная коммерция: в данном случае имеет место преимущественно взлом базы данных (т. е. потеря данных клиентов, включая их имена, фактические адреса и номера телефонов). Зачастую атакуются такие уязвимые области, как системы проведения онлайн-платежей. Наиболее распространенным типом атаки является вызов ответа системы «Отказ в обслуживании». В частности, он используется хактивистами, которые хотят нарушить работу организации наиболее заметным способом.
  • Страхование: компании этого сектора, как правило, работают с большим объемом чувствительных данных, которые необходимо защищать. Частота кибератак в этом секторе растет в геометрической прогрессии в связи с тем, что страховые компании переходят на цифровые каналы обслуживания. Атаки становятся все более сложными технически, комбинируя усовершенствованное вредоносное программное обеспечение и другие технологии, такие как психологическая атака. В то время как текущие атаки представляются краткосрочными, в отчете прогнозируется возможный рост долгосрочных атак, пока не привлекающих большого внимания.
  • Обрабатывающая промышленность: в данном секторе наблюдается рост числа атак со стороны хакеров и киберпреступников, а также корпоративный шпионаж. Типы кибератак на компании обрабатывающей промышленности варьируются от фишинга до использования усовершенствованного вредоносного программного обеспечения и нацелены не только на IT-системы, но и на связанные с ними системы промышленного контроля.
  • Ретейл: в этом секторе данные кредитных карт фактически являются для хакеров и преступников новой валютой. В сфере ретейла возрастают угрозы утечки инсайдерской информации, что способствует формированию нового типа преступников. Их целью становится кража информации, в особенности ценных данных о держателях карты, которыми обмениваются потребители и ретейлеры.

2013 год

Zurich: 2013 год стал самым удачным для кибер-преступников

740 млн конфиденциальных файлов было украдено или незаконно просмотрено кибер-преступниками в 2013 году. 2013 год стал худшим по этому показателю за все время. Такие данные приводит исследование, подготовленное страховой компанией Zurich insurance Group совместно с аналитическим агентством Atlantic Council.

В исследовании говорится, что порядка 2,5 миллиарда человек - почти треть всего населения земли - регулярно пользуются Интернетом, и в среднем на каждого человека приходится по 6 гаджетов, подключенных к мировой сети. Каждую минуту отправляются 204 млн. электронных писем, передаются 640 терабайтов данных и публикуются 100 000 твитов.

При таком объеме циркуляции данных конфиденциальная информация находится в весьма уязвимом положении, которое может стать причиной серьезных экономических потрясений. На сегодняшний момент в мире нет достаточных технологий, способных защитить частных лиц и организаций от всех кибер-рисков. Если компания не способна смягчить эти сложные и взаимосвязанные риски, то возрастает вероятность внезапного потрясения, сопоставимого по масштабу с крахом Lehman Brothers на ипотечном рынке в 2008 году .

Проведенное исследование выделяет четыре источника кибер-рисков - это преступники, хакеры, шпионы и военные.

Преступники обычно используют похищенную информацию с целью ее продажи. Чаще других от них страдают организации, работающие с персональными данными своих клиентов. Хакеры действуют масштабнее – они нарушают работу сетей компаний или похищают информацию, которая может скомпрометировать организацию или человека.

Третьей традиционной кибер-угрозой является шпионаж, целью которого становятся исследования компаний, новейшие разработки, стратегии переговоров и бизнес-планы. Ярким примером может служить история прошлого года, когда китайские хакеры похитили чертежи нового здания разведывательного управления Австралии. Четвертая группа - военные. Они специализируются на обрушении целых сетей и систем, включая инфраструктурные и индустриальные. Такое, правда, случается довольно редко.

Перечень этих рисков уже завтра может дополниться новыми – вторжением в облачные технологии, в систему автомобилей «без водителей», медицинские аппараты и интеллектуальные энергосистемы (smart grid). Все более тесная связь Интернета с реальной экономикой и обществом может привести к широкомасштабному потрясению, даже более серьезному, чем готовы признать риск-менеджеры и интернет-специалисты. Подвергнуться атаке могут банки, системы водоснабжения, автомобили, медицинские устройства, плотины гидроэлектростанций.

Выходом в этой ситуации может стать создание альтернативных сетей на случай кибер-атак, а также повышенное внимание топ-менеджмента компаний к защите информации. На сегодняшний день в подавляющем большинстве компании не фиксируют факты кибер-атак, и зачастую даже не знают, что их конфиденциальные данные уже стали достоянием кибер-преступников.

При существующей динамике нарастания кибер-угроз страхование от кибер-рисков в самом ближайшем будущем может перейти из категории экзотики в категорию стандартных страховых опций, а область деятельности риск-инженеров пополнится мониторингом систем эффективной электронной информации.

  • Угрозы для финансов. В 2013 году значительное распространение по всему миру получило новое вредоносное ПО для взлома систем онлайн-банкинга; все более частыми стали атаки с использованием программ-вымогателей (достаточно вспомнить печально известную программу Cryptolocker, которая шифрует данные пользователя, а потом предлагает заплатить за расшифровку) (по данным отчёта Trend Micro Incorporated, посвященого ландшафту киберугроз в 2013 году «Cashing in on Digital Information» («Монетизация цифровой информации»)
  • Мобильные угрозы. Угрозы для мобильных платформ значительно эволюционировали в плане количества и уровня сложности. Это связано с тем, что все больше хакерских программ, изначально создававшихся для ПК, были «переориентированы» на мобильные платформы. К концу 2013 года общее количество обнаруженных вредоносных и опасных приложений для Android достигло отметки в 1,4 млн. Пользователи продукции Apple также не могут считать себя стопроцентно защищенными от этих опасностей. Киберпреступники стремятся «освоить» эту широкую, а потому привлекательную аудиторию потенциальных жертв. Неудивительно, что в 2013 году число фишинговых атак на пользователей платформ Apple выросло.
  • Защита персональной информации. Учетные записи пользователей в социальных сетях и облачных хранилищах данных становятся все более привлекательной мишенью для хакеров. Агрессивные фишинговые атаки, приуроченные к выходу разных знаковых платформ, например PS4 and Xbox One, поставили безопасность данных миллионов пользователей под угрозу.
  • Атаки на инфраструктуру. Резонансные кибератаки в Южной Корее показали, что сегодня хакерам «по плечу» организовать масштабные действия против критически важных элементов инфраструктуры.
  • Неподдерживаемое ПО. Одним из ключевых вопросов 2013 года стали опасения, связанные с прекращением поддержки некоторых версий Java и ОС Windows XP. Для последней выпуск обновлений и исправлений будет прекращен в апреле 2014 года.

Кибератаки на IT-корпорации и СМИ

2013 год запомнился целым рядом знаковых событий, одним из которых стала серия кибератак на ведущие СМИ и IT-корпорации, расположенные преимущественно в США – в разное время атакам подверглись издания New York Times, Wall Street Journal, Washington Post, а также Twitter, Facebook, Evernote, Apple и Microsoft. Эти атаки в той или иной степени привели к утечке персональных данных работников компаний и пользователей сервисов.

Так, итогом кибератаки на Adobe Systems стала компрометация десятков миллионов аккаунтов клиентов компании, а также утечка исходных кодов таких распространенных продуктов, как Adobe Acrobat, ColdFusion и Photoshop.

Социальные сети под ударом

Впрочем, активность хакеров была направлена не только на IT-компании, но и на рядовых пользователей. Так, в феврале эксперты ESET обнаружили вредоносный код PokerAgent, который заражал игроков в Facebook-приложение Zynga Poker. Целью хакеров были личные данные пользователей, а также информация о привязанных к их аккаунтам банковских картах. Для получения искомых данных был создан ботнет из нескольких сотен зараженных устройств, выполнявших инструкции командного центра. В итоге PokerAgent похитил данные более 16 000 аккаунтов Facebook.

Еще одна примечательная вредоносная программа, угрожающая завсегдатаям социальных сетей, была направлена исключительно на российских пользователей – троян Win32/Bicololo.A распространялся с помощью фишинговых сообщений под видом ссылок на безобидные графические файлы. При активации подобной ссылки вместо изображения загружалось вредоносное ПО.

Попав на компьютер, Bicololo модифицировал системные файлы, чтобы при попытке пользователя зайти на сайт Вконтакте, Одноклассники или проверить почту на Mail.ru он бы вводил свои данные на фальшивой странице, принадлежащей злоумышленникам.

Фишинговые атаки на интернет-мессенджеры

В 2013 году под ударом находились не только пользователи соцсетей, но и поклонники общения через интернет-мессенджеры. Так, обнаруженная экспертами ESET масштабная спам-кампания в Skype, Gtalk, QIP и ряде других мессенджеров подвергла опасности более полумиллиона пользователей во всем мире (включая 40 000 пользователей из России). При помощи фишинговых сообщений преступники заражали систему вредоносным ПО, получая доступ к персональным и аутентификационным данным жертв.

Другой крупной атакой стало распространение шпионского ПО среди польских пользователей. Аналитики вирусной лаборатории ESET в Кракове зафиксировали атаку на пользователей Skype, MSN Messenger, Jabber, GTalk, ICQ и др мессенджеров. Программа Spy.Agent собирала информацию о посещаемых сайтах, установленных приложениях, паролях к Wi-Fi, а также записывала вводимые с клавиатуры сообщения и даже прослушивала звонки.

Поимка киберпреступников

Но действия киберпреступников не остались без ответа – так, благодаря активности компании Microsoft, в 2013 году был ликвидирован ботнет Citadel. При поддержке правоохранительных органов, провайдеров и спецслужб корпорация провела операцию по нарушению работы одного из крупнейших в мире ботнетов. Ущерб от его активности на тот момент превышал полмиллиарда долларов.

Кроме того, не повезло и Уильямсу Ульбрихту, основателю сайта для торговли запрещенными препаратами Silk Road – он был арестован в США. На другом конце света, в России, был задержан и «коллега» Ульбрихта – хакер, известный под ником Paunch. Он прославился как владелец известного набора взломщиков-эксплойтов Blackhole, который активно использовался киберпреступниками всего мира для скрытого проникновения в системы пользователей.

Угрозы для TOR

Тренд на анонимность киберпреступники подхватили еще в середине года – именно тогда экспертами ESET был обнаружен ботнет Atrax, технически самый сложный и интересный ботнет для анонимной сети TOR. Поскольку передача данных в этой сети – процесс небыстрый, то ботнет не использовался для кражи больших объемов данных. Вместо этого он собирал информацию, вводимую в формы авторизации на различных порталах, а также загружал на ПК дополнительные вредоносные файлы. Atrax попадает на ПК через специальную вредоносную страницу, замаскированную под сайт службы поддержки клиентов PayPal.

Обнаружить и уничтожить командный центр этого ботнета – непростая задача, поскольку в данном случае анонимность TOR защищает не пользователей, а самих киберпреступников. Можно предположить, что с ростом миграции в «скрытый интернет» мы увидим новые, технологически еще более совершенные угрозы для TOR.

Мобильные угрозы

Еще одной, пока сравнительно экзотичной разновидностью ботнетов, стали ботнеты для мобильных устройств. Впервые зафиксированные в 2012 году, сегодня большая часть вредоносных программ для Android содержит функционал по объединению зараженных смартфонов и планшетов в ботнеты.

Если говорить о мобильных угрозах в целом, то, по сравнению с аналогичным периодом прошлого года, количество новых семейств вредоносных программ для Android (которые по-прежнему составляют до 99% всех мобильных угроз) в 2013 году выросло на 43,6%, причем речь не только о росте активности известных угроз, но о появлении новых категорий ПО.

  • Загрузчик: пытается загрузить из интернета файлы других вредоносных программ и установить их на устройство.
  • Дроппер: устанавливает другие угрозы на устройство при запуске; угрозы находятся в теле самого дроппера.
  • Кликер: предназначен для генерации трафика на сайты через искусственное увеличение количества кликов.
  • Банковское вредоносное ПО: специализируется на краже конфиденциальной информации пользователя, которая используется для проведения операций, связанных с онлайн-банкингом.

Одной из самых активных мобильных угроз стал SMS-троян, детектируемый продуктами ESET как TrojanSMS.Agent (его модификации демонстрируют особенно высокую активность в России и странах бывшего СССР). В 2011 году была обнаружена 31 модификация этой программы, а в 2013 году их зафиксировано уже 324. Такие трояны могут тайком от пользователя отправлять сообщения на платные номера, опустошая мобильный счет.

За 2013 год общее количество вредоносных программ для платформы Android выросло на 63%. Наибольшие темпы роста Android-угроз продемонстрировали Иран, Китай и Россия.

Аналогичные темпы роста сохранятся и в 2014 году; новые мобильные угрозы продемонстрируют не только количественный, но и качественный рост – в частности, будут все более активно использовать уязвимости мобильных платформ и их компонентов.

Программы-вымогатели

Активность вымогателей в 2013 году тоже демонстрировала значительный рост – так, эксперты ESET детектировали в России стремительный рост активности трояна-шифровальщика FileCoder, который требует выкуп за расшифровку личных файлов пользователя. По сравнению со средним уровнем, зафиксированным в первой половине 2013 года, активность FileCoder возросла более чем на 200%. По данным ESET, на российских пользователей пришлось более 44% обнаружений этой программы.

Другой распространенный в 2013 шифровальщик, CryptoLocker, в качестве психологической атаки использовал обратный отсчет – зараженному пользователю давалось всего 70 часов на то, чтобы заплатить выкуп и получить доступ к зашифрованным личным данным. В противном случае он прощался с ними навсегда.

Обнаруженный экспертами ESET троян Nymaim также может блокировать компьютер пользователя с целью получения выкупа. Раньше заражение этим ПО осуществлялось при помощи уже упомянутого комплекта эксплойтов BlackHole, однако позднее киберпреступники переориентировались на распространение через поиск Google. Кликнув на вредоносную ссылку в поисковой выдаче, пользователь вместо искомой информации инициировал загрузку вредоносного архива,

В 2014 году также не стоит ждать снижения активности вымогателей – в частности, появление новых модификаций подстегнет популярность виртуальной валюты Bitcoin. Благодаря ее анонимности и высокому курсу, киберпреступники все чаще будут требовать выкуп именно в биткоинах. Впрочем, некоторые киберпреступники решили не вымогать биткоины у пользователей, а красть их напрямую – так, на кражу электронной валюты теперь нацелена новая модификация известного банковского трояна Hesperbot, широко распространенного в Европе. Хищение реализуется через получение доступа к электронному кошельку, содержащему секретные ключи.

2012 год

WatchGuard: Поставщики облачных сервисов пострадают от масштабных сетевых атак

2012 год для сферы информационной безопасности будет непростым и в то же время интересным с точки зрения развития технологий. Представляем новый прогноз WatchGuard на 2012-й с точки зрения угроз в области сетевой и информационной безопасности[41].

В 2012-м ожидается масштабная волна организованных сетевых атак на облачные сервисы и взлом крупных поставщиков облачных технологий. В то же время защита сетевых активов поставщиков облачных услуг выйдет на новый уровень развития.

Почему облака являются чрезвычайно интересными мишенями для взлома?

  • Множество клиентов хранят свои конфиденциальные данные в облаках, где они легко могут быть доступны для злоумышленников.
  • При разработке облачных сервисов используются сложные информационные технологии, которые могут иметь серьезные уязвимости.
  • Большинство поставщиков облачных сервисов используют сложные, изготовленные на заказ Web-приложения и технологии виртуализации, которые при некорректных настройках могут представлять значительную угрозу безопасности данных в облаках.

Для организации атак на корпоративные сети злоумышленники будут использовать новые технологии и вредоносное программное обеспечение APT

В 2012 г. будет активно развиваться сложное и стойкое к обнаружению вредоносное ПО — Advanced Persistent Threats (APT).

В 2011-м от APT-угроз пострадали правительства многих стран, системы управления производственным процессом и крупные мировые компании. С помощью этого ПО были взломаны RSA SecureID, `Операция ShadyRat`. Кроме того, появился преемник сетевого червя Stuxnet — червь Duqu.

Ожидается, что в нынешнем году вредоносное ПО APT будет усовершенствовано и APT-угрозы будут нацелены не только на корпоративный сектор, но и на рядовых пользователей.

Ожидаются крупные утечки конфиденциальных данных

В связи с появлением сложного вредоносного ПО APT, новых авторов вредоносного ПО и групп профессиональных хакеров, таких как Anonymous и LulzSec, в 2011-м произошло значительно больше инцидентов, связанных с крупными сетевыми атаками, чем в предыдущие годы.

Трудно сказать точно, что в большей мере повлияло на столь значительный рост количества сетевых атак. Возможно, злоумышленники стали более организованными, появилось немало профессиональных групп хакеров или были введены новые нормативные акты, требующие, чтобы компании сообщали обо всех произошедших атаках и утечках данных. В любом случае ожидается, что тенденция к увеличению числа утечек сохранится и в 2012-м.

Возрастет спрос на решения по обеспечению виртуальной безопасности

В 2012 г. значительно повысится интерес к решениям по обеспечению безопасности систем виртуализации среди небольших и средних компаний.

До недавнего времени многие ИТ-специалисты, работающие в малом и среднем бизнесе, до конца не осознавали, насколько серьезным может быть риск потери данных при недостаточном внимании к вопросам правильного внедрения виртуальных сред.

Теперь ситуация изменится: в новом году вырастет спрос не только на технологии виртуализации, но и на средства обеспечения информационной безопасности виртуальных сред.

Онлайновые магазины мобильных приложений для смартфонов и коммуникаторов `помогут` быстрому распространению мобильного вредоносного ПО

Злоумышленники по-прежнему будут концентрировать внимание на мобильных устройствах, а точнее на онлайн-магазинах мобильного программного обеспечения. Чтобы избежать угрозы заражения мобильным вредоносным ПО, необходимо проявить определенную осторожность при загрузке мобильных приложений из онлайновых магазинов, а также обязательно учитывать репутацию продавца и разработчика приложения.

Проблема, связанная с BYOD, приведет к большему количеству утечек данных

Использование сотрудниками личных мобильных устройств в рабочих сетях компаний (Bring Your Own Device, BYOD) может привести к серьезным утечкам данных.

Специалисты, выступающие за то, чтобы разрешать сотрудникам использовать свои мобильные устройства в корпоративной сети, говорят, что BYOD поможет компаниям существенно уменьшить затраты, связанные с ИТ-сектором, повысить производительность труда, уменьшить нагрузку на службы технической поддержки и просто сделать работу персонала более удобной и комфортной.

Но кроме очевидных выгод, которые приносит BYOD, стоит учитывать, что при этом есть риск утечки важной информации и возникновения проблем, связанных с централизованным управлением этими устройствами.

Сеть Facebook останется главной целью для злоумышленников (сетевые атаки, взломы с использованием методов социальной инженерии, вредоносное программное обеспечение)

В 2011 г. сеть Facebook стала самым крупным источником вредоносных ссылок, обогнавшим по популярности такую угрозу, как вредоносные вложения в электронной почте.

В 2012 г. значительно возрастет количество сетевых атак как на отдельных пользователей Facebook, так и на сеть в целом. В связи с этим ожидается, что в нынешнем году появится большое количество обновлений системы безопасности Facebook и будут внедрены новые эффективные решения, обеспечивающие сетевую защиту.

Злоумышленники начнут организовывать атаки, направленные на физическое оборудование сетевых инфраструктур

В этом году произойдет по крайней мере одна крупная сетевая атака, направленная на то, чтобы вывести из строя физическое оборудование сетевой инфраструктуры.

Теоретически возможность проведения подобных атак, например, на системы энергоснабжения была известна давно, но никто не слышал об их реализации до тех пор, пока не произошёл взлом с использованием сетевого червя Stuxnet. Этот червь может заражать оборудование SCADA и вносить в систему изменения, напрямую влияющие на работу физического оборудования.

На данный момент SCADA-системы представляют основную цель исследований как для злоумышленников, так и для специалистов служб безопасности, поскольку современное вредоносное ПО имеет широчайший функционал и может эффективно заражать системы управления производственным процессом.

Злоумышленники встроят во вредоносное ПО функции определения местоположения пользователей, что позволит более точно управлять атаками

Геолокация является одной из основных тем обсуждения среди специалистов по безопасности, поскольку подобный функционал программного обеспечения потенциально нарушает право человека на неприкосновенность частной жизни. Такая информация может использоваться для слежения за людьми и их привычками.

В 2012 г. появится множество вредоносных программ с возможностями геолокации, благодаря которым атаки станут более целенаправленными. Простые возможности геолокации во вредоносных программах используются уже сейчас, позволяя злоумышленникам выбирать цели исходя из местоположения пользователей и выбирая, таким образом, наиболее действенные методы атаки для разных регионов мира. Ожидается, что в нынешнем году злоумышленники будут активнее использовать возможности геолокации, чтобы усилить вредоносное воздействие сетевых атак.

Стандарт HTML5 даст злоумышленникам множество возможностей для взлома Web-сайтов

На протяжении уже многих лет Интернет представляет собой поле битвы между хакерами и пользователями. В 2011 г. большинство сетевых атак были нацелены на Web-приложения, в результате чего злоумышленники смогли украсть терабайты данных.

Использование динамических Web-технологий, таких как Web 2.0 и HTML 5, является одним из основных факторов увеличения количества атак на Web-приложения. Динамические Web-технологии чрезвычайно мощны и, несомненно, очень полезны, но они имеют и ряд недостатков, связанных с уязвимостью в системе безопасности. Их используют почти все крупные Web-сайты, а также крупнейшие поставщики облачных технологий. Однако если при разработке Web-приложений неправильно использовать Web-технологии и методики защищенного кодирования, злоумышленники получат множество возможностей для взлома и обхода защиты корпоративных сетей. В 2012 г. число сетевых атак на Web-приложения возрастет в десятки раз.

Symantec: Киберконфликты станут нормой

Корпорация Symantec опубликовала в декабре 2012 года прогноз тенденций в мире кибербезопасности на 2013 год. Согласно данным экспертов корпорации, в 2013 году атаки станут агрессивнее и будут проводиться не только с целью заработка или шпионажа, но и с целью демонстрации силы атакующих. Кроме того, увеличится количество угроз для пользователей мобильных и облачных технологий, а также для аудитории социальных сетей.

Киберконфликты станут нормой

Начиная с 2013 года, конфликты между государствами, организациями и отдельными лицами в значительной степени перейдут в киберпространство. Онлайн-шпионаж отличается высокой успешностью при крайне низкой степени доказуемости. Правительства, как и различные организованные группы лиц, продолжат использовать кибератаки, чтобы повредить или уничтожить конфиденциальную информацию или финансовые ресурсы своих противников. В 2013 году мы станем свидетелями виртуального «потрясания оружием», когда правительства, организации или даже группы лиц будут использовать кибератаки, с целью продемонстрировать свою мощь или заявить о себе.

Эксперты Symantec ожидают также роста числа направленных атак, целью которых является отдельное лицо или неправительственная организация, отстаивающая, например, определенные политические взгляды или являющаяся представителем меньшинства в том или ином конфликте. В последнее время мы встречаем такого рода атаки в ситуациях, когда поведение отдельных людей или организаций становится предметом недовольства той или иной группы «хактивистов».

Программы-вымогатели приходят на смену лжеантивирусам

В то время, как распространенность лжеантивирусов медленно сходит на нет, на просторах киберпространства появляются еще более жесткие типы угроз. Во всем мире набирают популярность, так называемые, ransomware (от англ. ransom – выкуп), программы-вымогатели, довольно популярные в России.

Несмотря на то, что такая «бизнес-модель» уже использовалась и ранее, она страдала теми же недостатками, что и настоящее похищение: отсутствовал удобный способ забирать деньги. Но благодаря развитию систем онлайн-платежей злоумышленники решили эту проблему.

Блокираторы выйдут за рамки простого вымогательства и будут направлено на устрашение, то есть кибер-буллинг (кибер-нападение с целью нанесения психологического вреда). В следующем году преступники выйдут на новый уровень, воздействуя на эмоции жертв, используя способы, после которых станет гораздо сложнее восстановить систему.

Мобильная реклама усложнит ситуацию

Мобильное рекламное ПО (madware, mobile advertising software) – это мелочь, которая может не только сильно помешать процессу использования устройства, но и выдать злоумышленникам детали вашего местоположения, контактные данные, а также идентификационные данные устройства. Программа типа madware, незаметно попадающая на устройство при установке стороннего приложения, часто начинает заваливать пользователя всплывающими окнами, создает ярлыки, меняет настройки браузера и собирает его личные данные. Только за последние девять месяцев число приложений, включающих в себя наиболее агрессивные типы madware-программ, увеличилось на 210%. Данные о местонахождении и характеристиках устройства могут быть законным образом приобретены агрегаторами интернет-рекламы, чтобы предоставлять более релевантную рекламу. Эксперты Symantec ожидают увидеть рост использования программ такого типа в связи с желанием компаний увеличивать доходы за счет мобильной рекламы. Сюда входит также более агрессивный и потенциально вредоносный метод монетизации «бесплатных» мобильных приложений.

Монетизация социальных сетей создаст новые опасности

Специалисты ИБ отмечают, что пользователи с большим доверием относятся к социальным сетям, начиная от обмена личными данными и заканчивая покупкой игровой валюты и виртуальных подарков друзьям. По мере того, как с целью повышения уровня монетизации, социальные сети дают пользователям возможность дарить друг другу настоящие подарки, рост денежного оборота в социальных сетях дает злоумышленникам новые возможности для осуществления атак.

Эксперты ИБ Symantec ожидают роста числа атак, направленных на кражу платежных данных в социальных сетях и обман пользователей с целью заставить их сообщить эти и другие данные поддельным соцсетям. Сюда могут входить фальшивые извещения о подарках и электронные письма, требующие от пользователя указать свой домашний адрес и иную личную информацию. И хотя предоставление нефинансовой информации может показаться делом безобидным, злоумышленники торгуют и обмениваются ей, объединяя данные с уже имеющимися, что зачастую позволяет им получать доступ к по-настоящему ценной информации.

Злоумышленники последуют за пользователями к мобильным и облачным технологиям

Злоумышленники пойдут туда же, куда пользователи, и на данный момент это облачные и мобильные технологии. Именно облачные и мобильные платформы станут целью злоумышленников в 2013 году. Стремительный рост числа вредоносных программ для ОС Android в 2012 году подкрепляет этот прогноз.

Кроме того, включение в корпоративные сети незащищенных устройств, собирающих информацию, которая после этого оседает на других облачных носителях, значительно повышает риск утечки или целенаправленного захвата данных. Установка пользователями всё новых приложений, в конечном счете, неизбежно приводит к заражению.

Некоторые вредоносные мобильные программы дублируют функционал уже ранее существовавших угроз, например тех, что крадут информацию с устройств. Однако иногда появляется и что-то новое. Например, во времена dial-up модемов существовали программы, которые звонили на 900 номеров, принадлежащих хакерам. Сегодня вредоносные программы отправляют платные смс-сообщения, и вырученные средства достаются злоумышленникам. В 2013 году можно будет наблюдать дальнейшее развитие мобильных технологий, что создаст новые возможности для киберприступников.

Набирающая популярность технология электронных кошельков eWallet неизбежно станет еще одной платформой, которую злоумышленники попытаются использовать в своих целях. А по мере повсеместного внедрения технологий мобильных платежей, мобильные устройства станут представлять еще большую ценность. По аналогии с угрозой Firesheep для перехвата чужих Wi-Fi-сессий, стоит ожидать появления программ, которые будут перехватывать платежную информацию пользователей. Некоторые платежные системы широко популярны среди технически неискушенных пользователей и могут иметь уязвимости, потенциально ведущие к краже информации.

2011 год

Увеличение числа утечек данных, потери устройств и как позаботиться о будущем

Персональные данные примерно 1,1 миллиона человек - средний результат каждой успешной атаки в 2011 году. Тут наблюдается резкий рост в сравнении с предыдущими годами. Такие инциденты оказались серьёзной угрозой, в 2011 году были похищены данные о 187 миллионах человек. Однако наиболее частая причина утечек данных - кража или утеря ноутбука или другого носителя данных, например, смартфона, флеш-диска или носителя с резервной копией. В результате подобных утечек были раскрыты данные около 18,5 миллионов человек.

По мере того как продажи планшетных компьютеров и смартфонов продолжают обгонять продажи ПК, с каждым годом они будут нести всё больше конфиденциальной информации. Сотрудники приносят собственные смартфоны и планшеты и подключают их к корпоративным системам ещё до того, как организация успела внедрить средства защиты и управления данными устройствами. Это может привести к увеличению числа утечек данных, поскольку при отсутствии должной защиты утеря мобильных устройств представляет риск для хранимой на них информации. Недавнее исследование компании Symantec показывает, что 50% потерянных телефонов не будут возвращены владельцам и в 96% случаев (в том числе и на возвращённых) произойдет утечка данных.

Мобильные угрозы подвергают удару бизнес и индивидуальных пользователей

В 2011 году число мобильных уязвимостей выросло на 93%. В то же время замечен рост угроз для системы Android. С ростом числа уязвимостей для мобильных устройств злоумышленники не только приспосабливают существующие вредоносные программы для мобильных устройств, но и создают специализированное вредоносное ПО, использующее все возможности мобильной платформы. В 2011 году мобильные вирусы впервые представили реальную угрозу для бизнеса и индивидуальных пользователей. Эти угрозы предназначены для сбора данных, передачи контента и отслеживания пользователей.

Kaspersky Security Bulletin: Рейтинг стран по уровню безопасности интернет-серфинга

Эксперты «Лаборатории Касперского» ранее подготовили традиционный годовой отчет по киберугрозам - Kaspersky Security Bulletin 2011. Среди самых показательных цифр – степень риска заражения, которому подвергаются компьютеры при веб-серфинге в разных странах мира, указывалось в отчете.

Аналитики составили рейтинг самых опасных для интернет-серфинга государств, лидером которого по итогам 2011 года стала Россия: более 55% уникальных интернет-пользователей в стране подвергались веб-атакам.

Рейтинг самых опасных для интернет-серфинга стран 

Источник: «Лаборатория Касперского», 2012

Юрий Наместников, автор статистического отчета, отмечал, что статистика столкновения с киберугрозами при веб-серфинге «показывает уровень агрессивности среды, в которой работает компьютер». В 2011 году этот показатель вырос в целом по миру на 2% и составил 32,3%.

Эксперты отмечали, что в 2011 году произошли значительные изменения в тройке лидеров. С третьего на первое место поднялась Россия (+2,2%). Второе место осталось за Оманом с показателем 54,8%. На третье место с пятой позиции поднялись США с 50,1%. За год значительно снизился уровень риска при веб-серфинге в Ираке — с 61,8% до 45,4%. Эта страна опустилась с первой строчки рейтинга на восьмую.

После третьего места в «десятке» наиболее опасных для интернет-серфинга стран распределились следующим образом: Армения, Белоруссия, Азербайджан, Казахстан, Ирак, Украина, Гвинея-Бисау.

Все страны, попавшие в рейтинг, «Лаборатория Касперского» ранжирует по степени риска заражения при серфинге в интернете. К «Группе повышенного риска» с результатом 41-60% относятся 22 страны во главе с Россией. В «Группу риска» с показателями 21-40% попали 118 стран, в том числе Италия (38,9%), ОАЭ (38,2%), Франция (37%).

К «Группе самых безопасных при серфинге в интернете стран» (0 - 20%) можно причислить 9 стран: Эфиопия (20,5%), Гаити (20,2%), Дания (19,9%), Нигер (19,9%), Того (19,6%), Бурунди (18,6%), Зимбабве (18,6%), Бенин (18,0%), Мьянма (17,8%). Германия, Япония, Люксембург, Австрия и Норвегия, чьи показатели в 2010 году варьировали от 19% до 20%, перешли в группу риска.

За исключением Дании, группа безопасных стран почти полностью состоит из новичков рейтинга – развивающихся стран Африки и Азии. Их попадание в эту группу объяснялось характером распространения файлов в этих странах: интернет там пока еще не очень хорошо развит, и для обмена файлами активно используются различные съемные носители.

Топ-20 стран по количеству размещенного на ресурсах вредоносного ПО

По данным «Лаборатории Касперского», в 2011 году для проведения 946 393 693 атак через интернет злоумышленники воспользовались 4 073 646 доменами. Серверы, на которых был размещен вредоносный код, были обнаружены в 198 странах мира. 86,4% всех зафиксированных в Сети вредоносных хостингов были размещены в интернет-пространстве двадцати стран. Из них на Россию пришлось 14,6% всех атак: это второе место после США. Далее по числу исходящих атак следуют Нидерланды, Германия, Украина, Китай, Великобритания и другие.


Источник: «Лаборатория Касперского», 2012

Исследователи отмечали, что несмотря на то, что первые две позиции тогда занимали те же страны, что и год назад, активный рост доли вредоносных хостингов, который фиксировался в этих странах в предыдущие годы, прекратился. Этому способствовали активные действия правоохранительных органов по закрытию ботнетов. Однако несмотря на то что процент вредоносных хостингов в этих странах немного снизился, он все еще остается на очень высоком уровне, говорили эксперты.

Рейтинг стран по готовности к кибер угрозам

Наиболее подготовленными к кибератакам странами в мире названы Швеция, Финляндия и Израиль. Об этом говорилось в исследовании McAfee Security & Defence Agenda (SDA).

В отечете приводится рейтинг 23 стран с точки зрения их готовности отражать кибер угрозы, максимальная оценка рейтинга – 5 звезд – в этом году не досталась никому. На втором месте после лидеров оказались восемь стран, включая США, Великобританию, Францию и Германию, они получили 4 звезды.

Оценка в 3,5 звезды досталась Австралии, Канаде, Японии и Австрии, 3 звезды получили Италия, Китай, Польша и Россия. По 2,5 звезды – Бразилия, Индия и Румыния. Мексика оказалась последней – только 2 звезды.

Топ-23 мировых стран по уровню кибер безопасности

Источник: McAfee, январь 2012 года 

По словам Филлиса Шнека (Phyllis Schneck), технического директора McAfee, «зло гораздо проворнее добра», и именно поэтому высшую оценку не удалось получить ни одной из стран.

Что касается России, то большинству экспертов очень трудно абстрагироваться от ёё репутации «страны, которая занимается кибер шпионажем». В октябре 2011 года чиновники контр террористического комитета США, выступая перед Конгрессом, заявили, что Россия представляет собой «перманентную угрозу экономической безопасности США». По выражению одного из экспертов, «Россия это страна головорезов с великими хакерами».

Владимир Чижов, постоянный представитель России при Евросоюзе, тогда выступил с критикой этой позиции. «Этот тип угроз может успешно осуществляться только на базе международной кооперации», - заявил он.

Между тем, в отчете говорилось, что некоторые усилия России по регулированию сферы кибер безопасности имеют позитивный эффект. Это новые законодательные акты в защиту персональных данных, развитии цифровой подписи, а также изменение процедуры регистрации доменных имен (раньше она осуществлялась без какой бы то ни было верификации).

2010: Данные Symantec

За 2010 год Symantec обнаружила более 286 миллионов новых угроз. Такое огромное количество угроз сопровождалось появлением нескольких новых важных тенденций. Во-первых, в 2010 году наблюдался резкий рост, как частоты, так и изощрённости направленных атак на предприятия. Во-вторых, социальные сети стали использоваться злоумышленниками как платформы для распространения атак. В-третьих, нападающие изменили тактику - они всё чаще стали использовать уязвимости Java для взлома традиционных компьютерных систем. Наконец, замечен резкий рост интереса мошенников к мобильным устройствам[42].

Год направленных атак

Направленные атаки, такие как Hydraq и Stuxnet, представляли растущую угрозу для предприятий в 2010 году. Для успешного и незаметного проникновения в компьютерные сети предприятий злоумышленники использовали ранее неизвестные уязвимости (так называемые уязвимости нулевого дня). А, например, Stuxnet для осуществления атакиспользовал сразу четыре таких уязвимости.

В 2010 году злоумышленники атаковали целый ряд разнообразных крупных транснациональных корпораций и правительственных учреждений, а также на удивление много небольших компаний. Часто злоумышленники собирали информацию о конкретных сотрудниках атакуемой корпорации, а затем разрабатывали индивидульный подход к конкретной жертве (в основном с использованием методов социальной инженерии) для получения доступа в сеть компании-жертвы. Благодаря такому прицельному характеру, многие из этих атак достигли успеха даже в отношении таких организаций, где соблюдались основные меры безопасности.

Получившие широкую огласку направленные атаки 2010 года имели своей целью хищение интеллектуальной собственности или нанесение физического ущерба. Однако многие менее известные направленные атаки были нацелены и на частных лиц для получения доступа к их персональной информации. По данным отчета, в среднем в 2010 году один успешный взлом приводил к попаданию в открытый доступ персональных данных 260 000 человек.

Социальные сети: плодородная почва для кибер-преступности

Популярность социальных сетей продолжает расти, и создатели вредоносных программ не могли оставить это без внимания. Чаще всего злоумышленники используют короткие URL-адреса, которые обычно применяются для сокращения числа символов в сообщении на том же X Corp (ранее Twitter)е, более аккуратного вида длинной ссылки на сайте или в письме. В 2010 году мошенники распространили миллионы таких ссылок по социальным сетям с целью заманить пользователей на фишинговые сайты или заразить вирусом или другим вредоносным ПО. Это спровоцировало рост количества случаев успешного инфицирования.

В отчёте отмечается, что злоумышленники по максимуму использовали возможности новостных лент популярных соцсетей для массовых вредоносных активностей. Типичный сценарий выглядел так: злоумышленник входит на взломанный аккаунт в социальной сети и вывешивает в статусе короткую ссылку на вредоносный веб-сайт. Затем сайт социальной сети автоматически отправляет ссылку в новостные потоки друзей жертвы, распространяя ее таким образом сотням или тысячам жертв в течение нескольких минут. Корпорация Symantec зафиксировала, что в 2010 году 65% вредоносных ссылок в новостных потоках использовали короткие URL-адреса. Из них на 73% кликали более 10 раз, а 33% – от 11 до 50 раз.

Готовые инструменты для осуществления атак сфокусировались на Java

Наборы эксплойтов для атак – это компьютерные программы, которые могут использоваться как продвинутыми хакерами, так и новичками для облегчения запуска широкомасштабных атак. Такие инструмемнты повсеместно применялись в 2010 году и всё чаще использовали уязвимости Java, на долю которой пришлось 17% всех уязвимостей плагинов веб-браузеров в 2010. Являясь популярной мульти-платформенной технологией, не привязанной к типу браузера, Java остаётся привлекательной мишенью для злоумышленников.

Набор Феникс (Phoenix) стал основой для большинства осуществленных веб-атак в 2010 году. Он, как и многие другие наборы, тоже содержит элементы, использующие уязвимости Java. За отчетный период топ-6 веб-атак использовали экспойты к уязвимостям Java.

Число веб-атак, ежедневно фиксированных в 2010 году, возросло на 93% по сравнению с 2009 годом. И, учитывая то, что по данным Symantec две трети всех этих угроз были созданы с помощью готовых наборов инструментов, именно они могли стать причиной такого резкого роста.

Проясняется схема действий злоумышленников в мобильном пространстве

Повсеместное распространение мобильных платформ достигло того уровня, когда злоумышленники просто не могут не обращать на это внимания. В связи с этим Symantec ожидает увеличение числа атак на эти платформы. В 2010 году мобильные устройства атаковались преимущественно троянскими программами, маскировавшимися под легитимные приложения. И хотя некоторые из этих программ были разработаны злоумышленниками «с нуля», во многих случаях инфицирование пользователей происходило путём вписывания вредоносных алгоритмов в исходные официальные приложения. Затем злоумышленники распространяли эти зараженные приложения через общедоступные интернет-магазины. К примеру, именно таким способом воспользовались авторы Pjapps Trojan.

Несмотря на то, что новые архитектуры систем безопасности, используемые в современных мобильных устройствах, не уступают в эффективности настольным коппьютерам и серверам, злоумышленникам часто удаётся миновать эту защиту, используя внутренние уязвимости мобильных платформ. К сожалению, такие недочёты встречаются довольно часто: в течение 2010 года корпорация Symantec обнаружила 163 уязвимости, которые могли бы быть использованы злоумышленниками для получения частичного или полного контроля над устройствами, использующими популярные мобильные платформы. В течение первых месяцев 2011 года, злоумышленники уже воспользовались этими недочётами, чтобы инфицировать сотни тысяч устройств.

Ландшафт угроз – Основные цифры и факты

  • 286 миллионов новых угроз – 2010 год характеризовался многоообразием вредоносного ПО, а также появлением новых механизмами его распространения, что послужило причиной дальнейшего роста количества вредоносных технологий. В 2010 году Symantec столкнулся с более чем 286 миллионами уникальных вариантов вредоносного ПО;
  • Количество веб-атак выросло на 93% – Блягодаря готовым инструментам для осуществления веб-атак, их число увеличилось в 2010 году на 93%. Этому также способствовало широкое использование сервисов коротких URL;
  • 260 000 «человеческих жертв» за одну успешную атаку – Таково среднее количество людей, чьи персональные данные оказались в открытом доступе после взлома в 2010 году;
  • 14 новых уязвимостей нулевого дня – уязвимости нулевого дня сыграли ключевую роль в направленных атаках, таких как Hydraq и Stuxnet. Только Stuxnet использовал четыре различные уязвимости нулевого дня;
  • 6 253 новые уязвимости – В 2010 году Symantec задокументировал больше уязвимостей, чем в любой предыдущий отчётный период;
  • Число обнаруженных мобильных уязвимостей выросло на 42% – Признаком того, что киберпреступники начинают фокусироваться на мобильном пространстве стал рост числа зафиксированных новых уязвимостей мобильных операционных систем со 115 в 2009 до 163 в 2010 году;
  • 1 ботнет с более 1 млн. спам-ботов – В 2010 году был период, когда под контролем Rustock, самого крупного ботнета из наблюдавшихся в 2010 году, находилось более одного миллиона ботов. Другие ботнеты – такие как Grum и Cutwail – отставали ненамного, контролируя многие сотни тысяч ботов каждый;
  • 74% спама относилось к фармацевтической продукции – В 2010 году примерно три четверти всего спама представляли собой рекламу фармацевтических препаратов;
  • $15 за 10 000 ботов – Проводя мониторинг рекламных объявлений теневого рынка в 2010 году, Symantec обнаружил, что 10 000 ботов продавались всего за 15 долл. США. Обычно боты используются для спам-рассылок и распространения ложного ПО, однако в последнее время их все чаще применяют для DDOS-атак.
  • От $0.07 до $100 за кредитную карту – В 2010 году цены на реквизиты кредитных карт на подпольных форумах варьировались в широком диапазоне. Факторами, диктовавшими цену, были редкость карты и скидки при оптовой покупке.

Меры против киберпреступников

Чтобы эффективно противостоять этой угрозе, масштабы которой столь разительно выросли за последние годы, компаниям необходимо рассматривать информационную безопасность в качестве одного из ключевых компонентов своей операционной деятельности. Наиболее приоритетным должен стать вопрос ответственности. Коль скоро проблема информационной безопасности приобрела стратегическую важность, членам правления компании следует уделить первостепенное внимание решению этой трудной задачи.

Одним из первых важных шагов должно стать введение в организационную структуру компании должности директора по информационной безопасности. Директор по информационной безопасности или руководитель службы безопасности, как правило, не входят в состав правления, но они должны иметь право прямого доступа и отчитываться либо непосредственно перед правлением, либо перед должностным лицом, которое в иерархии подчиненности находится максимум на одну ступеньку ниже правления. Директор по информационной безопасности обязан информировать руководителей высшего звена о важности мер по обеспечению информационной безопасности и добиваться выделения необходимых ресурсов. Следующее решение, принимаемое на уровне правления компании – это составление перечня данных и систем, защита которых имеет первостепенное значение. После определения подразделений и систем, нуждающихся в защите, разрабатываются сценарии противодействия атакам с учетом перечня потенциальных злоумышленников, их целей, временных и финансовых ресурсов. Наряду с этим, после оценки рисков следует внедрить систему управления информационной безопасностью.

Важно, чтобы в работу на всех перечисленных этапах были надлежащим образом вовлечены все отделы. Еще один существенный момент – информационная работа среди персонала организации. Необходимо, чтобы каждый сотрудник владел базовыми знаниями в области информационной безопасности – в этом случае можно будет противодействовать хотя бы самым простым уловкам, которые часто используются злоумышленниками, таким, например, как рассылка вредоносных программ в приложениях к электронным письмам. Одних лишь технологий еще недостаточно; их роль заключается только в том, чтобы помогать людям в принятии правильных решений и совершении правильных действий.

Установите межсетевой экран

Каждая (в том числе мелкая) фирма должна иметь межсетевой экран, ограничивающий доступ в ее сеть. Это - ваша первая линия обороны.[43]

Обеспечьте контроль доступа

Использование Интернета служащими офиса должно тщательно контролироваться. Кроме того, организации должны иметь шлюз антивирусной защиты и фильтрации контента, который станет их второй линией обороны.

Проводите регулярные проверки

Администраторы сети либо менеджеры должны ежемесячно или хотя бы раз в квартал заново проверять все пользовательские аккаунты и права доступа к данным.

Не забывайте о физической защите

Защита не ограничивается лишь данными внутри компьютера. Организации должны также обеспечить физическую защиту своего оборудования. Всех посетителей вашего офиса должен сопровождать кто-то из персонала, и экраны мониторов не должны быть доступны обозрению из коридора.

Пароли должны быть надежны

Организации должны обеспечить выбор надежных паролей; это означает определенный уровень их сложности и периодическую смену. Пароль из девичьей фамилии матери никуда не годится.

Не скупитесь!

Если вы можете себе это позволить, наймите в штат специалиста(ов) по защите данных. Кроме того, в бюджете следует предусмотреть деньги на оборудование и ПО для защиты от киберпреступников.

Учите персонал бдительности

Персонал офиса нужно учить быть бдительным. Несколько простых правил могут существенно повысить безопасность в вашей компании: никогда не отправляйтесь прямо на неизвестный вебсайт, адрес которого прислан вам в почте, удаляйте любые сомнительные письма и никогда не щелкайте присланные вам ссылки. Вместо этого следует провести поиск через Google по данной теме и уже оттуда постараться найти нужный вам сайт.

Комплексный подход

Многие методики, применяемые раньше при атаках на домашних пользователей, теперь стали использоваться и в отношении бизнеса. Это и модифицированные банковские троянцы, которые нацелены на сотрудников финансовых отделов и бухгалтерий, и различные программы-шифровальщики, которые стали работать в рамках корпоративных информационных сетей. Кроме того, популярность получили сетевые черви, для удаления которых требуется остановка работы всей корпоративной сети. Когда с подобной проблемой сталкиваются компании, имеющие много филиалов, расположенных в различных часовых поясах, остановка работы сети неизбежно ведет к финансовым потерям[44].

Согласно результатам исследования, проведенного «Лабораторией Касперского» в 2014 г., среди ИБ-специалистов, чаще всего российские компании сталкиваются с вредоносным ПО, спамом, фишингом. Отдельно стоит отметить внутренние угрозы, среди которых наиболее серьезные проблемы вызывают уязвимости в установленном ПО, а также случайные утечки данных по вине сотрудников и работа инсайдеров.

Не доверяйте «королям» социальной инженерии

От использования методов социальной инженерии не защитят никакие технические средства. Взломщики собирают данные, вооружившись знаниями о человеческой психологии. Они присылают в социальных сетях вредоносные ссылки на новую композицию любимой музыкальной группы или отправляют бухгалтеру письмо с приложением «акт сверки», в котором на самом деле скрыт вирус.

Отдельным направлением в этой области можно отметить так называемых «нигерийских спамеров». Они отправляют письма с просьбой о помощи в банковских операциях, связанных с переводом денег, якобы облагаемых большим налогом, сообщают о недавней смерти очень богатого человека «с такой же фамилией», как у получателя письма, и предлагают содействовать в получении денег с банковского счета усопшего.

Единственное противодействие таким атакам – полное игнорирование сообщение. Даже если пользователь вступает в переписку с такого рода хакером, чтобы всего лишь написать отказ, то тем самым он подтверждает адрес своей электронной почты. Впоследствии злоумышленники могут использовать его для других, более хитроумных рассылок.

Для противостояния атакам методами социальной инженерии помогает регулярное обучение всех сотрудников компании безопасной работе в интернете и информирование их о существующих видах угроз.

Защита от DDoS-атак, вирусов, троянов и фишинга

Число мощных DDoS-атак стремительно растет. Подобные хакерские нападения могут «положить» сайт компании на долгое время и лишить его владельца дохода. Так, в исследовании компании Arbor Networks говорится, что в первой половине 2014 г. зафиксировано свыше 100 инцидентов мощностью более 100 Гб/с. Количество атак диапазона более 20 Гб/с во II кв. в два раза превысило показатель за весь прошлый год.

Это же подтверждают данные «Лаборатории Касперского», которая весной 2014 г. зафиксировала новый скачок мощности DDoS-атак в Рунете. Весной группа злоумышленников организовала серьезную атаку, выбрав своими целями сразу несколько сайтов ведущих российских банков, крупных компаний и государственных учреждений. Тогда средняя мощность атаки составляла 70–80 Гб/с, а в пиковые моменты превышала 100 Гб/с. Эти показатели стали рекордом для рунета — всего год назад самая мощная DDoS-атака в российском сегменте сети не превышала порога в 60 Гб/с.

Значительное увеличение мощности DDoS-атак произошло благодаря распространению среди злоумышленников нового метода – NTP Amplification. Его преимуществом является существенный коэффициент усиления (до 556 раз), что позволяет хакерам быстро достичь высокой мощности атаки при минимальных усилиях. Для сравнения, нашумевшие год назад атаки совершались методом DNS Amplification, коэффициент усиления которого в 10 раз меньше – до 54 раз. Кроме того, Amplification позволяет злоумышленникам скрыть свой настоящий адрес, что затрудняет их идентификацию.

Обеспечение защиты от DDoS-атак собственными силами – сложная задача для крупного бизнеса и практически неподъемная для сектора СМБ. Компания должна обладать необходимыми ресурсами, как человеческими, так и материальными: два профильных специалиста для посменной работы, дорогостоящее оборудование и подключение к высокоскоростным каналам связи. При этом следует учитывать, что DDoS – не постоянная угроза, надо быть готовыми к тому, что оборудование будет простаивать, а работа специалистов будет не востребована. Поэтому зачастую становится выгоднее воспользоваться услугами сторонних компаний, специализирующихся на защите от подобных атак, подключившись к облачным сервисам.

Владельцам PHP-сайтов

Для защиты ресурсов своих компаний бизнесменам важно помнить, что, самые небезопасные сайты, согласно свежему исследованию компании Positive Technologies (Позитив Текнолоджиз), написаны на языке PHP, так как 76% из них содержат критические уязвимости. Менее уязвимыми оказались веб-ресурсы на Java (70%) и ASP.NET (55%).

Соответственно, сайтам, наиболее подверженным атакам, следует внимательнее относиться к уровню своей безопасности. Например, стоит усилить защищенность от подбора идентификаторов или паролей пользователей (атака методом Brute Force).

Подписанные сертификаты

Администраторы корпоративной сети должны контролировать, какими приложениями пользуются сотрудники и на какие сайты они заходят – у них должны быть действительные (валидные или подписанные) сертификаты SSL. Эти сертификаты делятся на три типа валидации – подтверждающие только доменное имя, домен и организацию, а также сертификаты с расширенной проверкой. Самый лучший вариант – это сертификат с расширенной проверкой, у которого есть так называемый «green bar». При входе на сайт, где установлен такой сертификат, в адресной строке браузера посетителя появится зеленая строка с названием организации, получившей сертификат.

В последний раз угроза пользователям ИТ-продуктов с невалидными SSL возникла, когда в онлайн-магазинах Google Play и Amazon было обнаружено как минимум 350 мобильных приложений с уязвимостью к атаке man-in-the-middle («человек посередине»). Во время такой атаки взломщик, подключившись к каналу между контрагентами, может заполучить передаваемую информацию. Например, хакер может перехватить данные кредитных карт пользователей, которые пользуются мобильными приложениями, предполагающими электронные платежи.

Быть начеку

Хотя технологии и повышают уровень безопасности компьютера, нельзя забывать о бдительности, например, при получении писем по электронной почте. Хакеры часто прикрываются сообщениями от туристических сервисов, вроде Airbnb, Booking.com, пишут от лица авиакомпаний, информируют пользователя, что его кредитной картой был оплачен билет на самолет, и предлагают ссылку на фишинговый сайт, где якобы можно узнать информацию о предстоящем полете.

В сентябре 2014 года в сюжетах «нигерийских» писем «Лаборатория Касперского (Kaspersky)» отметила упоминания больных вирусом Эбола жителей Африки и необычные приглашения на конференцию Всемирной Организации Здравоохранения (ВОЗ). Целью мошенников, как обычно, было выманивание денежных средств у доверчивых получателей, вступивших в переписку с авторами писем.

В октябре 2014 года пришел черед киберпреступников, которые использовали шумиху вокруг вируса Эбола для рассылки вредоносных писем. И снова в качестве отправителя была указана ВОЗ. В тексте обнаруженных экспертами писем злоумышленники пытались убедить получателя, что ВОЗ подготовила файл с общей информацией и мерами предосторожности, которые помогут обезопасить пользователя и окружающих от смертельного вируса и других болезней.

Помимо эксплуатации актуальных для общества тем, спамеры отправляют и фальшивые квитанции от интернет-магазинов, выставляющие счет за совершенную покупку, которую получится отменить лишь на фишинговом сайте. Статистика попыток фишинга не утешает: по данным системы «Антифишинг», разработанной «Лабораторией Касперского», количество срабатываний составило почти 19 млн по итогам одного только сентября 2014 года.

В современных условиях компаниям необходимо использовать комплекс программных и аппаратных средств, которые бы позволили обеспечить приемлемый уровень защищенности инфраструктуры с сохранением достаточной эффективности бизнес-процессов. Среди этих инструментов: антивирусное ПО, системы предотвращения вторжений, межсетевые экраны, модули контроля устройств и доступа в Интернет, системы шифрования данных, управления мобильными устройствами, средства для защиты почтовых серверов и систем коллективной работы и так далее.

Кроме того, важно помнить, что обеспечение ИБ не заканчивается лишь внедрением средств защиты, также необходимо вести регулярное обучение сотрудников правилам безопасной работы с информацией в электронной форме, внедрять корректные политики и правила при работе с конфиденциальными данными. Пользователям важно помнить о золотых правилах: не ходить по сомнительным ссылкам, придумывать сложные пароли для аккаунтов, не открывать вложений в письмах и, разумеется, ставить комплексную защиту на компьютер.

Основные виды интернет-угроз

Темпы инновационного развития при таком соревновании «наступательных» и «оборонительных» технологий очень высоки. Каждый день разрабатывается более 100 тысяч новых образцов вредоносного программного обеспечения. За некоторые вредоносные программные модули сейчас платятся суммы, превышающие миллион долларов. Такие деньги киберпреступники готовы платить, потому что уверены: вложенные средства смогут окупиться очень быстро.

Еще одну угрозу информационной безопасности несет развернувшаяся в киберпространстве новая гонка вооружений, в ходе которой проводятся, в частности, и диверсионные акты, и кибератаки. Ставшая недавно достоянием гласности информация о крупнейшей в мире разведывательной программе PRISM существенно подорвала доверие к крупным провайдерам облачных сервисов, базирующимся в США. Особенно снизилось доверие в странах Европы, где традиционно уделяется большое внимание защите данных. По оценке экспертно-аналитической организации InformationTechnologyandInnovationFoundation (Вашингтон, округ Колумбия), базирующиеся в США провайдеры облачных сервисов могут в результате за период с 2014 по 2016 г. недополучить выручку на сумму от 22 до 35 млрд долларов США.

Спам — наряду с традиционными рекламными рассылками, существует вредоносный спам, например, содержащий шпионское ПО или спам, заманивающий пользователей на сайты с вредоносным контентом.

Целевой фишинг — в отличие от спама, целевой фишинг напрямую нацелен на узкие группы пользователей и содержит сообщения с социальным контекстом, призывающие потенциальную жертву открыть исполняемый файл или перейти на сайт содержащий вредоносный код..

PDF-атаки — за последнее время в документах формата PDF было обнаружено множество серьезных уязвимостей.

Отравление SEO (Search Engine Optimization) — угрозы оптимизации поискового движка приводят к тому, что сайты, содержащие вредоносный код, подставляются на высокие места в рейтингах поисковых систем при вводе запроса, связанного с мировым чемпионатом. Защититься от таких угроз можно, используя актуальные версии шлюзового антивируса и системы предотвращения, вторжений.

Потеря производительности — администраторы могут задействовать системы управления трафиком или контентной фильтрации, чтобы ограничить или перекрыть доступ к онлайн-ресурсам.

Социальные сети — аналитики предупреждают о вредоносном ПО, которое может распространяться через популярные социальные сети. Решения контентной фильтрации и блокирования файлов должны быть настроены так, чтобы минимизировать угрозы.

Согласно сведениям IBM X-Force, основным источником угроз по-прежнему является такое популярное ПО как интернет-браузеры. Новинкой атак последних лет стал перенос усилий хакеров с браузеров на веб-приложения, через которые можно получить доступ непосредственно к базам данных компаний, имеющим особую ценность. Стабильно невысок процент устранения уязвимостей, — до 60% обнаруженных ежегодно уязвимостей не имеют на конец года специальных заплат (патчей) от производителей ПО.

Наибольшей опасности подвержены учетные записи привилегированных пользователей, то есть системных администраторов. Сегодня контроль действий привилегированных пользователей — это обязательное требование со стороны различных стандартов и регулирующих органов. Неправомерные действия в их отношении могут производиться как извне компании, так и самими недобросовестными сотрудниками. Рост количества угроз, связанных с привилегированными пользователями, — это в том числе инсайдерские угрозы, когда сотрудники либо осознанно воруют данные у своей компании, либо по неосторожности позволяют это сделать другим.

Схема мошенничества №419 возрождается под именем «ФБР» (по данным компании Trend Micro).

Компьютерные преступники придумали еще один способ привлечь внимание пользователей. На сей раз они выдают себя за сотрудников Федерального бюро расследований (США) из Вашингтона и предпринимают попытки мошенничества через спам.

Как при любых других попытках мошенничества, в данной схеме отправитель сообщения электронной почты выдает себя за иное лицо. Отправитель утверждает, что он пишет из ФБР. В самом сообщении содержится информация о том, что его получателю положена выплата в размере $10,5 млн. Затем мошенник, выдающий себя за сотрудника ФБР, дает получателю сообщения инструкцию обратиться к начальнику «управления интернет-переводов» банка United Trust Bank London. В сообщении указано, что упомянутый начальник — единственное лицо, принимающее решение о выплате этой многомиллионной суммы. Более того, в сообщении указано, что все получатели должны четко следовать инструкциям по оформлению заявки на выплату. Разумеется, в сообщении содержится ложная информация. Примечание в конце сообщения выглядит особо иронично и свидетельствует о том, что киберпреступники способны пойти на крайние меры в попытках добиться успеха. В нем получателю рекомендуется остерегаться мошенников, которые могут попытаться связаться с ним. Чтобы не стать жертвой подобного мошенничества, необходимо всегда уделять внимание мельчайшим деталям в получаемых сообщениях. Одного пристального взгляда достаточно для того, чтобы отличить настоящее сообщение от подделки. Нужно всего лишь приглядеться.

Троян SASFIS пользуется новым трюком (по данным компании Trend Micro).

В начале 2010 года дурную славу заслужила троянская программа SASFIS, рассылавшаяся в поддельных сообщениях электронной почты, якобы отправляемых с сайта Facebook. Заражение SASFIS влечет за собой установку огромного количества других вредоносных программ, потому что это семейство вредоносного ПО делает системы уязвимыми к атакам ботнетов, особенно ZeuS и BREDOLAB, и связано с различными вариантами поддельных антивирусов, как правило, с теми, что относятся к порнографическим сайтам.

Инженерами TrendLabsSM был обнаружен новый вариант SASFIS, где используется метод right- to-left override (RLO), представляющий собой инвертирование Unicode текста, который раньше был популярен среди спамеров, но теперь стал применяться в качестве новой тактики социальной инженерии.

Троянская программа SASFIS распространяется через спам в виде приложения .RAR с файлом .XLS внутри. После извлечения файл .XLS выглядит как типичный документ MS Excel. На самом деле, он является экранной заставкой, которая идентифицируется как TROJ_SASFIS.HBC. Эта троянская программа активирует программу BKDR_SASFIS.AC, которая позволяет внедрять вредоносные ветви в нормальный процесс svchost.exe. Хотя файл и выглядит как документ Excel, в нем содержится двоичный заголовок Win32, который есть только у исполняемых файлов. Настоящее имя файла (за исключением китайских символов) выглядит так: phone&mail).[U+202e}slx.scr, где U+202e ― управляющий символ Unicode, который дает системе команду интерпретировать последующие символы справа налево. Таким образом, для пользователей имя файла будет выглядеть так: phone&mail).xls.scr. Это заставит их поверить, что это действительно файл Excel, и поэтому его «безопасно» открывать. Хотя в реальности это исполняемый файл .SCR.

Этот метод позволяет для тех же целей использовать и другие имена файлов, например BACKS[U+2020e]FWS.BAT и I-LOVE-YOU-XOX[U+2020e]TXT.EXE, которое маскируется под BACKSTAB.SWF и I-LOVE-YOU-XOXEXE.TXT. В первом случае пакетный файл маскируется под файл Adobe Flash; во втором случае ― исполняемый файл маскируется под текстовый файл.

Для предотвращения этой атаки пользователи могут применять проверенные методы защиты: не открывать подозрительные сообщения электронной почты и не загружать приложения с исполняемыми файлами.

История крупных инцидентов

  • Сентябрь 2003 года. На Тайвань обрушились трояны, отправленные из китайских провинций, и повредили сети десяти частных компаний.

  • В апреле 2007 года министр иностранных дел Эстонии Урмас Пает (Urmas Paet) обвинил российские власти в хакерских атаках, которые парализовали работу биржи, больниц, сайтов государственных учреждений и средств массовой информации.

  • С тех же самых сетевых адресов, которые использовались против Эстонии, были совершены атаки на компьютерные системы нефтепроводов Грузии в августе 2009 года.

  • В январе 2010 года Google обвинила Китай в шпионаже через почтовые аккаунты журналистов и диссидентов.

  • Как сообщают британские СМИ (февраль 2012года), российские хакеры продают номера счетов и пароли от платежных карт большого количества жителей Великобритании. Данные британцев продаются на российских WEB-сайтах за 30 долл.

Информация жителей Великобритании стала доступна после того, как российские злоумышленники создали в сети Интернет базу данных. За сумму в 300 долл. хакеры также предлагают доступ к действующему банковскому счету в Великобритании с кредитным лимитом до 13 тыс. долл. Хищение конфиденциальной информации злоумышленники осуществляют при помощи рассылки вредоносных программ на компьютеры пользователей. Помимо этого, мошенники также подсоединяют специальные аппараты, которые считывают информацию с кредитных карт жертв в магазинах и ресторанах. После хищения данные переносятся на пустые карты, которыми можно расплачиваться в тех странах, которые не используют новую технологию идентификации подлинности платежного средства через встроенный микрочип, а также в магазинах электронной торговли.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания

  1. USD 300 million seized and 3,500 suspects arrested in international financial crime operation
  2. Middle East Cybersecurity Market with COVID-19 Analysis, by Component (Solutions and Services), Security Type (Network Security, Endpoint Security, Cloud Security, Database Security), Deployment Mode, Organization Size, Vertical - Forecast to 2027
  3. Not a SIMulation: CrowdStrike Investigations Reveal Intrusion Campaign Targeting Telco and BPO Companies
  4. Волна кибератак Killnet разбилась об эстонские системы защиты
  5. Албания ушла в оффлайн после кибератаки
  6. Русскоязычные хакеры из Killnet парализовали работу нескольких госструктур Литвы
  7. Банда Killnet объявила о "масштабной и беспрецедентной" атаке на Италию
  8. Закрыт крупнейший в мире хакерский форум по торговле краденными базами данных
  9. 1,000 held in 20 countries as part of Interpol crackdown on cyber-enabled financial crime
  10. Kaspersky обнаружил 1,3 тысячи вредоносного ПО с названием сервисов видеоконференций
  11. Beware scams exploiting coronavirus fears
  12. Trend Micro Research Discovers Botnet Battle for Home Routers
  13. Mobile adware: The Silent Plague with No Origin
  14. Visa: Gas Station Networks Targeted to Steal Card Data
  15. Multiple hotels hit by targeted malware attacks
  16. Fortinet 2019 Operational Technology Security Trends Report
  17. Hundreds of motel guests were secretly filmed and live-streamed online
  18. Hackers Made Half a Million Dollars Pretending They Watched You Watch Porn
  19. About $1.2 billion in cryptocurrency stolen since 2017: cybercrime group
  20. U.S. Launches Criminal Probe into Bitcoin Price Manipulation
  21. Потери владельцев криптовалют в результате их краж в 2018 году составляют $1,36 млрд
  22. * Совокупный ущерб за пятилетний период с 2017 по 2022 гг. Джеймс Моар (James Moar); ruption/cybercrime-security/enterprise-threats-mitigation Juniper Research: The Future of Cybercrime & Security: Enterprise Threats & Mitigation (25 апреля 2017 г.)
  23. В одиннадцатом выпуске отчета приводятся результаты анализа и тенденции в сфере кибербезопасности за последние 12-18 месяцев на основе исследовательской информации и данных, полученных от компаний-партнеров Anomali, Lumeta, Qualys, Radware, SAINT и TrapX. Отчет также содержит результаты ежегодного исследования решений безопасности Security Capabilities Benchmark Study (SCBS), подготовленного на основе анкетирования 3600 главных директоров по информационной безопасности и менеджеров по обеспечению информационной безопасности из 26 стран, которые отвечали на вопросы о состоянии кибербезопасности в своих организациях.
  24. Paradigm Shifts: Trend Micro Security Predictions for 2018
  25. Спецслужбы США: Исламское государство обосновалось в киберпространстве
  26. Российские компании сравнялись с американскими по уровню кибербезопасности
  27. Phiendish phisher gets phive years in phederal for $2m phlights phraud
  28. TheShadowBrokers Monthly Dump Service – June 2017
  29. OH LORDY! Comey Wanna Cry Edition
  30. Zcash
  31. Hacker Sentenced To 30 Months In Prison For Role In Largest Known Computer Hacking And Securities Fraud Scheme
  32. Internet Security Threat Report
  33. 'Nigerian princes' snatch billions from Western biz via fake email – Interpol
  34. Goodbye smartphone - Danish MPs leave gadgets at home during Russia trip
  35. Кибербезопасность 2016-2017: от итогов к прогнозам
  36. Интернет-пропаганда – одна из главных киберугроз 2017 года
  37. Исследование «2016 Cyber Resilient Organization», проведенное Ponemon Institute при поддержке Resilient, представляет собой обзор передового опыта по противостоянию киберугрозам, а именно, способности предприятий поддерживать бесперебойную работу и сохранять свою целостность перед лицом кибератак. В глобальном исследовании приводятся инсайты, полученные в ходе опроса более 2,4 тысяч специалистов в сфере ИТ и безопасности со всего мира, в том числе из США, Великобритании, Франции, Германии, ОАЭ, Бразилии и Австралии.
  38. Club.CNews: Основные 8 тенденций в сфере киберпреступлений (по оценке полиции Евросоюза по состоянию на 2016 год)
  39. Индекс BLI представляет собой централизованную глобальную базу данных, в которой накапливается информация обо всех зафиксированных в мире утечках данных и анализируется уровень угрозы каждой из таких утечек по нескольким различным критериям, в том числе по типу данных и по количеству скомпрометированных записей данных, по источнику утечки, а также по тому, была ли скомпрометированная информация зашифрована. Каждая утечка дается оценка, таким образом, индекс BLI представляет собой сравнительную таблицу утечек, позволяющую отличить мелкие и незначительные инциденты от действительно крупных и значимых. Сведения, вошедшие в базу данных BLI, основаны на публично доступной информации об утечках. Более подробная информация представлена по адресу www.breachlevelindex.com.
  40. Отчет HP Cyber Risk Report публикуется с 2009 года. При его подготовке специалисты HP Security Research используют ряд внутренних и внешних источников, в том числе HP Zero Day Initiative, оценки HP Fortify on Demand, HP Fortify Software Security Research, Reversing Labs и базу данных National Vulnerability Database. Подробное описание методологии приведено в отчете.
  41. Источник
  42. Отчет об угрозах интернет-безопасности основывается на реальных, эмпирических данных, собранных глобальной аналитической сетью Symantec Global Intelligence Network, оригинальных исследованиях и активном мониторинге коммуникаций хакеров. Отчёт позволяет глобально и объективно взглянуть на состояние Интернет-безопасности. Том 16 отчета охватывает период с января по декабрь 2010 года.
  43. CRN
  44. Методы защиты: решения, которые позволяют противостоять кибератакам