Десятки хактивистов третий год прицельно нападают на отечественные организации

Валентина Аверьянова

С 2022 года за Россией закрепился статус самой атакуемой хакерами страны в мире. Главным изменением ландшафта киберугроз за последние три года стал лавинообразный поток нападений на отечественные компании и госсектор со стороны проукраинских группировок, указывают эксперты. Чаще всего злоумышленники атакуют промышленные предприятия, телеком, строительные компании и IT-сектор. Подробнее - в материале "Известий".

Растущая угроза

Россия в 2022 году стала самой атакуемой страной в мире и остается ею до сих пор, заявил руководитель Kaspersky GReAT в России Дмитрий Галов. Вскоре после событий февраля 2022 года десятки хакерских групп и хактивистов стали прицельно атаковать российские организации, а также совершать массовые "нападения" на обычных пользователей.

- Если раньше можно было говорить о том, что какие-то типы организаций атакуют чаще, а какие-то - реже, то теперь атакующие стремятся взломать практически все, до чего могут дотянуться, - обращает внимание руководитель группы расследований инцидентов Solar 4Rays ГК "Солар" Иван Сюхин.

Количество успешных атак на российские организации в 2022 году составило 220 - такие данные приводит руководитель направления аналитических исследований Positive Technologies Ирина Зиновкина. В 2023 году их число сократилось до 167. Между тем в неполном 2024 году было зафиксировано 217 атак.

Цели кибератак за последнее три года также изменились, полагает Иван Сюхин. Если в феврале 2022 года проукраинские группировки атаковали организации для получения данных, то теперь они нацелены на повреждение инфраструктуры.

Например, участились случаи взлома организаций для причинения максимального ущерба, уточняет эксперт. В этом случае атакующие выводят из строя IT-системы, публикуют конфиденциальные данные и стремятся предать эти события максимальной огласке.

Чипная реакция: хакеры нашли уязвимость в Wi-Fi-роутерах
Устройства каких брендов подверглись атаке и чем это опасно для пользователей

Продолжают шпионить за российскими компаниями и госорганизациями и азиатские группировки, подчеркивает Сюхин.

- В отличие от проукраинских группировок их тактики и техники направлены на максимально незаметное присутствие в атакованной организации и скрытый сбор конфиденциальных сведений, - разъясняет он.

В целом же с 2022 года в фокус внимания хакеров стало попадать все больше отраслей, свидетельствуют данные Solar 4RAYS.

- Помимо традиционных целей (госсектор, промышленность, финансы и IT), в 2024 году мы наблюдали атаки на сферы, к которым ранее киберпреступники не проявляли особого интереса. Например, религиозные учреждения и предприятия, занятые в сельскохозяйственной промышленности, - перечисляет Сюхин.

По данным Kaspersky Managed Detection and Response, в первом полугодии 2024 года в России и СНГ количество критичных киберинцидентов выросло на 39% по сравнению с аналогичным периодом 2023 года. С наибольшим числом таких инцидентов столкнулись организации в сферах телекоммуникаций (рост более чем в 10 раз), строительства (рост в два раза) и IT (незначительное падение примерно на 10%).

Каталожный вызов: как хакеры пытались сорвать день распродаж "11.11"
Пиковая активность DDoS-атак могла превышать в 50 раз легитимный трафик

Незаконный активизм

Еще одно изменение ландшафта киберугроз, произошедшее с 2022 года, - появление в России хактивистов, указывает руководитель TI-департамента экспертного центра безопасности Positive Technologies (PT ESC) Денис Кувшинов.

- Хактивисты - это группы хакеров, не согласных с какими-то геополитическими событиями. Обычно они проводят базовые атаки, такие как DDoS сайтов, а также могут публиковать различные конфиденциальные документы, - разъясняет эксперт.

В настоящий момент хактивисты являются основными атакующими Россию силами, отмечает он. В общей сложности, по данным Positive Technologies, против РФ действует 35 хактивистских группировок.

Чаще всего такие злоумышленники не требуют выкупа от компаний за свои действия, уточняет Денис Кувшинов. До 2023 года они на безвозмездной основе публиковали украденные данные в своих каналах. Однако в последнее время атаки стали более разумными и целенаправленными - похищенные сведения используются для дальнейших нападений.

По результатам мониторинга Solar JSOC, в начале 2022 года наблюдался всплеск атак хактивистов-одиночек, подтверждает Иван Сюхин. Как правило, они использовали несложный DDoS или дефейс общественно значимых ресурсов. Целью при этом был не реальный ущерб, а создание общественного резонанса, полагает он.

- Однако уже в начале 2023 года стало очевидно, что одиночек становится все меньше: они либо в принципе прекращают свои атаки, либо объединяются под руководством более опытных хакеров, наращивая свои знания и навыки, - считает эксперт.

В настоящий момент, по его мнению, выросла доля именно профессиональных злоумышленников, таких как кибернаемники или проправительственные группировки. Хактивистов, напротив, стало меньше.

- Доля расследований, в которых целью атаки были именно хактивизм и киберхулиганство, за последний год упала с 46 до 11%, - приводит статистику Сюхин.

В общей сложности сегодня действует 26 хакерских группировок, атакующих российский регион, дополняет Кувшинов.

- Группировки традиционно занимаются шпионажем и кражей конфиденциальных данных, из-за чего их сложно отличить от хактивистов. Главная разница между ними заключается в том, что хактивисты прямо говорят о взломе, а группировки об украденных данных не рассказывают, - считает эксперт.

Игра на похищение: хакеры атакуют россиян через каналы о финансах в Telegram
Вредоносное ПО распространяют через прикрепленные к постам архивы

Виды атак

К наиболее распространенным угрозам для пользователей можно отнести фишинг, в частности нацеленный на пользователей Telegram, телефонное мошенничество и другие методы социальной инженерии, а также вредоносное ПО, перечисляет Дмитрий Галов.

Самая базовая схема - отправление зараженного фишингового письма жертве, напоминает Денис Кувшинов. Человек получает такое письмо, открывает вложение, в котором может быть спрятан какой-то инструмент хакеров, и заражает компьютер.

- В дальнейшем начинается взаимодействие с контрольным сервером, и хакеры могут "сливать" данные с компьютера жертвы или следить за тем, что она делает, - отмечает эксперт.

Кроме того, злоумышленники могут использовать Telegram, чтобы с его помощью "сливать" данные с компьютера жертвы, а также Discord, Roblox, "Яндекс диск" и другие популярные сервисы.

- При этом злоумышленники не стоят на месте и постоянно совершенствуют свои техники. Например, в 2023 году мы отмечали резкий рост атак на пользователей посредством взлома поставщиков и сервис-провайдеров - то есть организаций, имеющих доступ к сети жертв. А для атак на компании стали использоваться утилиты для туннелирования трафика, позволяющие получить доступ к закрытым сегментам сетей организаций, - предупреждает Дмитрий Галов.

По итогам расследований, проведенных командой центра Solar 4RAYS, в 2024 году целью 54% атак был шпионаж. При этом 20% атак пришлось на прямое вымогательство (в том числе при шифровании данных) и майнинг криптовалют. Еще 11% кейсов, в свою очередь, связаны с уничтожением данных атакованной компании.

- Если говорить про методы первоначального проникновения в инфраструктуру, то в 2024 году большинство успешных атак было связано либо с эксплуатацией уязвимостей в доступных из интернета частях IT-инфраструктуры организаций, либо с использованием скомпрометированных учетных данных сотрудников, - считает Иван Сюхин.

Эксплуатация веб-уязвимостей была ранее абсолютным лидером по числу атак (более 70%). Однако на фоне массовых утечек данных, которые происходили в последние годы, в руках злоумышленников оказалось большое количество рабочих почт, логинов и паролей, указывает эксперт. Все это сделало компрометацию учетных записей еще одной серьезной проблемой безопасности.

Среди вредоносного программного обеспечения в атаках на российские организации Ирина Зиновкина выделяет шифровальщики, ВПО для удаленного управления, загрузчики, шпионское ПО, программное обеспечение, удаляющее данные, майнеры и т.д.

В числе причин, по которым хакеры достигают цели, специалист называет использование устаревших версий ОС и ПО, отсутствие двухфакторной аутентификации при доступе к корпоративным ресурсам, недостаточную сегментацию сети, недостаточно эффективную настройку защиты конкретных точек, наличие уязвимых сервисов на внешнем периметре, небезопасное хранение конфиденциальной информации и слабую парольную политику.

В теме письма: как хакеры атакуют служебную почту сотрудников компаний
Эксперты рассказали об опасности фишинга для организаций

Сетевая самооборона

Использование устаревших версий операционных систем и программного обеспечения является одной из ключевых проблем в сфере информационной безопасности, сходятся во мнении эксперты. После 2022 года многие иностранные вендоры резко прекратили свою деятельность на территории страны, что вызвало кризис доверия к зарубежному ПО, подтверждает Дмитрий Галов.

- Корпоративные пользователи могли остаться без защиты от киберугроз, если бы не своевременная поддержка со стороны российских игроков. В то же время это стимулировало импортозамещение и бурное развитие сферы кибербезопасности в России, - подчеркивает эксперт.

Подобная ситуация заставила российские организации пересмотреть свои подходы к обеспечению кибербезопасности и увеличить инвестиции в это направление.

- И это не проходит бесследно: мы видим, что за последние несколько лет значительно вырос уровень экспертизы в области ИБ среди отечественных компаний, особенно среди крупных заказчиков. Заметно выросла потребность в экспертных решениях и качественных источниках данных киберразведки, - убежден собеседник "Известий".

В настоящий момент можно максимально усложнить жизнь хакерам, выстроив эшелонированную защиту, утверждает руководитель продуктовой экспертизы PT ESC Алексей Леденев. Это необходимо для того, чтобы стоимость атаки поднялась до уровня, при котором пропал бы смысл нападения.

В более широком смысле для того, чтобы защититься от киберугроз, Иван Сюхин рекомендует строго контролировать удаленный доступ в инфраструктуру (особенно для подрядчиков) и предельно ответственно относиться к соблюдению парольной политики. Важно пользоваться сервисами мониторинга утечек учетных записей и вовремя их обновлять.

Кроме того, по словам эксперта, необходимо серьезно относиться к уведомлениям о возможной компрометации от Национального координационного центра по компьютерным инцидентам и частных компаний, обладающих экспертизой в области информационной безопасности.

- Нужно также использовать продвинутые средства защиты (EDR, SIEM) наряду с классическим защитным ПО, чтобы иметь возможность отслеживать события в инфраструктуре и вовремя обнаруживать нежелательную активность, - уточняет собеседник "Известий".

Также важно своевременно оценивать компрометацию при подозрении на кибератаку, оперативно обновлять все используемое в инфраструктуре ПО, предоставить штатной службе ИБ постоянный доступ к последним сведениям о ландшафте киберугроз конкретного региона, а также заниматься повышением киберграмотности сотрудников, резюмирует Иван Сюхин.