Скорость совершения кибератак на инфраструктуру российских компаний за год серьезно выросла. По оценке специалистов по кибербезопасности, теперь злоумышленникам требуется на взлом в среднем всего четыре-семь дней, тогда как раньше на все этапы атаки могли уходить месяцы. Эксперты объясняют это распространением в даркнете простых в использовании вредоносных программ и предупреждают, что в этом году техники атак будут только упрощаться, а их масштабы расти.
Фото: Сафрон Голиков, Коммерсантъ
Фото: Сафрон Голиков, Коммерсантъ
“Ъ” ознакомился с исследованием «РТК-Солар», посвященным изменениям ландшафта киберугроз с марта 2022 года до марта 2023 года.
Аналитики пришли к выводу, что за год кардинально изменилась скорость реализации кибератак: с момента проникновения в инфраструктуру до достижения целей хакерам в среднем требуется семь дней, а не несколько месяцев, как раньше.
Всего было разобрано 40 инцидентов, связанных с проникновением в IT-инфраструктуру крупнейших российских организаций, представляющих госсектор, промышленность, энергетику, ритейл, телеком, СМИ, финансы.
С этой оценкой соглашается главный эксперт «Лаборатории Касперского» Сергей Голованов, хотя он и говорит о менее радикальных переменах: «Время, которое необходимо злоумышленникам на проведение кибератаки, сократилось примерно на 20% по сравнению с 2021 годом». Он связал тенденцию с действиями «хактивистов», которые не используют сложные техники. В Positive Technologies оценили сокращение временных затрат на успешную атаку с нескольких месяцев до нескольких дней: этого может оказаться достаточно для получения максимальных привилегий доступа в инфраструктуре жертвы.
Ключевыми целями атакующих, по данным «РТК-Солар», стали шифрование инфраструктуры для получения денежного вознаграждения (38% инцидентов), сам по себе хактивизм (38%) и взлом инфраструктуры с целью кибершпионажа (20%). При этом 72% инцидентов были реализованы через доступные в интернете уязвимости, например, ProxyLogon (критическая уязвимость в Microsoft Exchange Server).
«Хакеры покупают в даркнете необходимый бот, который находит в сети сервер, на котором эта уязвимость не закрыта»,— уточняют в «РТК-Солар». В компании также добавляют, что за год участились атаки через подрядчиков.
На специализированных площадках активно развивается модель Malware-as-a-Service (вредоносный софт как услуга) и Ransomware-as-a-Service (программы-вымогатели как услуга), подтверждает Сергей Голованов. Одни злоумышленники, поясняет он, создают вредоносный код и предоставляют его по подписке или за процент от выкупа, другие проникают в инфраструктуру организаций и продают к ним доступы, третьи проводят атаку и требуют выкуп: «Так злоумышленники сокращают затраты и повышают эффективность атак». В «РТК-Солар» оценивают стоимость таких инструментов в среднем на уровне 50 тыс. руб.
Современные инструменты действительно позволяют хакерам реализовывать атаки с намного большим масштабом и быстрее, отмечает директор по консалтингу ГК InfoWatch Ирина Зиновкина. Она добавляет, что до февраля 2022 года финансовый мотив был основополагающим для злоумышленников, однако за последний год значительно выросло число атак с целью «вывода систем жертвы из строя в целом».
Эта мотивация злоумышленников остается актуальной и в 2023 году. Например, 10 апреля Федеральная таможенная служба (ФТС) сообщила о сбое в работе своих систем, из-за чего процедуры таможенного оформления в России были остановлены. Причиной сбоя ФТС назвала хакерскую атаку, восстановить работу системы удалось только к 12 апреля (см. “Ъ” от 12 апреля).
Осложняет ситуацию и ограниченность доступных инструментов защиты.
Когда ушли западные поставщики систем защиты от проникновений, российские компании столкнулись с необходимостью срочно заменять их решения на отечественные, отмечает руководитель МТС SOC (центра мониторинга и защиты от кибератак) Андрей Дугин: «Подчас компании просто не знают, насколько защищена их инфраструктура». С этим согласны в «Информзащите»: замену пока нашли не все сервисы, уязвимости остаются незакрытыми. В результате, поясняют в компании, «сложные кибератаки, на реализацию которых уходило несколько месяцев, сможет проводить "любитель" за неделю-другую».