Хакеры пошли по награбленному
Жертв кибератак подбирают по прежним утечкам данных
За девять месяцев число атак хакеров на компании через скомпрометированные данные сотрудников выросло на 10% к аналогичному периоду прошлого года. На такие атаки пришлось 80% от всех незаконных проникновений в инфраструктуру. В числе последних взломов — атаки на сайт НСПК, провайдера «Транстелеком» и операторов связи в Крыму. Сказывается рост утечек информации за год и использование сотрудниками одних учетных данных на рабочих и личных ресурсах, считают эксперты. Они допускают, что импортозамещение зарубежных решений также увеличило число уязвимостей в корпоративном секторе.
Фото: Анатолий Жданов, Коммерсантъ
Фото: Анатолий Жданов, Коммерсантъ
В октябре IT-инфраструктура российских компаний вновь подверглась сильным кибератакам, в том числе повлекшим за собой взлом различных ресурсов организаций. Так, 30 октября сайт Национальной системы платежных карт оказался недоступен в результате атаки хакерской группировки DumpForums, а инфраструктура крупного провайдера «Транстелеком» в тот же вечер была поражена вирусом-шифровальщиком. Злоумышленники атаковали провайдеров в Крыму, из-за чего цифровые сервисы в регионе работали с перебоями.
Данные аналитиков по кибербезопасности «Информзащиты», с которыми ознакомился “Ъ”, свидетельствуют о том, что в целом за девять месяцев 2023 года объем кибератак, основанных на скомпрометированных идентификационных данных (учетных данных сотрудников), на компании составил порядка 80% от общего числа атак при росте в 10% к аналогичному периоду прошлого года. Эксперты компании объясняют это кратным ростом утечек данных за год.
Однако количество успешных атак, реализуемых таким способом, за указанный период снизилось примерно на 15–20% относительно прошлого года, оценивают в «Информзащите».
«Компании пересматривают политику безопасности учетных записей не только привилегированных, но и рядовых сотрудников. Особенно это касается крупных организаций из финсектора и ритейла»,— отмечают аналитики, добавляя в то же время, что в зоне риска остаются госкомпании, малые и средние предприятия, а также промышленный сектор с распределенной сетью филиалов.
В России на средний и малый бизнес сейчас приходится около 20% кибератак, оценивает директор АНО «Институт развития предпринимательства и экономики» Наталья Назарова. В вендоре промышленного софта «Цифра» считают, что текущая ситуация оказывает влияние на рост инвестиций компаний в кибербезопасность. В «Ростехе» не ответили “Ъ”.
«Рост атак на корпоративные учетные записи действительно имеет место, в текущем году доля таких атак выросла в десять раз с начала конфликта на Украине»,— уточняет основатель сервиса разведки утечек данных DLBI Ашот Оганесян.
При этом сами корпоративные учетные данные попадают в продажу на теневых форумах сравнительно редко, а для взлома почти всегда используются данные пользователей, полученные из других утечек, не связанных с корпоративной сетью, объясняет эксперт.
Часто люди используют один и тот же пароль на разных ресурсах — например, в корпоративной сети и на каком-нибудь небольшом форуме, говорит коммерческий директор «Кода безопасности» Федор Дбар. Подобные небольшие сайты, уточняет он, регулярно взламывают, а данные участников утекают. «Дальше злоумышленники по учетным записям находят корпоративную почту и попадают внутрь сети»,— резюмирует эксперт.
Эксперт центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Александр Вураско связывает возросшую угрозу напрямую с ростом утечек данных: «В 2023 году мы стабильно фиксируем восемь-девять подобных событий в неделю». Он также добавил, что в последний месяц наблюдается огромное количество инцидентов, связанных с рассылками сотрудникам фейковых сообщений в мессенджерах якобы от их руководителей через поддельные аккаунты.
Однако собеседник “Ъ” на IT-рынке считает, что риск взлома корпоративной инфраструктуры в России в этом году возрос в том числе из-за импортозамещения: быстрая перестройка инфраструктуры и переход на российский софт открыли новые точки входа для злоумышленников.