Бизнес ловят в сети
Компании в Черноземье столкнулись с ростом хакерских атак после начала СВО
В регионах Черноземья в первой половине 2022 года выросло количество кибератак на бизнес, сообщили «Ъ-Черноземье» в «Лаборатории Касперского». В частности, в Орловской области сразу в восемь раз — значительнее, чем в большинстве регионов России,— увеличилось число заражений корпоративных устройств программами-шифровальщиками, требующими «выкупа». Эксперты отмечают случаи скоординированных атак на российскую IT-инфраструктуру с Украины и из других стран после начала спецоперации. В этих случаях хакеры не ставят цель получить компенсацию, а стремятся безвозвратно удалить данные.
Данные о динамике кибератак на бизнес и попытках заражения корпоративных устройств в Черноземье «Ъ-Черноземье» предоставили в «Лаборатории Касперского», одном из ведущих мировых производителей программного обеспечения для кибербезопасности, проанализировав статистику срабатывания своих защитных решений в первом полугодии 2022-го в региональном разрезе.
В трех областях Черноземья, по оценке авторов исследования, заметен рост атак на бизнес с использованием программ-шифровальщиков. Они блокируют доступ к информации на компьютерах компании и требуют от пользователей выплатить злоумышленнику вознаграждение под угрозой удаления ценных данных. В Орловской области количество таких атак на бизнес выросло к прошлогоднему показателю на 612%, сильнее всего в РФ. В Липецкой области количество атак выросло на 146%, в Курской области — на 4%.
В абсолютном выражении за первое полугодие в Орловской области было зафиксировано порядка 1,2 тыс. атак на бизнес с применением шифровальщиков, в Липецкой — 388, в Курской — 247. В Воронежской области были зафиксированы 664 такие кибератаки, в Тамбовской — 179, а в Белгородской — 103. В целом по России число бизнес-пользователей, столкнувшихся с шифровальщиками, увеличилось в первой половине 2022 года на 27%.
По словам эксперта по кибербезопасности «Лаборатории Касперского» Дмитрия Галова, рост киберугроз для бизнеса в РФ наблюдался в течение всего полугодия, но наиболее заметный всплеск фиксировался с февраля (в частности, DDoS-атак).
Большая часть кибератак на бизнес носит массовый мошеннический характер (80%). Лишь 19,9% из них являются целевыми — ориентированными на конкретную компанию. Средний ущерб от успешной кибератаки оценивается в диапазоне от $105 тыс. для представителей малого и среднего бизнеса примерно до $1 млн для крупных компаний. «49,7% попыток эксплуатации уязвимостей приходилось на долю продуктов Microsoft Office»,— отметил господин Галов.
С начала спецоперации характер атак шифровальщиков изменился. Вредоносные программы в ряде случаев перестали «требовать выкуп», целенаправленно уничтожая данные. Также, по словам аналитика, имели место атаки на российские сайты, которые были официально организованы и координировались в проукраинских telegram-каналах по IT-тематике.
По данным «Лаборатории Касперского», в Черноземье в первой половине 2022 года с «попытками заражения» сталкивалось в среднем каждое десятое корпоративное устройство. В Белгородской области на 12% компьютеров фиксировались «локальные угрозы» — вредоносные файлы, распространяющиеся через съемные носители в виде зашифрованных документов или в составе инсталляторов программного обеспечения.
Доля корпоративных пользователей в регионе, устройства которых столкнулись с «попытками заражения» непосредственно из интернета, менее заметна — 6%. В Воронежской области с «локальными угрозами» сталкивались 13% корпоративных пользователей, а с веб-угрозами — 6%. В Курской области это 12 и 5%, в Липецкой области — 9 и 4%, в Тамбовской — 10 и 4%. В компаниях Орловской области в среднем «локальными угрозами» могли быть заражены 13% устройств, а вирусами из интернета — 4%.
«До сих пор основными способами кибератак на организации являются фишинг и почтовые атаки, которые существуют столько же, сколько и сама электронная почта,— сообщил Дмитрий Галов.— Методы защиты на первый взгляд просты. Они связаны с общим уровнем цифровой грамотности: не переходить по сомнительным ссылкам из писем и сообщений, регулярно устанавливать обновления для операционной системы и приложений, также копировать важные данные со своего устройства в облако, на флешку или на жесткий диск, использовать сложные и разные пароли для всех учетных записей, устанавливать надежное защитное программное обеспечение, в том числе и на мобильные устройства».
По словам руководителя отдела развития методов фильтрации контента «Лаборатории Касперского» Алексея Марченко, в случае успешной фишинговой либо почтовой атаки на компанию не всегда можно однозначно определить, была она совершена исключительно с целью получения денег либо использовалась, например, для нанесения репутационного ущерба, поскольку заказчик кибератаки чаще всего остается скрытым.
«Инструменты для автоматизации фишинговых атак продаются в даркнете. Можно даже заказать услугу под ключ: специальные люди проведут атаку и затем передадут все данные, которые смогли украсть»,— рассказал «Ъ-Черноземье» господин Марченко.
«Выбор вирусов-шифровальщиков неслучаен,— считает руководитель отдела продвижения продуктов компании "Код безопасности" Павел Коростелев.— С началом СВО выросло число людей, замотивированных на то, чтобы нанести российским организациям какой-то урон. А работа шифровальщиков уже хорошо отлажена. Есть люди, которые разрабатывают эти продукты, есть те, кто поддерживает платформы, и есть те, кто с помощью них организует атаки. Одновременно с этим от шифровальщиков не очень легко защищаться, это требует гармоничного развития сразу нескольких смежных областей кибербезопасности: грамотного построения инфраструктуры, работы с пользователями по правилам цифровой гигиены, отлаженной системы резервного копирования».
«Атаки вирусов-вымогателей наиболее неприятны, и, скорее всего, в дальнейшем мы увидим рост числа подобных инцидентов»,— считает господин Коростелев.
«Атаки ориентированы на крупные компании»
В макрорегионе с начала 2022 года кратно выросло количество кибератак на предпринимателей и госорганы. Руководитель отдела развития методов фильтрации контента «Лаборатории Касперского» Алексей Марченко в интервью «Ъ-Черноземье» привел подробности угроз.
Заметный разброс динамики в соседних регионах Черноземья может быть связан «с не совсем репрезентативной статистикой», считает директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «РТК-Солар» (структура «Ростелекома») Алексей Павлов.
«На цифры могли повлиять разные подходы к киберзащите в регионах, а также неравномерное покрытие компаний антивирусным программным обеспечением. Например, в каких-то регионах компании резко озаботились установкой антивирусов на устройства, и, как следствие, их разработчик видит рост количества срабатываний защитных компонентов,— пояснил господин Павлов.— Вторым фактором является распространение ботнетов. Достаточно одного зараженного хоста в сети, чтобы вирус начал пытаться распространить себя, эксплуатируя как старые, так и новые уязвимости».
«Рост кибератак точно будет,— полагает представитель "РТК-Солар".— В первой волне кибератак в феврале—мае злоумышленники и хактивисты не очень активно использовали фишинг. Сейчас же тактика поменялась. Все чаще мы встречаем вирусы в сборках легитимного программного обеспечения, распространяемого через файлообменники. Также хакеры стали активнее взламывать сайты именно для размещения на них вирусов и последующего заражения пользователей. Однако атаки стали более точечными, направленными на СМИ, органы власти, критическую информационную инфраструктуру».