Хак-то так получилось
Почему IT-инфраструктуру взламывают все чаще и успешнее
Несмотря на расширение систем кибербезопасности российских компаний и работу регуляторов над повышением защищенности госорганов и бизнеса, с весны на IT-инфраструктуру РФ обрушились масштабные атаки. В ряде случаев они имели серьезные и заметные всем гражданам последствия, вплоть до остановки на несколько дней крупных корпоративных и потребительских сервисов. Специалисты по информбезопасности связывают ситуацию с быстрым ростом числа хакерских группировок, полагая, что дополнительные инвестиции в защиту могут показать результат только к концу следующего года.
Фото: Юрий Мартьянов, Коммерсантъ
Затраты российских компаний на решения в области кибербезопасности в январе—мае увеличились на 25% год к году, достигнув около 80 млрд руб., подсчитали в «Информзащите» со ссылкой на данные участников рынка. По прогнозам Центра стратегических разработок, рынок информбезопасности (ИБ) в ближайшие несколько лет будет расти в среднем на 24% в год и к 2027 году достигнет 559 млрд руб.
Однако киберугрозы расширяются еще быстрее. В то же период число атак на российские организации увеличилось на 30%, отмечают в «Информзащите». Основной рост наблюдается в атаках с использованием вирусов-шифровальщиков (на 35%) и деструктивных нападениях, нацеленных не на выгоду, а на сам факт ущерба (40%). По данным ГК «Солар», за первый квартал доля критических инцидентов, которые способны нанести значимый урон организации и привести к крупным потерям, увеличилась с 2% до 9%.
От сбоев нет отбоя
Примером атаки деструктивного типа может служить произошедшее весной масштабное нападение на инфраструктуру крупных российских облачных провайдеров. Так, с 15 по 20 марта пользователи услуг нескольких компаний столкнулись со сбоем в их работе и невозможностью получить доступ к данным. В социальных сетях и на IT-форумах пользователи писали о сбоях в работе 1Cloud (ООО «ИТ-ГРАД 1 Клауд», входит в ПАО МТС) и MTSCloud (входит в ПАО МТС) и 1Gb.ru (АО «1Гб.ру»).
Провайдер 1Gb.ru 17 марта сообщил, что сеть хостинга «была подвергнута беспрецедентной хакерской атаке», целью которой стало уничтожение данных на серверах: «Работа хостинга была парализована, а данные и операционные системы на многих серверах безвозвратно уничтожены. В ряде случаев резервные копии также были уничтожены». По данным самой компании, клиентами 1Gb.ru выступают «десятки тысяч частных лиц и организаций». Собеседник “Ъ” на рынке провайдеров подтвердил, что в конце марта «произошло сразу несколько кибератак, в том числе на российских облачных и хостинг-провайдеров».
Инцидент стал поводом в очередной раз поднять проблему на государственном уровне. Так, в апреле корпоративные клиенты 1Cloud, MTSCloud, oblako.kz (ТОО «1 Клауд», входит в ООО «ИТ-ГРАД 1 Клауд», работает на территории Казахстана) направили в Минцифры и уполномоченному по защите прав предпринимателей в России Борису Титову коллективное обращение (есть у “Ъ”). Участники рынка пишут о «катастрофической ситуации» среди клиентов поставщиков облачных IT-решений.
Из обращения следует, что в результате сбоя 17 марта стали недоступны более 1 млн виртуальных серверов, размещенных на инфраструктуре ЦОД в Москве, Санкт-Петербурге и Казахстане.
«Инфраструктура провайдеров услуг была взломана, данные клиентов, включая резервные копии, уничтожены или зашифрованы. Ситуация вокруг инцидента, причины, последствия и прогнозы тщательно скрываются»,— подчеркивается в обращении. Его авторы попросили Бориса Титова и Минцифры выявить и привлечь к ответственности должностных лиц, ответственных за оказание услуг, а также поднять вопрос о прекращение деятельности указанных провайдеров.
В пресс-службе Бориса Титова не стали комментировать “Ъ” обращение, в Минцифры не ответили на вопрос. Но, заверили в министерстве, там «прорабатывают комплексные меры, чтобы компании уделяли внимание кибербезопасности». Ключевой мерой по противодействию компьютерным вирусам, в том числе вирусам-шифровальщикам, в Минцифры называют создание единой платформы «Мультисканер», общедоступного сервиса для обнаружения вредоносного ПО (см. “Ъ” от 28 ноября 2023 года).
В МТС утверждают, что «благодаря принятым мерам» компании удалось обеспечить «штатную работу CloudMTS, в том числе в марте». Проблемы с доступностью сервисов наблюдались на отдельных сегментах облачной инфраструктуры дочерней компании МТС ИТ-ГАРД. В то же время в МТС признают, что сталкиваются с «постоянно растущим уровнем угроз для их IT-сервисов и инфраструктуры». Другие провайдеры не ответили “Ъ”.
В конце весны ситуация с кибератаками усугубилась: в апреле атаке хакеров-вымогателей подвергся «Агрохолдинг Ткачева» — одно из крупнейших сельскохозяйственных предприятий в России, а в конце мая — IT-инфраструктура логистического оператора СДЭК.
Последний инцидент привел к остановке 27 мая большей части систем компании, в том числе выдачи отправлений, на восстановление ушло несколько суток. Ответственность за сбой взяла на себя хакерская группа Head Mare, сообщив в соцсети Х, что «сисадмины (СДЭК.— “Ъ”) оказались слишком слабы, а политики безопасности не оправдали себя» (см. “Ъ” от 27 мая).
Почти сразу после атаки на СДЭК жертвой хакеров стал ритейлер «Верный»: более трех дней почти 1 тыс. магазинов сети не принимала оплату картами (см. “Ъ” от 3 июня). Подверглась нападению инфраструктура Национальной системы платежных карт — в течение нескольких часов 20 июня часть платежей по картам в интернете и переводов через СБП проходили со сбоями (см. “Ъ” от 20 июня).
Директор центра мониторинга и противодействия киберугрозам IZ:SOC «Информзащиты» Александр Матвеев отмечает, что «громкие события стало сложно замалчивать», особенно когда речь идет о целенаправленном уничтожении инфраструктуры крупных компаний.
Группировки группируются
В 2024 году программы-вымогатели и вредоносное ПО в целом остаются в списке главных киберугроз для российских компаний, считает руководитель департамента киберразведки F.A.C.C.T. Елена Шамшина. В условиях «продолжающегося острого геополитического конфликта» приоритетными целями хактивистов и прогосударственных хакерских групп остаются «шпионаж, кража интеллектуальной собственности и получение доступа к базам данных компаний, в том числе госорганизаций и предприятий военно-промышленного сектора». «За первый квартал 2024 года обнаружено 80 утечек баз данных российских компаний, это большой объем, и ситуация связана с появлением новых групп злоумышленников»,— считает она.
В 2023 году аналитики F.A.C.C.T. выделили 14 прогосударственных хакерских групп (APT, Advanced Persistent Threat), которые атаковали организации в России и СНГ. В основном мишенями оказывались госучреждения, организации, связанные с критической информационной инфраструктурой, и предприятия оборонно-промышленного комплекса. Некоторые группировки исчезают, но таких мало, зато появляется больше новых, говорят аналитики. Среди новых игроков, возникших в последние месяцы, в F.A.C.C.T. называют кибершпионов PhantomCore и Head Mare, вымогателей Muliaka и MorLock (разные эксперты нередко используют отличающиеся имена для одних и тех же группировок).
Росту атак способствует развитие «партнерских программ», например RaaS (Ransomware-as-a-Service, «вымогательство как услуга» — бизнес-модель, по которой злоумышленники создают вредоносное ПО и предоставляют его в аренду для кибератак, говорят аналитики (см. “Ъ” от 11 апреля). Также меняется мотивация хакеров: если в 2022 году политически настроенные злоумышленники пытались нанести максимальный политический и информационный ущерб, сейчас на первый план вышли деньги.
В «Лаборатории Касперского» отмечают, что чаще всего «начальным вектором компрометации» выступают уязвимости в публичных сервисах и учетных данных пользователей, а также подрядчики.
Чаще всего хакеры взламывают компании через «незащищенный периметр» (34% атак в первом квартале), подбирают пароли к сервисам удаленного доступа, взламывают инфраструктуру через веб-сайты или подрядчиков (20%), подтверждают в Positive Technologies. По данным «Лаборатории Касперского», доля атакованных пользователей интернета в РФ в первом квартале превысила 45%, за неполный второй квартал уже достигла 42% «и вряд ли будет снижаться».
Защита задерживается
В «Лаборатории Касперского» признают, что организации стали более ответственно подходить к обеспечению кибербезопасности, в том числе использовать «реальные механизмы защиты, а не решения для галочки». Тем не менее «говорить о равном уровне защищенности во всех отраслях невозможно, как и о пропорциональных вложениях компаний», уточняют в компании. CEO центра инноваций МТС Future Crew Евгений Черешнев подчеркивает неравномерность вложений в ИБ (см. колонку «Цена вопроса»).
За последние два года компании действительно плотнее занялись киберзащитой, но ключевые проблемы не ушли, отмечает директор центра противодействия кибератакам Solar JSOC ГК «Солар» Владимир Дрюков. «В фокусе внимания злоумышленников по-прежнему вся Россия. И если более или менее крупные организации или те, что уже были под атаками, свою безопасность настроили, то те, кому до сих пор везло, действуют по принципу "пока гром не грянет"»,— говорит он.
Осложняет ситуацию и долгое внедрение ИБ-решений в компаниях. «Цикл внедрения средств защиты, как правило, составляет полтора-два года»,— поясняет управляющий директор Positive Technologies Алексей Новиков. Многие компании, отмечает он, не сразу выполнили рекомендации регуляторов и не стали искать дополнительные бюджеты на ИБ, о реальном результате в таких организациях можно будет говорить только к концу 2025 года.