Кто на новенького?

Список мошеннических схем и методов угроз продолжает расти, хотя фантазия мошенников не беспредельна – они зачастую начинают повторяться. О фальшивых звонках из «служб безопасности» и «следственных органов» уже ходят анекдоты. Да, чувство юмора и знания нас нередко спасают, к сожалению, далеко не всех. Поэтому злоумышленники продолжают собирать легкую дань с неискушенных и беспечных.

Компания «Лаборатория Касперского»

DDoS, программы-вымогатели, майнеры – ландшафт киберугроз для интернета вещей

Эксперты компании исследовали актуальные киберугрозы для подключённых устройств в 2023 году, а также объявления о товарах и услугах в даркнете, связанных с их взломом.

В новом отчёте «Обзор угроз для IoT-устройств в 2023 году» исследователи «Лаборатории Касперского» рассказали про сотни обнаруженных в даркнете объявлений о продаже услуг по проведению DDoS-атак с использованием умных устройств, конкуренции между атакующими за контроль над заражёнными гаджетами и топ-стран, откуда чаще всего пытаются заражать устройства IoT.

Самая востребованная «IoT-услуга» в даркнете. По данным аналитиков сервиса Kaspersky Digital Footprint Intelligence, одна из наиболее востребованных услуг в даркнете, связанных с интернетом вещей, – DDoS. Упоминания ботнетов на основе умных устройств, которые используются для проведения подобных атак, стали чаще встречаться в объявлениях на различных теневых форумах. Всего за первую половину 2023 года аналитики сервиса Kaspersky Digital Footprint Intelligence обнаружили в даркнете более 700 таких объявлений.

Цена этой услуги зависит от множества факторов, влияющих на сложность атаки, среди которых: наличие у жертвы защиты от DDoS, наличие капчи и JavaScript-верификации. В общей сложности стоимость атаки варьируется от 20 долларов США за сутки до 10 тысяч долларов США за месяц. В среднем в изученных объявлениях такая услуга предлагалась за 63,5 доллара США за сутки или 1350 долларов США за месяц.

Продаются в даркнете и услуги по взлому устройств интернета вещей. В частности, злоумышленники ищут соответствующие эксплойты к уязвимостям нулевого дня.

Спектр угроз для подключённых устройств. В числе прочих типов вредоносного ПО, нацеленного на интернет вещей, – программы-вымогатели, майнеры, инструменты для смены DNS-сервера. Иногда заражённые устройства используются в качестве прокси-серверов – промежуточных узлов в сети, перенаправляющих трафик злоумышленника через себя, таким образом затрудняя его отслеживание.

Одна из ключевых особенностей вредоносного ПО для интернета вещей – существование множества различных семейств, в основе которых лежит обнаруженный в 2016 году зловред Mirai. В результате между злоумышленниками возникла жёсткая конкуренция, они борются друг с другом за контроль над устройствами.

Поэтому зловреды для интернета вещей постепенно начали включать в себя функции для «нейтрализации» конкурентов непосредственно на заражённом устройстве и предотвращения его повторного заражения. Наиболее популярная тактика закрепления доступа – добавление правил сетевого экрана, блокирующих попытки подключения к устройству. Несколько реже используется отключение сервисов удалённого управления устройством либо завершение чужих процессов и удаление чужих файлов.

Как заражают IoT-устройства. Наиболее распространённый метод заражения умных устройств – перебор паролей к сервисам, использующим протокол Telnet и SSH. Так, за первую половину 2023 года 97,91% зафиксированных попыток перебора паролей, зафиксированных ханипотами – специальными ловушками для злоумышленников, были направлены на протокол Telnet и 2,09% – на SSH. Больше всего таких атак было отмечено в Китае, Индии и США, а сами атаки шли чаще всего из Китая, Пакистана и России.

К компрометации устройства также могут приводить и уязвимости в работающих на нём сервисах. Часто с их помощью злоумышленники внедряют вредоносные команды при выполнении запросов к веб-интерфейсу.

«Количество умных устройств растёт. Портал Statista прогнозирует, что к 2030 году оно превысит 29 миллиардов. Первые массовые атаки на интернет вещей с использованием вредоносного ПО были зафиксированы ещё в 2008 году, и с тех пор подобных атак становится только больше. “Лаборатория Касперского” призывает производителей поставить в приоритет кибербезопасность как потребительских, так и промышленных устройств интернета вещей. Мы считаем, что для таких устройств важно сделать обязательным изменение пароля по умолчанию, а также регулярно выпускать патчи к обнаруженным уязвимостям. Наше исследование подчёркивает необходимость ответственного подхода к обеспечению безопасности интернета вещей со стороны производителей, чтобы они проактивно защищали пользователей», – комментирует Ярослав Шмелёв, эксперт «Лаборатории Касперского» по кибербезопасности.

Чтобы защитить промышленные и пользовательские устройства интернета вещей от киберугроз, компания рекомендует:

• Предприятиям:
  • регулярно проводить оценку безопасности OT-систем, чтобы выявить и устранить возможные проблемы;
  • использовать решения для мониторинга, анализа и обнаружения сетевого трафика в промышленных компьютерах для повышения эффективности защиты от кибератак, потенциально угрожающих технологическому процессу и основным активам предприятия;
  • защищать и промышленные, и корпоративные устройства.
• Пользователям:
  • при использовании устройств интернета вещей следует оценить состояние безопасности устройства до его внедрения. Предпочтение следует отдавать гаджетам, имеющим сертификаты кибербезопасности, и продукции тех производителей, которые уделяют повышенное внимание информационной безопасности;
  • при покупке устройств для умного дома менять пароли, установленные по умолчанию, на более сложные, регулярно менять их.
  • не выкладывать в социальные сети серийные номера, IP-адреса и другую конфиденциальную информацию об используемых умных устройствах;
  • регулярно следить за новостями об уязвимостях, обнаруженных в устройствах интернета вещей, и в случае обнаружения – обновить прошивку;
  • перед покупкой умного устройства читать отзывы и обращать внимание, реагирует ли производитель на обнаруженные уязвимости: хороший поставщик быстро устраняет проблемы, о которых сообщают исследователи.

В Kaspersky ICS CERT рассказали о ландшафте киберугроз в промышленности в 2023 году

По данным нового отчёта Kaspersky ICS CERT, в первом полугодии 2023 года в России вредоносные объекты были заблокированы на 32% компьютеров АСУ.

Опасность вредоносных скриптов. Россия, наряду с Ближним Востоком, оказалась в числе регионов, где зафиксирована самая значительная доля компьютеров АСУ, на которых были заблокированы вредоносные скрипты и фишинговые страницы. Вредоносные скрипты применяются злоумышленниками для выполнения большого спектра задач – от сбора информации о жертве, трекинга и перенаправления браузера на вредоносный веб-ресурс до загрузки в систему или в браузер различных вредоносных программ (например, шпионского ПО и/или программ для скрытого майнинга криптовалюты).

За первые 6 месяцев 2023 года электронная почта впервые оказалась более существенным источником угроз для компьютеров АСУ в России, чем съёмные носители. Доля компьютеров АСУ, которые пытались атаковать через почтовые клиенты, растёт начиная со второго полугодия 2021 года. Интересно, что показатели для почты и съёмных носителей изменяются в России в противофазе – рост одного сопровождается падением другого, и наоборот. Основным источником угроз в России остаётся интернет.

Что касается конкретных категорий киберугроз, то с января по июнь 2023 года в России выросла доля компьютеров систем автоматизации, на которых были заблокированы вредоносные документы (на 0,32 п. п.) и веб-майнеры (на 0,13 п. п.). Вредоносные документы злоумышленники рассылают в фишинговых электронных сообщениях для первичного заражения компьютеров.

Ситуация в отраслях. В тройку отраслей в России, где фиксируется наибольшая доля атакованных автоматизированных систем управления, входят инжиниринг и интеграция АСУ (35,8%), автоматизация зданий (34,3%), энергетика (32,6%). При этом рост доли атакованных компьютеров наблюдается только в производственной отрасли (на 0,8 п. п. – до 30,4%).

«Интернет по-прежнему остаётся основным источником киберугроз для промышленности – в первом полугодии Россия вошла в тройку лидеров в рейтинге регионов мира по доле заблокированных угроз из интернета на компьютерах АСУ. Организациям важно не просто уделять должное внимание киберзащите от веб-угроз, но и применять комплексный подход к безопасности инфраструктуры. Помимо всего прочего, он подразумевает проведение тренингов по повышению уровня киберграмотности, что позволит снизить риски возникновения инцидентов из-за человеческого фактора», – комментирует Евгений Гончаров, руководитель Kaspersky ICS CERT.

Для защиты компьютеров АСУ от киберугроз «Лаборатория Касперского» рекомендует:

• регулярно обновлять операционные системы и приложения в составе ОТ-инфраструктуры и устанавливать патчи сразу, как только они выходят;
• проводить аудит безопасности ОТ-систем для своевременного распознавания и устранения проблем безопасности;
• использовать решения для мониторинга сетевого трафика компьютеров АСУ, анализа и детектирования киберугроз и уязвимостей технологической сети – для наиболее эффективной защиты от атак, потенциально угрожающих технологическому процессу и главным активам предприятия;
• проводить тренинги для ИБ-специалистов и ОТ-инженеров, чтобы улучшать качество реагирования на различные, в том числе новые и продвинутые, вредоносные техники;
• предоставлять специалистам, ответственным за защиту АСУ, современные средства аналитики киберугроз.
• использовать защитные решения для конечных устройств ОТ и сетей, чтобы обеспечить безопасность всех критически важных промышленных систем;
• ограждать от киберугроз ИТ-инфраструктуру. Интегрированные продукты для защиты конечных устройств предоставляют возможности для детектирования киберугроз и реагирования на них.

Бэкдор три года распространялся под видом легитимного установщика ПО для Linux

Эксперты компании обнаружили вредоносную акцию с использованием Free Download Manager, которая длилась более трёх лет. В ходе атаки легитимное ПО для установки приложений использовалось для распространения бэкдора на устройства под управлением ОС Linux. Жертвы заражались при попытке загрузить программное обеспечение с официального сайта Free Download Manager, что указывает на потенциальную атаку на цепочку поставок. Некоторые образцы вредоносного ПО, использованного в этой кампании, впервые были выявлены в 2013 году. Атаки были зафиксированы в Бразилии, Китае, Саудовской Аравии и России.

Детали атаки. Обнаруженная вредоносная кампания нацелена на системы Linux. Если жертва открывала в браузере легитимный веб-сайт Free Download Manager, а затем нажимала кнопку загрузки программы для Linux, то в некоторых случаях её перенаправляло на вредоносный URL-адрес, с которого скачивалась вредоносная версия, выпущенная в 2020 году. После запуска файла на устройстве жертвы устанавливался бэкдор – разновидность троянца для получения удалённого доступа. С заражённого устройства злоумышленники могли красть различную информацию, в том числе сведения о системе, историю браузера, сохранённые пароли, данные криптовалютных кошельков и даже учётные данные облачных сервисов, таких как Amazon Web Services или Google Cloud.

Атака на цепочку поставок. Эксперты «Лаборатории Касперского» полагают, что это может быть атакой на цепочку поставок. В ходе исследования руководств по установке Free Download Manager на YouTube для компьютеров Linux были обнаружены случаи, когда создатели видео непреднамеренно демонстрировали начальный процесс заражения. Но в другом видео загружалась легитимная версия программного обеспечения. Вероятно, разработчики вредоносного ПО предусмотрели, что жертва перенаправлялась на вредоносную версию ПО с определённой степенью вероятности или на основе цифрового следа потенциальной жертвы. В результате некоторые пользователи сталкивались с вредоносным пакетом, а другие получали легитимный.

«Распространено заблуждение, что для Linux не существует вредоносного ПО, поэтому многие пользователи не устанавливают на такие устройства защитные решения. Однако отсутствие средств обеспечения кибербезопасности как раз делает их более привлекательными для злоумышленников. Ситуация с Free Download Manager демонстрирует, что кибератаки на Linux могут долго оставаться необнаруженными. Чтобы этого избежать, нужно обязательно заботиться об эффективных мерах безопасности для компьютеров и серверов, работающих на этой операционной системе», – объясняет Леонид Безвершенко, эксперт по кибербезопасности «Лаборатории Касперского».

Чтобы избежать угроз для устройств на ОС Linux, эксперты рекомендуют установить проверенное решение для обеспечения безопасности конечных устройств.

Компания «F.A.C.C.T.»

Аудиторы F.A.C.C.T. проверили безопасность корпоративного коммуникатора ANWORK

Специалисты компании провели исследование защищенности мобильного приложения – ANWORK. Этот новый отечественный мессенджер, предназначенный для безопасных корпоративных коммуникаций и защищенного обмена данными.

На фоне массового взлома популярных мессенджеров и негласных запретов на использование в российских компаниях зарубежных приложений для передачи конфиденциальных данных разработчики ANWORK уделяют повышенное внимание защищенности приложения и конфиденциальности передаваемых данных.

Его особенности – высокоуровневое шифрование на базе криптостойкого протокола Signal (end-to-end encryption) для сообщений, видеозвонков и аудиоконференций. Внедренная в мессенджере обезличенная регистрация, закрытые группы, локальное хранение данных исключительно на устройствах пользователей и автоудаление истории, по словам разработчиков, не позволят злоумышленникам получить через приложение доступ к личным данным, переписке или контактам пользователей.

Аудиторы компании провели экспресс-анализ защищенности мобильного приложения на платформах iOS и Android. В ходе проверки эксперты подтвердили, что приложение надежно защищает дистанционную передачу данных, даже несмотря на некоторые уязвимости среднего и низкого уровня риска, так как их эксплуатация требует наличия у злоумышленника прав суперпользователя и непосредственного физического доступа к устройству.

Получив от экспертов подробный технический отчет, содержащий информацию о ходе тестирования, описание обнаруженных уязвимостей, а также рекомендации по снижению потенциальных угроз безопасности, разработчики ANWORK оперативно устранили выявленные недостатки.

“Проведение регулярного аудита – одно из обязательных условий обеспечения безопасной работы мобильных приложений, – замечает Александр Соколов, руководитель Департамента аудита и консалтинга компании F.A.C.C.T. – Особенно важно проводить исследование защищенности в отношении нового приложения, готового к выходу на рынок. В случае с ANWORK проверка была двухэтапной: сначала мы провели полноценное тестирование приложения и его компонентов, в результате которого были обнаружены некоторые недостатки. После их устранения командой разработчиков мы провели оценку корректности их устранения. Это важный этап, так как именно он позволяет сделать вывод, что уязвимости устранены, а безопасность приложения возросла».

Ozon и F.A.C.C.T. назвали основные мошеннические схемы при онлайн-покупках в 2023 году

Ozon, ведущая e-commerce-платформа в России, и компания F.A.С.С.T., заблокировали в первом полугодии 2023 г. почти 11 500 фишинговых ресурсов, которые использовали бренд маркетплейса для обмана покупателей и продавцов. Основными видами мошенничества стали фишинговые сайты с оплатой покупки и доставки товаров, порталы, предлагающие подработку и высокий заработок, а также фейковые сообщения и отдельные каналы в мессенджерах и соцсетях с розыгрышами опросами от имени маркетплейса.

В 2023 году аналитики F.A.C.C.T. отмечают спад активности мошенников. Например, количество обнаруженных и нейтрализованных скам-порталов за 6 месяцев составило 498, тогда же, как за аналогичный период 2022 года было заблокировано 16 967 сайтов. Число ликвидированных постов и групп в соцсетях и мессенджерах в текущем году составило 161, тогда как в прошлом году их было 611.

В то же время, фишинг все еще представляет опасность для пользователей – всего за первые 6 месяцев 2023 г. было заблокировано 11 493 фишинговых ресурса, что в 100 раз больше показателей за аналогичный период прошлого года. Около 3500 нейтрализованных доменов участвовали в мошеннической схеме, когда под предлогом покупки несуществующего товара у жертвы похищали деньги и данные с карт.

Пример мошеннического сайта: покупателю обещают скидку в 30% на все товары маркетплейса, но для оформления заказа ему необходимо связаться с «продавцом» через мессенджер. Пользователю приходит фишинговая ссылка на оплату товара – он теряет деньги и данные банковских карт.

На основании полученных данных аналитики Digital Risk Protection (DRP) компании F.A.C.C.T. определили основные схемы, которые использовали мошенники для обмана покупателей и продавцов в первом полугодии 2023 г.

Фишинговые сайты (мошеннические порталы мимикрируют под маркетплейс и предлагают оплатить товар с большой скидкой, но похищают данные банковских карт при оплате несуществующей доставки товара) – 11 493 заблокированных ресурса.

Скам-сайты (сайты, которые обещают крупное вознаграждение, например – за работу по продвижению товаров в интернете, но вместо этого сами выманивают деньги у пользователей) – 498 заблокированных ресурсов.

Сообщения и группы в мессенджерах и соцсетях (псевдо-предложения о закрытых акциях, «Мегарозыгрышах», работе в Ozon) – 161 заблокированных группы или сообщения.

Пример мошеннической схемы с раздачей призов – победителю предлагают оплатить комиссию, в результате чего жертва теряет деньги и данные банковских карт. Масштабирование схемы происходит благодаря самим жертвам – по условиям конкурса они должны поделиться мошенническим постом со своими друзьями

«Маркетплейсы становятся более массовой и обыденной площадкой для онлайн-покупок. Так, за второй квартал 2023 года число активных клиентов Ozon достигло почти 40 млн. человек, а среднее число покупок в год возросло почти в два раза. Мошенники стремятся использовать сильные бренды, чтобы обмануть пользователей – однако в 2023 году мы видим снижение такой активности. Во многом это стало возможно благодаря новым инструментам борьбы с ними, скоростью блокировки таких ресурсов, а также осведомленности пользователей о базовых правилах цифровой безопасности», – комментирует Кирилл Мякишев, директор по информационной безопасности Ozon.

«В 2022 году мы фиксировали значительный рост онлайн-мошенничества – скама и фишинга, нацеленного на популярный бренд Ozon одного из российских лидеров e-commerce, – замечает руководитель по развитию бизнеса Digital Risk Protection (DRP) компании F.A.C.C.T Станислав Гончаров. – Для пресечения подобных «продвинутых скам-схем» и фишинга классического мониторинга и блокировки уже недостаточно – необходимо выявлять и блокировать инфраструктуру преступных групп, используя автоматизированную систему выявления и устранения цифровых рисков на основе искусственного интеллекта».

Эксперты Ozon и F.A.C.C.T. рекомендуют соблюдать базовые правила цифровой грамотности, чтобы обезопасить свои онлайн-покупки:

• Не переходите по ссылкам от незнакомых людей в мессенджерах или почте. Маркетплейс не устраивает закрытых распродаж или розыгрышей скидок. Попробуйте найти предложение на площадке самостоятельно. Также остерегайтесь предложений о работе с чрезмерно высоким доходом – скорее всего, пишут мошенники.
• Прежде чем ввести в какую-либо форму данные своей банковской карты – изучите адрес сайта, «загуглите» его и проверьте, когда он был создан. Совершать покупки безопаснее через официальное приложение, которое вы скачали в магазине мобильных приложений.
• Не передавайте свои персональные данные незнакомым людям, включая адрес, номер телефона или код из SMS – даже если собеседник представляется специалистом службы поддержки или продавцом маркетплейса.
• Если подозреваете, что столкнулись с мошенническим сайтом – напишите в службу поддержки маркетплейса в чате приложения или на сайте, специалисты помогут разобраться в ситуации.

ГК «Солар»

Злоумышленники стали лучше скрывать фишинговые ресурсы

За прошедшие полгода заметно усложнились неперсонифицированные фишинговые атаки, составляющие более 98% всего фишинга. Злоумышленники стали чаще использовать и совершенствовать методы сокрытия вредоносного контента от инструментов для его поиска.

Такие выводы сделали эксперты центра мониторинга внешних цифровых угроз Solar AURA группы компаний «Солар» на основе анализа сотен тысяч вредоносных ресурсов.

Сегодня свыше 53% детектируемых специалистами Solar AURA фишинговых ресурсов используют те или иные средства защиты от их обнаружения. Для сравнения, в 2022 году этот показатель составлял 27%, а в 2021 году – 11%.

Одним из наиболее сложных способов по сокрытию фишинга стала схема «Хамелеон». Суть ее в том, что вредоносный сайт мог динамически изменять контент, а свое истинное «лицо» показывал лишь тем пользователям, которые соответствовали заданным злоумышленниками параметрам – например, территориальной принадлежности IP-адреса, разрешению экрана, версии операционной системы и браузера и т.д. По мнению злоумышленников, этот подход должен был помешать антифишинговым сервисам распознавать вредоносный контент.

Также примечательна схема, которую эксперты назвали «Хамелеон 2.0». В ней злоумышленники использовали цепочки из десятков произвольно сгенерированных доменов, каждый из которых служил для перенаправления пользователя на вредоносный ресурс. Схема активно использовалась на рубеже 2022-2023 годов в масштабной фишинговой кампании, которая затронула более 300 крупных брендов.

«Помимо таких технически сложных вариаций, как “Хамелеон” или “Хамелеон 2.0”, активно применяются и другие приемы – например, использование доменов, не имеющих отношения к бренду, от имени которого совершается атака. Также применяются “сайты- прокладки”, которые переадресуют пользователя на нужный URL и одновременно уведомляют его о том, что портал якобы проверен антивирусом и не представляет опасности», – пояснила эксперт центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Диана Селехина.

Более 2,2 тысяч фрагментов закрытого кода российских компаний попали в открытый доступ

Эксперты центра мониторинга внешних цифровых угроз Solar AURA группы компаний «Солар» за последние полгода (март–август 2023 г.) выявили более 2,2 тысяч случаев попадания в публичные репозитории фрагментов закрытого программного кода, что представляет угрозу для российских организаций. Специалисты Solar AURA проводят оценку и классификацию возможных угроз, и оповещают российские компании о подобных инцидентах.

Также, отмечают эксперты, участились случаи публикации вредоносных скриптов, предназначенных для кибератак на инфраструктуру российских предприятий, на таких площадках, как GitHub. В тексте скриптов нередко присутствуют домены и адреса серверов российских компаний и органов государственной власти. Такие инструменты весьма популярны среди хактивистов, так как позволяют злоумышленникам осуществлять DDoS-атаки силами большого количества пользователей, не имеющих специальных технических знаний.

«К сожалению, такие случаи происходят достаточно регулярно, причем значительная часть утечек кода не является злонамеренной, а происходит в силу того, что разработчики либо неправильно настраивают права доступа к гитам, находящимся на публичных сервисах типа GitHub, либо по ошибке синхронизируют репозиторий со своим публичным аккаунтом на GitHub. Но бывает и так, что программисты сознательно используют фрагменты кода, создаваемого в интересах работодателя, в сторонних публичных проектах», – пояснил эксперт центра мониторинга внешних цифровых угроз Solar AURA «Солар» Александр Вураско.

Чтобы защититься от подобных угроз, эксперты Solar AURA рекомендуют организациям:

Использовать для управления разработкой исключительно внутренние гиты, особенно если компания работает в сфере госуправления, оборонной промышленности и других областях, относящихся к критической информационной инфраструктуре (КИИ).

Обеспечивать регулярный мониторинг публичных площадок на предмет обнаружения фрагментов закрытого кода, который может оказаться в общем доступе.

Компания «МТС RED»

Центр инноваций Future Crew запустил услугу по обнаружению признаков успешных хакерских атак на компании

В результате заказчики получат полную картину точек присутствия киберпреступников в инфраструктуре и смогут полностью их устранить. Сложные целенаправленные атаки подразумевают максимально длительное и незаметное присутствие злоумышленников в ИТ-инфраструктуре компании. От получения точки присутствия до начала активных действий хакеров и обнаружения атаки часто проходит несколько месяцев, в некоторых случаях промышленный шпионаж может оставаться незамеченным несколько лет.

Для обнаружения действий злоумышленников необходим комплекс решений по информационной безопасности, а также выстроенные процессы мониторинга инцидентов, которыми располагает лишь небольшая доля российских организаций. Если же взлом произошел до начала мониторинга событий информационной безопасности, выявить атаку удастся в лучшем случае в ходе активной фазы действий киберпреступников. При этом даже после блокирования атаки компания может не знать, какие системы были скомпрометированы и сохранились ли в них программные закладки или бэкдоры, которые позволят киберпреступникам повторить атаку.

Услуга по выявлению следов компрометации помогает определить, была ли компания взломана в прошлом, оставили ли злоумышленники возможности для повторного проникновения в инфраструктуру, а также на ранней стадии обнаружить ведущиеся в настоящем сложные атаки. Это поможет снизить риски того, что злоумышленник достигнет своей цели – долговременного шпионажа, кражи интеллектуальной собственности и других конфиденциальных данных компании.

Компания «Газинформсервис»

Хакеры атаковали почти каждое предприятие ОПК в России

За год хакеры атаковали почти каждое предприятие оборонно-промышленного комплекса в России. Киберэксперт Овчинников считает DDoS-атаки «пробными шарами» перед массивными и более опасными атаками.

В российском оборонно-промышленном комплексе почти каждое предприятие столкнулось с кибератаками в период с 2022 года по настоящее время. Об этом заявил начальник управления Федеральной службы по техническому и экспортному контролю России Дмитрий Шевцов на пленарном заседании форума по цифровизации ОПК «ИТОПК-2023».

Часто речь идет о DDoS-атаках на сайты, на которых размещается общедоступная информация предприятий ОПК. Целью также становятся информационные системы и автоматизированные системы управления, которые предполагают использование интернета. Кибератаки на предприятия российского ОПК совершаются ежедневно.

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников:

– Веб-сайты всегда были лакомым кусочком для атаки хакеров. Глобально злоумышленники целятся во внутреннюю инфраструктуру наших организаций, поэтому сейчас защита веб-серверов и сервисов особенно актуальна. Невинные, на первый взгляд, DDoS-атаки являются просто пробными шарами, которыми проверяют скорость реакции и «размывают» внимание специалистов по информационной безопасности. В случае реализации сценария с утечкой данных, хакеры, а в особенности специальные структуры на содержании у недружественных государств, могут по косвенным признакам получить доступ к секретной информации. Например, точно зная объемы закупаемых материалов или комплектующих, можно определить мощность завода по модернизации танков. Раньше, в до интернетовскую эпоху, сбором подобной информации занималась агентурная сеть шпионов. Теперь, когда все документы стали цифровыми и хранятся на серверах к этому занятию подключили хакеров.

Спутниковое наблюдение, атаки хакеров, автономные БПЛА – сегодняшние реалии и понятно почему ИТ-специалисты получают отсрочку от призыва в армию, они тоже стоят на страже нашего суверенитета, но только в интернет пространстве.

Волна кибератак захлестнула университеты и научно-исследовательские институты в РФ

Аналитики компании, проводя регулярный мониторинг и анализ угроз информационной безопасности, в последние несколько месяцев фиксируют волну фишинговых атак на университеты и научно-исследовательские институты и их сотрудников, задействованных в проектах с государственной поддержкой.

Злоумышленники пользуются стандартным приемом – получают сведения об аккаунтах и электронных адресах руководящего состава и затем от имени директора (ректора или проректора) направляют грозное письмо с запросом персональных данных сотрудников, которые задействованы в проектах с государственной поддержкой.

Вот пример части текста из такого письма: «Обращаюсь к Вам в связи с важным вопросом, который требует Вашего внимания. Нам поступил запрос от организации «Х», в котором запрашивают предоставить Ваши данные. Согласно запросу, организация «Х» требует от нас предоставить информацию о Ваших доходах в виде выписки, а также контактный номер телефона…» и т.д.

Известно, что кибератаки носят таргетированный характер. В чатах университетов и научно-исследовательских институтов еженедельно предостерегают от мошеннических схем, направленных на сотрудников учебных заведений.

«Таких историй по всей России сейчас очень много. Мне, как сотруднику научно-исследовательского центра в Санкт-Петербурге и доценту университета, звонят раз в месяц «представители силовых структур» и заводят одни и те же мошеннические песни. Многие мои коллеги ученые и преподаватели из разных регионов России рассказывают в нашем комьюнити, что получали подобные звонки», – рассказала Лидия Виткова, Product owner Ankey ASAP компании «Газинформсервис».

«Важно отметить, что злоумышленники очень ловко пользуются методами социальной инженерии, создавая максимальную легитимность происходящего. Для нас, специалистов в инфобезе, все мошеннические схемы прозрачны и понятны, но у людей других профессий не всегда хватает знаний и компетенций, чтобы понять – на другом конце провода мошенник. Помимо разработки средств защиты информации и развития систем обнаружения киберугроз, всем организациям, особенно реализующим государственные проекты, необходимо практически ежемесячно проводить внутреннее обучение сотрудников и постоянно рассказывать о новых способах обмана», – говорит Лидия Виткова.

Бизнес все чаще будет сталкиваться с утечками данных и с шифровальщиками

«Сегодня хакеры «на входе» все чаще используют или общедоступную информацию из социальных сетей, или технологии разведки для добычи данных о сотрудниках (OSINT). В течение 2022-2023 года произошло огромное количество утечек электронных адресов, телефонов, должностей и имен действующих сотрудников.

Сейчас киберпреступники берут информацию из ресурсов, на которых аккумулируются все похищенные персональные и служебные данные. После злоумышленники используют методы социальной инженерии, фишинг или другие атаки, которые позволяют им пересечь барьер «на вход». Затем происходит утечка и часто шифрование, наступает паралич информационной системы и появляется требование выкупа», – объясняет эксперт компании Лидия Виткова.

Из последних примеров.Агентство Bloomberg недавно сообщило, что гигантская развлекательная корпорация заплатила «десятки миллионов долларов хакерам», которые взломали и украли данные компании. И в тот же день портал Vital Vegas обновил информацию, сообщив, что компания Caesars заплатила вымогателям 15 миллионов долларов. На следующий день злоумышленники, стоящие за кибератакой, опубликовали заявление в своем блоге. Письмо было выпущено известной группировкой Alpha, (они же ALPHA и BlackCat). Киберпреступники заявили, что не получили до конца всю сумму и информационно-технологической сети Caesars Entertainment все еще находятся под их контролем.

Примечательно, что для реализации атаки киберпреступиники использовали социальную сеть и позвонили от имени сотрудника, попросили поменять пароль, а потом зашли в сеть и добились контроля, оставаясь незаметными. На вход в систему им понадобилось всего 10 минут.

«Без современных средств защиты информации, без поведенческой аналитики выяснить кто свой, кто чужой почти невозможно. А для реализации полномасштабной поведенческой аналитики требуется искусственный интеллект, а часть систем защиты еще пока строится на правилах, на базовой аналитике. Но такие средства защиты уже не никого не спасут от целеустремленных хакеров», – уверена Лидия Виткова.

Анонимные виртуальные мобильные номера будут блокировать

Правительство РФ признало использование виртуальных мобильных номеров (DEF-номеров) угрозой безопасности в сфере связи и интернета, сервисы по их выдаче после 1 сентября 2024 года планируется блокировать.

Соответствующее постановление кабмина вносит изменения в Правила централизованного управления сетью связи общего пользования. Согласно постановлению, перечень угроз в этой сфере теперь дополнен пунктом о предоставлении доступа к онлайн-ресурсам и мессенджерам пользователям без их идентификации, пишет ТАСС.

В настоящее время для регистрации в соцсетях и мессенджерах, в том числе в Telegram, пользователь должен предоставить номер мобильного телефона, который при необходимости позволяет идентифицировать его владельца. При этом злоумышленники зачастую используют при регистрации не реальные, а виртуальные DEF-номера, которые принадлежат иностранным операторам связи, сдаются в аренду и никак не привязаны к персональным данным конкретного человека.

Временный номер позволяет создать временный же аккаунт, с помощью которого злоумышленник может размещать противоправную информацию и совершать мошеннические действия.

Киберэксперт компании Сергей Полунин отметил, что анонимные виртуальные мобильные номера плодят новые мошеннические схемы. «Любая анонимность с точки зрения спецслужб и регуляторов – это красный флаг, так как без привязки к каким-либо персональным данным номер телефона можно использовать для разных противоправных действий. Важно это понимать – данная активность проводится, в том числе, с целью борьбы со злоумышленниками», – пояснил руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис».

Нас ждет новая волна кибератак

Популярная у хакеров программа-вымогатель LokiBot стала еще дешевле и это делает ее особенно востребованной для широкого круга злоумышленников. Киберэксперт Дмитрий Овчинников уверен, что это приведет к новым волнам кибератак.

«Скорее всего, подобная доступность зловреда грозит новыми волнами фишинговых атак и взломов. Для того, чтобы обезопасить себя от LokiBot и производных от нее зловредов, необходимо на всех устройствах использовать антивирусное ПО и быть предельно внимательным к каналам распространения фишинга. В основном это, конечно, касается почтовых сообщений, но в последнее время выросла доля использования мессенджеров. Помните, комбинированная защита из антивируса и бдительности – это путь к высокой защищенности и безопасности данных», – говорит главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.

Изначально LokiBot распространялся на черных рынках Восточной Европы и стал широко известен в 2018 году. Вредонос быстро стал популярным и вошел в топ-5 семейств вредоносного ПО, распространяемого через фишинговые электронные письма.

Сначала цена LokiBot составляла порядка $500, но после утечки исходного кода она упала до $80. Предполагается, что был взломан исходный код, пишет ИБ-компания Cofense.

LokiBot обычно распространяется через электронную почту в виде вложения или через эксплуатацию уязвимостей. После загрузки и запуска вредоносный код проникает в систему и начинает собирать конфиденциальную информацию. Он может заразить компьютер, а затем осуществить поиск по локально установленным приложениям и извлечь из внутренних баз данных логины и пароли. По умолчанию LokiBot может атаковать браузеры, клиенты электронной почты, FTP-приложения и криптовалютные кошельки.

Компания «АльфаСтрахование»

Владельцы банковских карт стали чаще становиться жертвами мошенников в интернете

«АльфаСтрахование» провела анализ убытков по банковским картам за последний год и сравнительный анализ с предыдущими годами и выяснила, что растет количество случаев, связанных с оплатой услуг на мошеннических сайтах и маркетплейсах.

В 2022 г. чаще всего владельцы банковских карт страдали от мошеннических действий третьих лиц. Основным страховым случаем было несанкционированное снятие денег с карты, в том числе и в результате телефонного мошенничества. Сейчас тенденция меняется.

Используются разные схемы. Например, один из клиентов «АльфаСтрахование» заказал в интернет-магазине бытовую технику, видимо, на не проверенном ресурсе. Товар так и не удалось получить. Полиция установила, что деньги ушли на счет мошенников.

Еще один способ незаконного получения денег с карты – при оплате по фишинговой ссылке. Мошенники предлагают продукт или услугу (например, льготную путевку, другие услуги/товары), для оплаты присылают ссылку в сообщении, воспользовавшись которой, владелец карты самостоятельно оплачивает предложенную услугу или товар, таким образом деньги уходят преступникам. По сравнению с прошлым годом количество таких случаев выросло на 58%.

«Мы зафиксировали некоторый рост убытков по картам в целом. Такие схемы стали появляться больше во второй половине прошлого года. Например, по схеме с фишинговыми ссылками только за год отмечается рост выплат в два раза. Остаются распространенными и кражи карт вместе с телефоном, взломы IP-адресов клиентов, кража данных карт посредством различных программ с вирусами. По таким случаям с июля прошлого года «АльфаСтрахование» выплатила еще 750 тыс. руб. Оптимально при такой ситуации распространения новых мошеннических схем, конечно, повышать собственную бдительность и не пользоваться непроверенными ресурсами для покупок, а также использовать страховые программы, чтобы в случае доказанного факта мошенничества иметь возможность компенсировать полученный ущерб», – говорит Татьяна Ходеева, руководитель управления страхования имущества физлиц «АльфаСтрахование».

Банк ВТБ

Мошенники предлагают застраховать или отремонтировать смартфон клиента

Банк сообщает о новой схеме мошенничества, когда злоумышленники предлагают продиагностировать работу мобильного устройства и оформить услуги по безопасности – например, отремонтировать или застраховать смартфон. Для продвижения фейковых услуг они создают качественные сайты, которые маскируют под банковские сервисы. На деле установка неизвестных сервисов ведет к потере денег клиентом.

Злоумышленники звонят по телефону банковским клиентам, представляясь службой поддержки банка, и сообщают о появлении новых страховых сервисов для смартфонов, а также предлагаю сразу провести диагностику телефона собеседника. Для этого клиентам присылают ссылку на фейковый веб-сайт, интерфейс которого создается в стиле сайтов российских банков, и предлагают выбрать и подключить услуги по безопасности смартфона. Например, защиту денежных средств от телефонных мошенников, качественный ремонт смартфона с гарантией от сертифицированных сервисов и другое. На сайте можно выбрать не только подходящую для смартфона операционную систему, но и марку производителя. Однако в случае установки такого приложения или подключения услуги клиент рискует потерять контроль над онлайн-банком и своим мобильным устройством, что в конечном итоге приведет к хищению его денег.

«Вопросы безопасности финансовых приложений вызывают особое беспокойство клиентов, поэтому звонки с предложениями «защитить» смартфон от угрозы взлома срабатывают для них как «красная лампочка». Злоумышленники максимально воздействуют на клиента, проявляя излишнюю «обеспокоенность» и «заботу» и направляя ссылки на ресурсы, которые максимально адаптированы под банковские. Это гибридные сценарии, в ходе которых применяется как атака по телефону, так и перевод клиента на фишинговые сайты и приложения. Таким образом происходит воздействие на каждого второго клиента. ВТБ применяет целый комплекс мер для защиты наших пользователей, чтобы быть на шаг впереди мошенников. Среди них: установка определителя номера, который может распознавать звонки в мессенджерах, использование систем фрод-мониторинга для выявления подозрительных операций и другие инструменты. В первую очередь, мы просим наших клиентов сохранять бдительность, критически оценивать любые предложения от неизвестных и незамедлительно обращаться к первоисточнику», – отметил Никита Чугунов, старший вице-президент, руководитель департамента цифрового бизнеса ВТБ. 

Ключевые слова: кибератаки, шифровальщики, фишинг, безопасность финансовых приложений, антивирусное ПО, утечка данных

Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии могут оставлять только зарегистрированные пользователи