Старые методы на новый лад::Журнал СА
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6200
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6909
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4193
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2990
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3797
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3806
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6299
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3152
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3447
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7264
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10631
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12353
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13986
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9112
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7066
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5376
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4604
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3416
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3145
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3393
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3013
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Старые методы на новый лад

Архив номеров / 2023 / Выпуск №12 (253) / Старые методы на новый лад

Рубрика: Безопасность /  Новости инфобеза

 

 

Старые методы на новый лад

Традиционные методы обнаружения угроз уже с трудом поспевают за активно развивающимися тактиками злоумышленников, - пишут эксперты компаний. Поэтому даже в праздники будьте бдительны, чтобы не потерять деньги и репутацию. 

 

 

Компания «Информзащита»


Эксперты предупредили о росте инсайдерских угроз

Сегодня более 50% утечек данных в компаниях случаются по вине внутреннего нарушителя, такие цифры приводят в IZ: SOC «Информзащиты». Средняя стоимость утечки, вызванной инсайдером, в 2023 году достигла 4,90 млн долларов, что на 9,6% выше, чем средняя мировая стоимость утечки данных в 4,45 млн долларов. Для того, чтобы эффективно противостоять внутренним нарушителям, эксперты предлагают организациям включать в свою стратегию информационной безопасности расширенную аналитику.

Как известно, инсайдерские угрозы исходят от пользователей, которые злоупотребляют авторизованным доступом к активам компании. Обычно разделяют два вида таких угроз: преднамеренные и непреднамеренные. Последние могут быть вызваны, например, невнимательностью сотрудника. Преднамеренные угрозы содержат действия, которые наносят вред организации, и инициированы ради личной выгоды или из-за недовольства работника. Вне зависимости от намерения оба вида могут иметь серьезные репутационные и материальные последствия для бизнеса, поэтому их необходимо как можно быстрее обнаруживать и устранять.

Некоторые российские компании уже понимают всю опасность инсайдерских угроз. По оценкам «Информзащиты», в 2023 году рост вложений организаций в киберучения составил около 10-15%.

«Если раньше для проверки защищенности компании прибегали к услугам пентеста, то сейчас формируется тенденция на киберучения сотрудников. – пояснил директор IZ: SOC «Информзащиты» Александр Матвеев. – Причина популярности такого формата – в росте инсайдерских угроз, как намеренных, так и непреднамеренных». 

Однако традиционные методы обнаружения угроз уже с трудом поспевают за активно развивающимися тактиками злоумышленников. Эксперты видят будущее за расширенной аналитикой, основанной на машинном обучении и искусственном интеллекте.

Так, поведенческий анализ изучает данные истории и данные в реальном времени и разрабатывает подробные профили поведения пользователей, чтобы отличать авторизованные действия от подозрительных. Контекстная аналитика, полученная из обширных наборов данных, обеспечивает всестороннее представление о взаимодействии с пользователем для раннего обнаружения аномалий. Инструменты анализа поведения пользователей и сущностей (UEBA) используют различные источники данных для выявления необычного поведения. Кроме того, автоматизация и оркестровка оптимизируют рабочие процессы обнаружения угроз и координацию реагирования, сокращая время расследования.

Использование расширенной аналитики может помочь компаниям в защите своих данных и опережении инсайдерских угроз. Своевременное обнаружение внутренних нарушителей имеет решающее значение для финансовой стабильности, репутации и операционной устойчивости организации.


Ключевая проблема утечки персональных данных – отсутствие интернет-гигиены у работников организации

«Минимизировать утечку данных можно за счет, с одной стороны, просвещения персонала об основных правилах интернет-гигиены, а с другой – разработки и постоянной модернизации систем защиты. Самая главная опасность утечки данных – это даже не сам факт их выхода в Сеть, а удар по имиджу компании. Факт утечки подрывает доверие к компании у инвесторов и клиентов, может приводить к снижению котировок акций и продаж, в среднем колебания этих показателей, в зависимости от объема утечки, могут составлять от 1 до 10–15%, что одновременно приводит к пропорциональному сокращению выручки и прибыли», – считает Михаил Хачатурян, .оцент департамента стратегического и инновационного развития Финансового Университета при Правительстве РФ.

По мнению Кирилла Лубнина, вице-президент по стратегии и развитию агентства «КРОС», «утечка данных, безусловно, негативно влияет на репутацию компаний. В то же время это не меняет радикально поведение потребителей в отношении той или иной компании. Чаще всего в публичном пространстве появляются новости о крупных утечках из компаний-ведущих игроков того или иного рынка. В большинстве своем их клиенты либо не чувствуют критических последствий таких утечек, либо не видят для себя альтернативы этим поставщикам услуг. Компании скорее стремятся наращивать информационную безопасность из соображений конкуренции, и только во вторую очередь – опасаясь за последствия для репутации».

Одним из наиболее эффективных средств защиты персональной информации является маскирование или деперсонализация данных, рассказал генеральный директор DIS Group Павел Лихницкий.

«При использовании этой методики конфиденциальные данные преобразуются таким образом, что их структура и смысл сохраняются, но они перестают быть идентифицируемыми. Это позволяет сохранить конфиденциальность клиентов и соблюдать требования законодательства о защите персональных данных. Следует подчеркнуть, что необходимо сохранять консистентность данных, то есть производить маскирование, согласно сути данных. К примеру, имя не может стать числом, а номер телефона буквенными символами», – сказал он.

Эксперт указал на то, что маскирование данных используется в различных сферах, например в банковском секторе, где клиентские номера счетов или карт преобразуются в случайные символы. Таким образом, даже при доступе к базе данных злоумышленник не сможет распознать конкретные данные и использовать их в своих интересах.



Компания «Лаборатория Касперского»


Обнаружена критическая уязвимость в процессорах Apple

Эксперты Глобального центра исследований и анализа угроз компании обнаружили ранее неизвестную аппаратную функцию в айфонах Apple, критически важную в реализации кампании «Операция Триангуляция». Речь идёт об уязвимости CVE-2023-38606. Это уязвимость в чипе (системе на кристалле), с помощью которой атакующие обходили аппаратную защиту защищённых областей памяти ядра в смартфонах iPhone до версии 16.6. Эксперты представили новые подробности Операции Триангуляция в рамках конгресса Chaos Communication Congress в Гамбурге.

Обнаруженная уязвимость представляет собой не используемую в прошивке аппаратную функцию, которая, скорее всего, предназначалась для тестирования или отладки. После того как жертва получала скрытое сообщение iMessage с zero-click эксплойтом во вложении и после того, как злоумышленники получали возможность исполнять код и повышали привилегии с помощью этого эксплойта, они использовали эту аппаратную функцию для обхода аппаратных средств защиты чипов Apple и манипулирования содержимым защищённых областей памяти. Этот шаг был очень важен для получения полного контроля над устройством. Сейчас Apple устранила эту уязвимость.

Насколько известно «Лаборатории Касперского», функция не была задокументирована. Она не используется в прошивке и её было трудно обнаружить и проанализировать традиционными методами. Поскольку эта функция неиспользуемая, экспертам неизвестно, как злоумышленники догадались о способах её применения.

Эксперты Глобального центра исследований и анализа угроз, которые занимались реверс-инжинирингом, тщательно проанализировали, как в iPhone интегрируются аппаратная и программная части. Особенно они сфокусировались на методе ввода-вывода с отображением памяти (Memory-mapped I/O) – адресах, необходимых для обеспечения взаимодействия между центральным процессором и периферийными устройствами в системе. Неизвестные адреса MMIO, применявшиеся злоумышленниками для обхода аппаратной защиты памяти ядра, не были обнаружены ни в одном из диапазонов, определённых в файле дерева устройств. Это представляло собой серьёзную проблему.

Кроме того, команде пришлось разобрать сложную схему работы системы на кристалле и её взаимодействия с операционной системой iOS, особенно в части управления памятью и механизмов защиты. Этот процесс включал в себя тщательное изучение различных файлов дерева устройств, исходных кодов, образов ядра и прошивок в поисках любых ссылок на эти адреса MMIO.

«Это не рядовая уязвимость. Из-за закрытого характера экосистемы iOS процесс её поиска был сложным и длительным, он требовал всестороннего понимания как аппаратной, так и программной архитектуры. Данная уязвимость доказывает, что даже самые современные аппаратные средства защиты бессильны перед лицом изощрённого злоумышленника, пока существуют аппаратные функции, позволяющие эти средства защиты обойти», – рассказывает Борис Ларин, ведущий исследователь киберугроз в «Лаборатории Касперского».

Операция Триангуляция – это APT-кампания, которой подверглись iOS-устройства. «Лаборатория Касперского» сообщила летом 2023 года.

Для атак использовался сложный метод распространения эксплойтов через сообщения в iMessage с использованием четырёх уязвимостей нулевого дня для устройств iOS до версии 16.2. При этом от пользователей не требовалось никаких действий. В результате злоумышленники получали полный контроль над устройством и пользовательскими данными. После уведомления от «Лаборатории Касперского» компания Apple официально выпустила обновления безопасности, которые устраняли четыре уязвимости нулевого дня, обнаруженные исследователями GReAT (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Они затрагивали большое количество продуктов Apple, среди которых iPhone, iPod, iPad, устройства на macOS, Apple TV и Apple Watch.

Для защиты от целевых атак эксперты «Лаборатории Касперского» рекомендуют компаниям:

  • регулярно обновлять операционную систему, приложения и антивирусное ПО, чтобы вовремя устранять уязвимости;
  • обеспечивать сотрудникам центра управления безопасностью (SOC) доступ к информации об угрозах (TI);
  • повышать квалификацию сотрудников, отвечающих за безопасность, в том числе по новейшим целевым угрозам;
  • использовать EDR-решения для выявления и реагирования на инциденты на уровне конечных устройств.


Какие категории сайтов и приложений наиболее интересны фишерам?

Злоумышленники продолжают использовать названия известных компаний и сервисов для организации фишинговых атак, чтобы выманить личные и платёжные данные пользователей. Так, мошенники создают ресурсы, имитирующие страницы популярных организаций. Больше всего попыток перехода по фишинговым ссылкам, заблокированным решениями «Лаборатории Касперского», было связано со страницами, маскирующимися под мессенджеры (19%). На втором месте оказались почтовые сервисы и веб-порталы (18,5%). Третье и четвёртое места соответственно заняли онлайн-игры (11%) и финансовые организации (10,5%). Доля фишинговых ресурсов, использующих названия онлайн-магазинов, составила 8%.

Злоумышленники могут добавлять в адреса мошеннических сайтов названия известных компаний, чтобы продавать контрафактную продукцию или собирать учётные данные пользователей. Иногда мошенники имитируют профили компаний в социальных сетях и магазинах приложений. В результате таких кибератак риску подвергаются как деньги и информация клиентов, так и репутация самих брендов. В некоторых случаях целевой фишинг совершается для получения доступа к баллам, которые можно обменять на деньги, бонусы, продукты или услуги. Для их использования в некоторых случаях достаточно получить доступ к личному кабинету. Кража бонусных баллов – распространённое явление. Так, в 2023 году каждый десятый респондент (11%) опроса «Лаборатории Касперского» отметил, что либо он сам, либо его близкие или знакомые сталкивались с таким инцидентом.

«Для защиты от мошеннических сайтов с использованием названия бренда мы рекомендуем компаниям применять сервисы, которые позволяют в режиме реального времени получать уведомления о целевом фишинге и поддельных аккаунтах в социальных сетях, а также находить и блокировать подобные аккаунты в социальных сетях и приложения в мобильных маркетплейсах, – комментирует Юлия Новикова, руководитель сервиса Kaspersky Digital Footprint Intelligence.

Для защиты бренда от возможных киберрисков «Лаборатория Касперского» рекомендует следующие меры:

  • Обучайте сотрудников тому, как распознавать фишинговые письма и сайты. Низкий уровень цифровой грамотности может привести к остановке важных бизнес-процессов и утечке данных. Злоумышленники могут завладеть аккаунтами компании в социальных сетях и совершать вредоносные действия от её имени. Это несёт репутационные риски, пострадать могут и клиенты компании, обратившиеся к поддельному аккаунту. Чтобы помочь сотрудникам и клиентам избежать возможных угроз, стоит проводить специальные тренинги по кибербезопасности (для сотрудников) и создавать рассылки с объяснением, как распознавать фишинговую активность (для клиентов).
  • Если вы работаете в финансовой или другой сфере, привлекательной для злоумышленников, обращайте внимание клиентов на повышенный риск мошенничества, просите их быть более внимательными к получаемым письмам и сообщениям от имени вашей компании.
  • Просите клиентов сообщать обо всех подозрительных действиях, совершаемых от имени вашего бренда, присылать скриншоты и другие свидетельства.
  • Обращайте внимание на настройки безопасности корпоративных аккаунтов в социальных сетях, создавайте сложные надёжные пароли для доступа к ним и по возможности пользуйтесь методом двухфакторной аутентификации.


Каждая десятая компания в мире сталкивалась с киберинцидентами из-за теневых ИТ

Компании рискуют столкнуться с киберинцидентами из-за использования сотрудниками теневых ИТ – программ, устройств и других цифровых инструментов, официально не разрешённых для работы. Проблема обострилась на фоне популярности удалённого формата занятости. Согласно исследованию «Лаборатории Касперского», за последние два года 77% компаний в мире пострадали от киберинцидентов, при этом 11% случаев произошло из-за использования неразрешённых в компании цифровых инструментов. Ситуация с теневыми ИТ осложняется тем, что во многих организациях не прописана ответственность для сотрудников за нарушения.

Опасность теневых ИТ. Теневые ИТ – это приложения, устройства, публичные облачные сервисы и другие цифровые инструменты, которые официально не разрешены для работы в компании. Их использование не контролируется ИТ-отделами и ИБ-службами и оно не соответствует политикам безопасности. Это может привести к негативным последствиям для бизнеса. Больше всего от использования теневых ИТ страдает ИТ-отрасль – на неё пришлось 16% связанных с этим киберинцидентов в 2022 и 2023 году. С этой проблемой сталкиваются и объекты критической инфраструктуры, транспортные и логистические компании (по 13%).

Опасность теневых ИТ подтверждает недавний случай с Okta. Сотрудник компании использовал личную учётную запись в Google на рабочем устройстве, в результате чего злоумышленники смогли получить несанкционированный доступ к системе поддержки клиентов. Им удалось перехватить файлы, содержащие токены сеансов, которые в дальнейшем можно использовать для атак. Согласно сообщению Okta, инцидент продолжался 20 дней, он затронул 134 клиента компании.

Как обнаружить. Теневыми ИТ могут быть несанкционированные приложения, установленные на рабочие компьютеры сотрудников, флешки, мобильные телефоны, ноутбуки и другие устройства. Но бывают и менее очевидные варианты. Например, кто-то из сотрудников может использовать старое оборудование, оставшееся после модернизации или реорганизации ИТ-инфраструктуры. Со временем в нём накапливаются уязвимости, с помощью которых злоумышленники смогут проникнуть во внутреннюю систему компании.

Кроме того, ИТ-специалисты часто создают программы, чтобы оптимизировать работу команды, сделать её быстрее и эффективнее, а также решать внутренние проблемы. Однако они не всегда запрашивают разрешение на их использование у службы безопасности, что может привести к серьёзным последствиям.

«Сотрудники, использующие приложения, устройства и облачные сервисы, не одобренные ИТ-отделом, рассуждают так: если у них надёжный разработчик, значит они безопасны. Однако сторонние поставщики применяют так называемую модель “разделённой ответственности”. Она означает, что, нажимая “Я согласен”, пользователь подтверждает, что будет регулярно обновлять ПО и берёт на себя ответственность за инциденты, связанные с его использованием (включая утечку корпоративных данных). Поэтому компании нуждаются в инструментах, которые позволяет контролировать теневые ИТ. В этом могут помочь решения Kaspersky Security для бизнеса и Kaspersky Endpoint Security Cloud, ограничивающие использование нежелательных приложений, веб-сайтов и устройств. Однако ИБ-службы всё равно должны регулярно проверять внутреннюю сеть компании, чтобы избежать подобных инцидентов», – комментирует Алексей Вовк, руководитель управления информационной безопасности «Лаборатории Касперского».

Чтобы снизить риски использования теневых ИТ, эксперты «Лаборатории Касперского» рекомендуют:

  • наладить взаимодействие между бизнес-подразделениями и ИТ-отделом: регулярно обсуждать потребности компании, собирать отзывы об используемых сервисах, чтобы повышать их качество и при необходимости внедрять новые инструменты;
  • регулярно проводить инвентаризацию ИТ-активов и проверять внутреннюю сеть, чтобы вовремя обнаружить появление несанкционированного (или старого) оборудования и сервисов;
  • ограничить доступ ко внутренним системам для сотрудников, работающих с личного компьютера или ноутбука – предоставлять им только самые необходимые инструменты;
  • внедрить систему контроля, которая будет допускать ко внутренней сети только авторизованные устройства;
  • обучать сотрудников основам информационной безопасности;
  • повышать квалификацию ИТ-специалистов;
  • использовать надёжные защитные решения, чтобы снизить риски использования теневых ИТ;
  • ограничить использование сотрудникам сторонних сервисов; по возможности заблокировать доступ к популярным облачным сервисам для обмена информацией.


Телефонные мошенники активно выманивают данные под предлогом продления номера

Осенью 2023 года заметно увеличилось количество отзывов (жалоб) пользователей Kaspersky Who Calls на звонки телефонных мошенников, которые обещают продлить действие SIM-карты. По сравнению с сентябрём, в октябре число таких комментариев увеличилось в три раза, а в ноябре – уже в четыре. Цель злоумышленников – выманить учётные данные абонентов от личного кабинета на сайте оператора связи.

«Схема телефонного мошенничества, которая получает всё большее распространение с лета, выглядит так: человеку звонит злоумышленник, представляется сотрудником телеком-оператора и сообщает, что срок действия SIM-карты или договора на предоставление услуг связи заканчивается. При этом в личном кабинете эта информация якобы не отображается, поэтому уведомление происходит в устной форме. Звонящие пытаются выманить конфиденциальные и учётные данные от личного кабинета абонента, а также одноразовые коды. Если злоумышленники их получат, то попытаются установить переадресацию СМС на нужный им номер или выпустить виртуальный дубликат SIM‑карты (eSIM). Таким образом мошенники смогут добраться до личного кабинета пользователя в других сервисах, в том числе финансовых и информационных», – комментирует Сергей Голованов, главный эксперт «Лаборатории Касперского».

Распространение легенды происходит на фоне общего увеличения объёмов телефонного мошенничества. По данным Kaspersky Who Calls, в ноябре 2023 года почти 19% российских пользователей поступали телефонные звонки с неизвестных номеров с подозрением на мошенничество. В октябре и сентябре этот показатель был на уровне 13%. При этом различные спам-звонки осенью получали 94%[1].

«Мы видим, что легенды злоумышленников постоянно эволюционируют, а сами они не сбавляют обороты. Схемы становятся сложнее, проходят в несколько этапов, используются разные каналы связи. Неизменным остаётся подход мошенников, которые активно применяют социальную инженерию. Чтобы противостоять им, важно сочетать технические и нетехнические методы защиты. К первым относятся специальные решения, которые предупреждают о жалобах, поступающих на тот или иной номер, ко вторым – повышение цифровой грамотности, соблюдение основных правил безопасности. Не сообщайте посторонним пароли от учётных записей, коды из СМС и push-уведомлений. Если разговор с незнакомым человеком вызывает сомнения, завершайте звонок. Не перезванивайте на тот же номер, с которого поступил подозрительный вызов», – комментирует Виталий Воробьёв, старший аналитик Kaspersky Who Calls.



Компания «F.A.С.С.T».


Вымогатели, утечки, фишинг – основные вызовы, с которыми столкнулись компании в России в 2023 году

Открытие года: группа «двойного назначения». По данным аналитиков Лаборатории цифровой криминалистики F.A.С.С.T., за неполные 12 месяцев 2023 года количество атак программ-вымогателей в 2023 году выросло на 160% по сравнению с предыдущим периодом. Жертвами финансово-мотивированных групп в этом году чаще всего становились ритейлеры, производственные, строительные, туристические и страховые компании.

Средняя сумма первоначального выкупа за расшифровку данных по итогам 2023 года достигла 53 млн рублей. А самой «жадной» оказалась группа Comet (ранее Shadow), потребовавшая от зашифрованной компании 321 млн рублей (около $3.5 млн).

Кстати, именно этот преступный синдикат Comet (Shadow) – Twelve стал «открытием года», поскольку продемонстрировал новую тенденцию – появление групп «двойного назначения», которые преследуют как финансовые, так и политические цели.  Если одна часть преступного синдиката вымогателей под именем Comet (Shadow) в ходе атаки похищает конфиденциальные данные, а затем шифрует компанию, требуя выкуп, то Twelve, также предварительно похитив данные, уничтожают ИТ-инфраструктуру организации-жертвы, не выставляя никаких финансовых требований.

В целом, рост количества политически-мотивированных атак с целью шпионажа или кибердиверсий, в которых использовались программы-вымогатели, на российские организации в этом году составил 116%. Чаще всего прогосударственные хакерские группы атаковали организации, связанные с критически важной инфраструктурой, госучреждения, компании оборонно-промышленного комплекса.

Кроме вышеназванного синдиката, который атаковал, в основном, крупные компании для получения выкупа, в атаках на малый и средний бизнес в России в 2023 году были замечены группировки вымогателей DCHelp, Proxima, Blackbit, RCRU64. Самой популярной техникой, используемой для получения первоначального доступа в корпоративные сети, в 2023 году, стала компрометация служб удаленного доступа, в основном RDP и VPN, а также фишинговые рассылки.

Новые подтеки. В 2023 году аналитики Threat Intelligence компании F.A.С.С.T. зафиксировали на андеграундных форумах и в тематических Telegram-каналах появление 246 новых украденных баз данных российских организаций (в 2022 году утечек было чуть больше – 311). Если в 2022 году киберпреступники атаковали всех, даже самые маленькие компании, то в этом году фокус сместился на атаки крупных организаций, от которых киберпреступники могут получить какую-либо выгоду, используя украденные данные.

Также были зафиксированы случаи, когда злоумышленники выдавали «старые» слитые данные за новые крупные утечки для привлечения повышенного внимания.

Как и ранее, большинство похищенных баз данных преступники выкладывали в публичный доступ бесплатно для нанесения наибольшего ущерба компаниям и их клиентам.

Однако часть утечек злоумышленники не публиковали в открытом доступе – продавали или использовали в последующих каскадных атаках на крупных игроков коммерческого и государственного секторов.

Фишинг и вредоносные рассылки. Фишинг оставался в 2023 году одной из основных киберугроз для пользователей и компаний. По данным аналитиков команды мониторинга и реагирования на инциденты информационной безопасности компании, в 2023 году было обнаружено более 29 221 фишинговых домена, из них 17 315 были задействованы в схеме «Мамонт», связанной с оплатой фейковой доставки несуществующих товаров. Для сравнения в прошлом году за аналогичный период было выявлено всего около 20 000 доменов.

При этом в 2023 году исследователи наблюдали массовый «исход» фишинговых сайтов с российских хостинг-провайдеров на серверы в Нидерландах и США: доля мошеннических ресурсов, которые размещались у хостеров в РФ, сократилась с 73% до 41%.

Рассылка фишинговых писем с вредоносными программами на борту остается одним из наиболее распространённых векторов атак. Как отмечают аналитики Центра кибербезопасности F.A.C.C.T., злоумышленники постоянно придумывают новые сценарии, активно используют новостную повестку. Так вредоносные письма рассылались под видом зашифрованного архива с итогами фейкового тендера, поддельных повесток, писем от следователей. Самыми часто встречающимися вредоносными программами в письмах в 2023 году стали шпионская программа Agent Tesla и стилеры FormBookFormgrabber и Loki PWS.

Чтобы эффективно противостоять действиям атакующих и минимизировать ущерб для компании, в начале 2024 года эксперты Threat Intelligence F.A.C.C.T. выпустят итоговый аналитический отчет для руководителей групп кибербезопасности, аналитиков SOC, CERT, специалистов по реагированию на инциденты, Threat Intelligence и Threat Hunting, который послужит практическим руководством для стратегического и тактического планирования проактивной киберзащиты.


Зафиксированы новые атаки Cloud Atlas на российское агропромышленное предприятие и исследовательскую госкомпанию

Cloud Atlas – прогосударственная APT-группа, специализирующаяся на кибершпионаже и краже конфиденциальной информации. По данным исследователей, активна как минимум с 2014 года. Чаще других целями Cloud Atlas становились промышленные предприятия и госкомпании в России, Беларуси, Азербайджане, Турции и Словении.

В качестве основного вектора атаки Cloud Atlas отдает предпочтение точечной почтовой рассылке с вредоносным вложением. В рамках новой кампании злоумышленники использовали адреса, зарегистрированные через популярные почтовые сервисы antonowadebora@yandex.ru и mil.dip@mail.ru и две актуальные темы – поддержку участников СВО и воинский учет.

В первом письме злоумышленники от имени представителей «Московской городской организации Общероссийского профессионального союза работников государственных учреждений» предлагают организовать сбор открыток и поздравлений участникам СВО и членам их семей. Указанные в письме контакты реальные – их можно найти в свободном доступе.

В другой почтовой рассылке злоумышленники представляются «Ассоциацией Учебных Центров» и используют актуальную тему изменений в законодательстве о введении воинского учета и бронировании граждан, пребывающих в запасе.

При открытии пользователем документа от 20.11.2023 из вложения электронного письма происходит загрузка по ссылке удаленного шаблона. Загружаемый по ссылке шаблон является RTF-файлом, содержащим эксплойт уязвимости CVE-2017-11882.

Обе рассылки были перехвачены системой защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR.



Ключевые слова: киберугрозы, фишинг, социальная инженерия, вымогатели, утечки, вредоносные рассылки.

 

 

[1] Данные получены с помощью анонимизированной статистики приложения Kaspersky Who Calls за сентябрь – ноябрь 2023 года.

 

 

 


Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru