Киберцунами: как 2022 год изменил мир IT-преступлений в России
Крупный геополитический конфликт, возникший в прошлом году, вызвал настоящее киберцунами — выросло число атак, активизировались хакеры и криминал. Главной угрозой для бизнеса стали вымогатели. Как 2022 год изменил сферу IT-преступлений и что ожидается в 2023-м — выясняли «Известия».
Ситуация с киберпреступностью
В прошлом году с кибератаками столкнулись даже те российские компании, которые были уверены, что подобные угрозы к ним никак не относятся, констатирует генеральный директор Group-IB в России и СНГ Валерий Баулин.
— Количество реагирований специалистов Group-IB на такие ИБ-инциденты в первом полугодии 2022 года выросло в четыре раза, — рассказал Баулин. — Наибольшее число пришлось на атаки программ-вымогателей. Они по-прежнему являются киберугрозой номер один, причем не только для международных корпораций, но и российского бизнеса. Так, группа шифровальщиков OldGremlin поставила новый рекорд по сумме требуемого выкупа у российских компаний — 1 млрд рублей.
По мнению эксперта, причиной активности вымогателей стали как рост продаж доступов в инфраструктуру компаний (в 2022 году он вырос более чем в два раза, при том что цена доступа стала вдвое дешевле), так и использование данных стилеров. Это вредоносное ПО, которое похищает логины и пароли к SSO-сервисам и VPN. Киберпреступникам стало проще получить доступ в инфраструктуру компаний — не надо самим отправлять фишинговые письма, взламывать порты и т.д.
Для обычных людей главной угрозой остается телефонное мошенничество, добавляет главный эксперт «Лаборатории Касперского» Сергей Голованов. По данным Kaspersky Who Calls, в III квартале 2022 года с ним сталкивалась почти половина пользователей. Во II квартале этот показатель был на уровне 41%.
Только цифры
По словам Валерия Баулина, прошлый год поставил антирекорд по количеству утечек данных российских компаний, выложенных в публичный доступ на форумах и в профильных Telegram-чатах. Летом система Group-IB Threat Intelligence зафиксировала двукратный рост количества слитых баз данных по сравнению с весной.
— За три летних месяца в сеть попало 140 баз, причем антирекорд был поставлен в августе — 100 утечек. Общее количество строк всех летних сливов, по оценкам экспертов Group-IB, составило 304 млн, — поделился собеседник «Известий».
При этом главной тенденцией года стало изменение мотивации преступников. Если раньше украденные базы данных продавали, то теперь их выкладывают в публичный доступ для того, чтобы нанести репутационный или экономический ущерб бизнесу и клиентам.
— Наиболее ценные базы, например данные клиентов банков, пароли и логины для входа в учетные записи, по-прежнему продают, их цена варьируется в широком диапазоне — от 10 тыс. до нескольких миллионов рублей, — отметил Валерий Баулин. — Продавцы украденных баз, как правило, стараются не афишировать цену и предпочитают договариваться с покупателем в личных сообщениях.
Кроме того, злоумышленники продолжают активно создавать фишинговые сайты. За девять месяцев 2022 года Центр реагирования на инциденты информационной безопасности Group-IB СERT-GIB (24/7) выявил в российском сегменте интернета около 18 тыс. таких сайтов, что на 15% больше, чем годом ранее. Эксперты связывают это с масштабированием мошеннической схемы «Мамонт» — с доставкой, фейковыми магазинами и свиданиями.
Самые популярные схемы
По данным Group-IB, самыми популярными мошенническими схемами в 2022 году оказались «Мамонт» и связанный с ним Fakedate (приглашение на лжесвидание с покупкой фейковых билетов). Также преступники часто (и весьма успешно) обманывали людей, арендующих жилье в разных регионах страны.
— При этом многие мошенники вышли за пределы России, активно локализовали свои схемы в странах СНГ и Европы и провели техническое перевооружение — теперь они генерируют поддельные сайты и объявления через чат-боты в Telegram, там же ведут коммуникации и теневую бухгалтерию, — рассказал Валерий Баулин. — Как итог — сильно упал порог входа для новичков-воркеров и увеличилось количество преступных групп. На пике схемы мы насчитали более 1,1 тыс. преступных групп и сотни тысяч фейковых сайтов.
Значительно выросла индустрия криптоскама (Fake Crypto Giveaway). Group-IB зафиксировала в первом полугодии 2022 года пятикратное увеличение числа доменных имен для криптоафер через фейковые стримы на YouTube-каналах от имени Илона Маска, программиста Виталика Бутерина и президента Сальвадора Найиба Букеле. Почти треть (63%) свежих фейковых доменов была зарегистрирована в России, но практически все ресурсы нацелены на западных криптоинвесторов.
— По данным Group-IB CERT-GIB, за полгода схема серьезно масштабировалась: было создано более 2 тыс. доменных имен для фейковых промосайтов. Такой бурный рост связан с тем, что в феврале 2022 года появились автоматизированные инструменты для запуска мошеннической схемы. В даркнете есть даже предложения разработки всего проекта под ключ, — сообщил Баулин.
В конце года эксперты фиксировали атаки на пользователей Telegram для угона аккаунтов. Схема проста: люди получали сообщение, например с просьбой поддержать ребенка в конкурсе рисунков и проголосовать на специальной странице. Сообщения рассылались по адресным книгам взломанных аккаунтов и пабликам, где состояли их владельцы. С новыми украденными учетными записями схема повторялась. По такому же принципу действовала афера с «подарком» — подпиской на Telegram Premium.
Что касается телефонного мошенничества, преступники постоянно меняли схемы, подстраиваясь под актуальную новостную повестку. Весной они вернулись к уже опробованной легенде со звонками от якобы правоохранительных органов. Пик жалоб на нее приходится на ноябрь, а в декабре число звонков начало снижаться, отметил главный эксперт «Лаборатории Касперского» Сергей Голованов.
Прогнозы на 2023 год
По словам Голованова, борьба с телефонным мошенничеством продолжится и в следующем году. Скорее всего, злоумышленники будут искать новые способы, чтобы выманить данные и деньги пользователей. Поэтому сейчас очень важно приучать людей (особенно старшего возраста) быть бдительными и критически относиться к крайне щедрым или пугающим сообщениям.
Главной угрозой для бизнеса, по мнению Валерия Баулина, в 2023 году останутся вымогатели. Рынок доступов к корпоративным сетям продолжит расти, для взлома компаний всё чаще будут применяться стилеры или целевой фишинг.
— Вероятно, увеличится количество скомпрометированных баз данных. При этом их ценность будет падать — большинство публикуется бесплатно, — считает специалист. — Также может вырасти число атак на объекты критической инфраструктуры — энергетической, телекоммуникационной и промышленной.
По ело словам, с технологической точки зрения будут востребованы «тяжелые» флагманские продукты для проактивного поиска и защиты от сложных и неизвестных киберугроз. Одновременно в регионах вырастет спрос на «легковесные» и быстрые облачные решения для небольших бюджетов компаний.
— В целом в следующем году всю сферу информационной безопасности ждет еще больше работы. За несколько месяцев 2022 года на фоне ухода иностранных вендоров и роста кибератак российский бизнес перешел от «бумажной безопасности», необходимой для соответствия различным регламентам, к реальной, практической. И эта тенденция только продолжится, — заключил Баулин.
