Виртуальный шторм: как изменились кибератаки на российскую инфраструктуру

Число инцидентов в сфере ИБ выросло на 60%
Валентина Аверьянова
Фото: ИЗВЕСТИЯ/Анна Селина

Настоящая кибервойна развернулась в интернет-пространстве в последние годы. Число атак последовательно увеличивается во всем мире. За минувший год количество инцидентов в сфере информационной безопасности в России выросло более чем на 60%. Фишинговых атак и скам-ссылок стало больше в пять раз. По словам экспертов, чаще всего целью хакеров оказываются сфера производства и государственные информационные ресурсы. «Известия» узнали, как изменился ландшафт киберугроз.

Кого атакуют

Больше всего атак (24%) пришлось на сферу производства, следует из данных «Лаборатории Касперского». На сферу услуг — 16%, на IT-сектор и телеком — 13%. По 10% пришлось на государственные организации и ритейл. Доля атак на энергетический сектор составляет 5% от общего числа. На сельское хозяйство совершили 5% нападений, на финансовый сектор — 4%.

Целями кибератак в 2023 году стали государственные информационные ресурсы, операторы центров обработки данных и телекоммуникационная инфраструктура, указывает генеральный директор ГК «Солар» Игорь Ляпунов.

Фото: Global Look Press/dpa/Annette Riedl

На последнюю, по его словам, за год совершили несколько десятков масштабных атак. В первую очередь под ударом оказались федеральные и региональные провайдеры, в том числе работающие на новых территориях страны. Серьезные кибератаки происходили практически еженедельно.

Основной угрозой для обычных пользователей в 2023 году осталось телефонное мошенничество, отмечает главный эксперт «Лаборатории Касперского» Сергей Голованов. Причем во второй половине года злоумышленники стали активнее использовать мессенджеры.

Кто атакует

Есть два типа хакеров, атакующих российскую инфраструктуру, считает Игорь Ляпунов. Первый — традиционные группировки, целью кибернападений которых является монетизация.

— Здесь нет каких-то революционных изменений. Кибератаки с коммерческой направленностью не исчезли. Сейчас продолжаются вестись атаки на инфраструктуру шифровальщиками с дальнейшим вымогательством за расшифровку, — указывает он.

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Второй тип атак — угрозы, идущие со стороны политически мотивированных группировок или спецслужб иностранных государств.

— В основном это Украина при поддержке Запада. Никто не может сказать точно, кто сидит за клавиатурой, но многие атаки характерные, — поясняет гендиректор «Солар».

Хакеры, нацеленные на государственный, промышленный, военный и политический секторы, не стесняются публично говорить о своих успешных кибератаках, обращает внимание инженер по технической защите информации компании «Криптонит» Эрик Арзуманян. Количество иностранных хакерских группировок за последнее время выросло более чем на 50%. Причем атакуют злоумышленники не только компьютеры, но и мобильные устройства.

— Зарубежные хакеры осуществляют атаки с использованием вредоносных фишинговых сообщений, которые могут содержать настоящий запрос от федерального органа исполнительной власти и не вызвать подозрений, — отмечает эксперт.

Количество групп злоумышленников, атакующих Россию, в минувшем году выросло, подтверждает Сергей Голованов.

Фото: Global Look Press/dpa/Nicolas Armer

— Во многом эта тенденция связана с тем, что группы, чьей целью изначально был исключительно хактевизм, начали атаковать компании в России, чтобы получить финансовую выгоду. Например, техники и тактики хактевистской группы Twelve полностью повторяются у группы Comet, занимающейся вымогательством, — приводит он пример.

По словам Арзуманяна, продолжают действовать и российские хакеры. Схемы, по которым они работают, не слишком отличаются от зарубежных.

— В публичном поле российские хакеры уже успели сильно прогреметь, например, со взломом крупнейшего оператора мобильной связи. Нужно отметить, что русские хакеры, как и русские люди, очень хорошо решают сложные и нетривиальные задачи, которые требуют творческого подхода, — полагает собеседник «Известий».

Как изменился ландшафт

Полноценная кибервойна развернулась в интернет-пространстве в 2022 году, напоминает Игорь Ляпунов. В первые месяцы после начала СВО на российские ресурсы шли огромные волны DDoS-атак.

DDoS-атака (Distributed Denial-of-Service) — один из самых распространенных видов кибератак. Ее цель — довести информационную систему организации-жертвы (например, веб-сайт или базу данных) до состояния, при котором пользователи не могут получить к ней доступ, объясняет эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Бунин.

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

— Финансовые и репутационные потери организации, которая подверглась атаке такого типа, могут быть очень велики, — предупреждает он.

Следующим этапом стали массовые утечки данных. За конец 2022 года и весь 2023 год, по словам Ляпунова, в Сеть утекло более 400 млн записей о российских пользователях.

— В 2023 году количество массовых атак сильно не выросло, но увеличилось число целевых атак, направленных не просто на проникновение, утечки или замедление работы тех или иных сервисов, а на уничтожение атакуемых инфраструктур, — подчеркивает эксперт.

До сих пор постоянно находятся уязвимости в программных обеспечениях и операционных системах, утверждает руководитель направления по анализу безопасности компании «Криптонит» Борис Степанов. Разработчики обновляют свои продукты, чтобы эффективно с ними бороться, однако количество атак с каждым годом в среднем растет на 20%.

Современные киберугрозы становятся всё более изощренными, сложными и дорогими. В одной серьезной атаке может быть задействовано до 60 человек, разрабатывающих софт, проводящих взлом и аналитику, закрепляющихся и уничтожающих инфраструктуру, отмечает Ляпунов.

Фото: Global Look Press/dpa/Lino Mirgeler

— Мы должны понимать, что этим занимаются вовсе не частные коммерческие группировки, которые имеют свои интересы. Это серьезные атаки подготовленных людей, которые оказывают существенное воздействие на страну, — убежден он.

Объем атак

Количество фишинговых атак и скам-ссылок, по данным «Лаборатории Касперского», в 2023 году увеличилось в пять раз. Число вредоносных ссылок выросло в 2,5 раза.

За последний год количество инцидентов в сфере информационной безопасности подскочило более чем на 60%, указывает Игорь Ляпунов. Число фишинговых сайтов, использующихся для мошенничества, выросло на 20%.

Сегодня в даркнете можно обнаружить продающиеся учетные записи и большой объем исходной информации, необходимой злоумышленникам, отмечает глава «Солар». DDoS-атаки при этом никуда не делись и стали мощнее.

По информации Kaspersky DDoS Protection, в ландшафте DDoS-атак происходят количественные и качественные изменения. В период с декабря 2023 по февраль 2024 года число таких инцидентов в России увеличилось почти в шесть раз по сравнению с зимой прошлого года.

Фото: ИЗВЕСТИЯ/Александр Казаков

В последние месяцы, по словам Дмитрия Бунина, DDoS-атаки стали менее мощными с точки зрения пропускной способности и объема трафика, но более массовыми, а их средняя длительность снизилась.

Примечательно, что число кибератак увеличилось не только в РФ, но и по всему миру. Их доля выросла на 18% по сравнению с 2022 годом, сообщает руководитель исследовательской группы Positive Technologies Ирина Зиновкина. Число DDoS-атак в мире при этом увеличилось на 63%, приводит данные StormWall эксперт Борис Степанов.

Этому, по мнению Зиновкиной, способствуют следующие факторы: сложная мировая геополитическая обстановка, массовая эксплуатация уязвимостей нулевого дня в популярном программном обеспечении, а также усложнение и изощренность атак.

— Некоторые атаки привели к реализации недопустимых событий, в первую очередь на объектах критической инфраструктуры. Кроме того, зафиксированы кибернападения с нарушением доступности мобильной связи и банковских услуг, а также инциденты, последствиями которых стали остановка деятельности организаций и даже случаи банкротства, — обращает внимание эксперт.

2024 год, по мнению Игоря Ляпунова, побьет очередные антирекорды по числу кибератак. Такой вывод можно сделать по результатам I квартала.

Фото: Global Look Press/dpa/Marijan Murat

— Злоумышленники становятся всё более изощренными. Каждый раз, когда мы справляемся с очередным уровнем этого киберпротивостояния, хакеры изобретают что-то новое. Эта борьба является ключевым драйвером развития отрасли, — убежден он.

Как отражают атаки

Процесс отражения атаки в целом остается неизменным и строится на конкретной схеме, указывает Эрик Арзуманян. Для этого нужно детектировать (обнаружить) атаку, выяснить успешной ли она оказалась, не допустить ее распространения во внутреннюю сеть, провести расследование инцидента, оценить ущерб и разработать меры по недопущению повтора происшествия.

Наиболее эффективно, по словам Бориса Степанова, отражать кибератаки помогают выстраивание эшелонированной защиты (преодолев один контур безопасности, нарушитель тратит время на следующий), регламент реагирования и проведение практических учений в соответствии с ним, техническая оснащенность и наличие слаженной компетентной команды по информационной безопасности. Исключительные доступы и управленческие полномочия в инфраструктуре при этом должны быть у руководителя службы ИБ.

Выбор технических средств для отражения кибератаки зависит от конкретной организации, уточняет Ирина Зиновкина.

Фото: Global Look Press/CHROMORANGE/Bilderbox

— Среди них могут быть системы антивирусной защиты со встроенной изолированной средой, SIEM-решения, межсетевые экраны уровня приложений, использующиеся в качестве превентивной меры защиты веб-ресурсов, а также системы глубокого анализа сетевого трафика (для обнаружения сложных целевых атак как в реальном времени, так и в сохраненных копиях трафика), — перечисляет эксперт.

Организациям нужно превентивно выстроить все необходимые процессы, связанные с мониторингом и реагированием на инцидент. Важно постоянно проводить проверку защищенности инфраструктуры, подчеркивает Зиновкина.

— Также не стоит забывать о регулярном повышении осведомленности сотрудников организации в части вопросов информационной безопасности, — резюмирует она.