Анастасия Башкатова
Транспортная отрасль и связанные с ней цифровые системы тоже часто оказываются в списке жертв киберпреступников.
Фото Романа Пименова/PhotoXPress.ru
Хакеры продолжают атаковать российские предприятия. Теперь под ударом оказываются не только лакомые для мошенников госсектор или финансовая отрасль, но и такие, казалось бы, менее приоритетные для взлома сферы, как здравоохранение, образование и пищевая промышленность. Чаще всего организации сталкиваются с инструментами удаленного доступа: такие вредоносы позволяют злоумышленникам дистанционно управлять атакованной системой, выгружая данные и меняя настройки оборудования.
Российские организации в течение одного квартала сталкиваются с какой-либо киберугрозой в среднем от 19 до 80 раз. Это следует из оценок, сделанных экспертами группы компаний «Солар» по итогам четвертого квартала прошлого года.
Показатель киберуязвимости внушительный: он свидетельствует о неугасающем интересе злоумышленников к целям в различных сферах экономики и указывает на необходимость применения комплексной киберзащиты, пояснили авторы обнародованного отчета.
Этот отчет составлен на основе данных с крупнейшей в России сети сенсоров. Анализ срабатываний сенсоров позволяют выделить индикаторы компрометации, указывающие на деятельность вредоносного программного обеспечения (ПО) конкретного типа в инфраструктуре предприятия.
Чаще всего организации из всех отраслей сталкиваются с инструментами удаленного доступа (RAT). На них приходится примерно четверть – 24% – от всего выявленного вредоносного ПО. «В зависимости от функциональности такие вредоносы позволяют злоумышленнику дистанционно управлять атакованной системой: менять и выгружать данные, делать скриншоты, менять настройки оборудования», – пояснили эксперты «Солар».
Причем, судя по выводам IT-аналитиков, в российской практике уже есть примеры, когда кибервзломщики могли годами оставаться незамеченными в той цифровой инфраструктуре, с которой активно взаимодействуют подрядчики госорганов либо сами госорганы.
Так, в «Солар» еще в прошлом году отчитались об обнаружении уникального вредоносного ПО, получившего название GoblinRAT, с широкой функциональностью для маскировки: вредонос мимикрировал под легальное окружение зараженной системы и умел удалять следы своего присутствия. Он мог шпионить даже в сегментах с ограниченным доступом в интернет.
Самые ранние следы заражения датировались 2020 годом, впервые же намеки на некую подозрительную активность сотрудники зараженной организации зафиксировали только в 2023 году. То есть, как следовало из выводов специалистов по кибербезопасности, около трех лет вредонос скрытно сканировал все внутренние информационные потоки в зараженной системе с крайне сомнительными целями (см. «НГ» от 10.11.24).
Но выявлены и другие популярные виды атак. Еще около 23% срабатываний, зафиксированных авторами отчета, составляли АРТ-атаки: это целевые продолжительные атаки повышенной сложности, совершаемые профессиональными хакерами с целью заполучить секретную или иную полезную информацию.
Кроме того, по 20% выявленного вредоносного ПО приходятся на ботнеты (сети, состоящие из компьютеров обычных пользователей, которые были захвачены хакерами и превращены в «зомби-компьютеры», участвующие без ведома владельцев в дальнейших атаках) и стиллеры – вредоносы, ворующие с устройств логины, пароли, данные банковских карт.
Представители отрасли информационной безопасности (ИБ) назвали еще один распространенный вариант взлома. Это заражение устройства жертвы программой-вымогателем. «Подобный вредонос крадет, затем шифрует конфиденциальные данные, а за их восстановление или неразглашение злоумышленники требуют выкуп. Такие атаки могут обернуться лишением доступа к ценной информации и даже остановкой или потерей бизнеса», – пояснил руководитель компании Kaspersky GReAT Дмитрий Галов.
Авторы отчета составили также топ наиболее зараженных российских отраслей: «Большинство вредоносных срабатываний в конце года было зафиксировано в сетях организаций здравоохранения, госсектора, пищевой промышленности и образования».
Такой список отраслей можно назвать во многом неожиданным, так как чаще всего в сводки с киберфронта попадают отдельные представители госсектора либо финансовой индустрии и транспортной отрасли. А здравоохранение, образование и пищевая промышленность на первый взгляд кажутся менее интересными для киберпреступников, ведь их взлом не сулит какой-то особой финансовой выгоды, да и вряд ли в этих сферах аккумулируется какая-либо секретная информация.
Но все это – только на первый взгляд. Потому что точно так же очевидно, что здравоохранение, образование и пищевая промышленность – это критически важные для общества отрасли, и сбои в их работе чреваты серьезными социальными последствиями, связанными в том числе с реальной угрозой для жизни населения.
Кроме того, как пояснили опрошенные «НГ» эксперты, хоть эти отрасли действительно социально значимы, однако именно они оказываются в списке аутсайдеров с точки зрения их киберзащиты.
«Допустим, та же финансовая отрасль стала не только одной из наиболее атакуемых, но и наиболее защищенных на сегодняшний день отраслей. У банков и других финансовых организаций в большинстве своем достаточно большие бюджеты на IT и ИБ, что позволяет игрокам этой отрасли нанимать высококвалифицированных специалистов и приобретать ИБ-решения ведущих вендоров, – пояснил директор по продуктам компании Servicepipe Михаил Хлебунов. – То же самое относится к крупным госкомпаниям: выше интерес злоумышленников, но и выше защищенность».
«А здравоохранение, образование, пищевую промышленность нельзя назвать высокомаржинальными, и здесь обычно крайне небольшие бюджеты на все, что связано с IT и ИБ», – отметил он.
Обсуждая список наиболее уязвимых сфер, руководитель отдела компании «Телеком биржа» Дина Фомичева уточнила, что в последние несколько лет наблюдается также рост атак на организации малого бизнеса и на региональные органы власти. «Это связано с низким уровнем осведомленности о киберугрозах и недостаточными инвестициями в безопасность и защиту данных, – подтвердила она. – И на подобных объектах часто используются неподходящие или устаревшие средства защиты».
Кроме того, такие организации часто очень подвержены воздейстию методов социальной инженерии и фишинга. Допустим, нередки случаи, когда сотрудники сами открывают пришедшие к ним фишинговые (поддельные) письма и с разными целями, не осознавая последствий, переходят по вредоносным ссылкам, содержащим трояны. Так и происходит затем заражение уже по всей цепочке посредников.
