Кибервойна без конца

Компания AtlasVPN обнародовала результаты исследования, посвященного активности организаторов кибератак. Как оказалось, целями почти 90% атак являются компании и учреждения России и Украины. На Россию приходится около 70%, на Украину – около 19%. Для сравнения, доля США, которые заняли третье место, составила 5%. Главным инструментом злоумышленников остается DDoS. На данный вид атак приходится 90% всех эпизодов. Авторы исследования связывают это с активностью группировок, которые объявили о поддержке разных сторон конфликта, в частности, Anonymous (см. новость ComNews от 2 марта 2022 г.). . Директор Экспертного центра Positive Technologies Алексей Новиков считает данную ситуацию закономерной: "Такого рода атаку легче всего организовать, и она не требует особой экспертизы со стороны атакующего. В определенных телеграмм-каналах сейчас массово призывают к DDoS-атакам на различные российские ресурсы, распространяют готовые скрипты, инструментарий и подробное описания того, как эти DDoS-атаки реализовать, координируют действия участников таких атак". Руководитель направлений WAF и Anti-DDoS компании "Ростелеком-Солар" Егор Валов также отмечает существенный рост количества и интенсивности DDoS-атак: "С начала марта отмечен значительный рост DDoS-атак в коммерческом сегменте и лидируют здесь банки, где число таких атак выросло более чем в три раза по сравнению с февралем. Однако ключевой целью злоумышленников по-прежнему остаются ресурсы госвласти, которые атакуются практически непрерывно. При этом мощность такого DDoS в 2-3 раза превышает среднестатистические показатели предыдущих месяцев". Основатель и генеральный директор Qrator Labs Александр Лямин согласен с тем, что Россия и Украина действительно лидируют по количеству DDoS-атак. Однако, по его оценке, помимо финансового сектора, активно атакуют также СМИ, государственные, логистические сервисы. Сейчас идут полноценные киберстолкновения. В пресс-службе Group-IB при этом обращают внимание на то, что что под прикрытием Anonymous (или других групп хактивистов с использованием их потенциала) могут действовать другие — более серьезные группировки, в том числе прогосударственные хакерские группы (State-Sponsored), нацеленные на объекты критической инфраструктуры. Генеральный директор "БСС Безопасность" Виктор Гулевич прокомментировал ситуацию с DDoS в России с некоторой осторожностью: "Мне сложно сказать, насколько корректны данные, о том, что на долю России приходится 70% от мирового объема DDoS-атак. Но точно могу сказать, что в последнее время мы фиксируем существенное увеличение количества DDoS-атак на российскую инфраструктуру. По нашим оценкам рост составляет более чем в два раза". Также, по его оценкам, целью атакующих являются не только финансовые компании, но также СМИ и госучреждения. И ситуация, по мнению руководителя "БСС Безопасность", имеет явную тенденцию к ухудшению: "Мы ожидаем увеличение частоты и количества атак вследствие распространения устройств IoT (Internet of Things - интернет вещей), которые, ввиду своей слабой защищенности или ее полного отсутствия, могут быть использованы для создания масштабного ботнета". Александр Лямин также обращает внимание и на то, что DDoS-атаки часто идут в паре с попытками взлома, некоторые из которых вполне успешны. Алексей Новиков рекомендует предпринять следующие действия: "Во-первых, необходимо проверить защищенность компании и ее систем, во-вторых, оперативно провести ретроспективное расследование на предмет "старых" взломов, в-третьих — заменить ключевые средства защиты на конкурентоспособные отечественные (особенно это касается периметровых средств защиты и систем центров мониторинга информационной безопасности)". Виктор Гулевич советует использовать сервисы с новыми функциями, которые отсутствуют в традиционных продуктах: "Сервисы нового поколения используют методы машинного обучения, постоянно обновляющиеся алгоритмы анализа и фильтрации трафика для того, чтобы противостоять самым последним угрозам, появляющимся в глобальной сети. Ключевым преимуществом данной услуги является то, что сервисы основаны на собственной распределенной сети фильтрации, покрывающей США, Западную Европу, СНГ и Юго-Восточную Азию. Поэтому атаки, нацеленные на веб-ресурсы одного клиента, не повлияют на производительность других защищаемых сервисов". "Также будет правильным перевести обновление всего зарубежного ПО в ручной режим, отключить встроенные технологические учетные записи в ПО; создать резервные копии всех данных, особенно из облачных систем; усилить защиту и мониторинг критичных компонентов ИТ-инфраструктуры; проверить весь сетевой периметр (веб-ресурсы и сетевые сервисы), остановить неиспользуемые сервисы и включить их усиленную защиту (Anti-DDoS, Captcha, Web Application Firewall), взять под усиленный контроль все сетевые соединения (подключения за рубеж, работа с контрагентами, доступ к внешним ресурсам, не являющимся производственной необходимостью) и отсекать те, которые могут представлять опасность; уведомлять сотрудников об угрозах информационной безопасности, в первую очередь ориентироваться на антифишинг; принудительно сменить пароли всех учетных записей с соблюдением правил по созданию устойчивых к взлому паролей", ­- рекомендует Алексей Новиков. И, к сожалению, как напоминает Виктор Гулевич, ситуация имеет склонность к дальнейшему разрастанию ландшафта угроз: "Количество атак за первый квартал 2022 года увеличилось кратно, и при этом согласно отчету Veeam Data Protection Trends Report 2022 89% организаций не справляется с обеспечением защиты своих данных и своей инфраструктуры. Самыми частыми причинами последних взломов являются уязвимости в счетчиках/скриптах/плагинах (для статистики, рекламы, обратной связи и тп), а также уязвимости непосредственно в бизнес-критическом программном обеспечении". При этом, как напоминает Алексей Новиков, инструментарий у злоумышленников, как в погонах, так и без, в целом стандартный: "Злоумышленники используют все те же техники и тактики, о которых мы говорили всегда: DDoS, различные переборы паролей и попытки использовать устаревшие учетные записи из публичных утечек, фишинг и социальная инженерия (всевозможные письма с вредоносным содержимым), уязвимости на периметре. Все это злоумышленники используют, пытаясь проникнуть в различные организации". Однако Александр Лямин считает, что острейшая фаза уже пройдена, и дальше ситуация будет развиваться в обычном режиме. Егор Валов уверен, что пик еще впереди: "Скорее всего, рост DDoS-атак в конечном итоге достигнет своего максимума и будет какое-то время сохранятся на одном уровне, далее вероятно произойдет разворот в сторону увеличения атак таргетированного характера с целью взлома и проникновения внутрь информационных систем". Ссылка на источник