Российские КИИ подверглись усиленным атакам

Об этом сообщает Научно-технический центр Главного радиочастотного центра (НТЦ ФГУП "ГРЧЦ"). Эксперты использовали открытые источники, а также отчеты Group-IB, Positive Technologies, "Лаборатории Касперского" и других крупных компаний, специализирующихся на кибербезопасности. Каждая третья атака в I квартале 2021 года происходила с участием операторов программ-вымогателей, согласно данным Positive Technologies. По итогам 2020 года первое место в топе часто атакуемых отраслей занимали медучреждения. В I квартале этого года антилидерами стали промышленность и организации в сфере науки и образования. Суммарная доля их инцидентов составляет 30% всех атак с участием шифровальщиков. Еще 28% атак были направлены на государственные и медицинские учреждения. По оценкам Всемирного экономического форума, в прошлом году потери мировой экономики от кибератак составили 2,5 трлн долл. (180 трлн руб.), прогнозируемый рост в 2022 г. - 8 трлн долл. (600 трлн руб.). В 2020 году по сравнению с предыдущим количество инцидентов увеличилось на 51%, при этом на организации направлено 86% всех атак. Больше всего злоумышленников интересовали государственные и медицинские учреждения, а также промышленные компании. Наибольший интерес для атак представляют персональные данные - 31%, коммерческая тайна - 24%, учетные данные - 23%, медицинские данные - 6%, базы данных клиентов - 6%, информация платежных карт - 6%, переписка - 3%, другая информация - 1%. Руководитель Научно-технического центра ГРЧЦ Александр Федотов отмечает, что с 2019 г. количество кибератак растет очень быстро. И все чаще хакеры нападают именно на критическую инфраструктуру государства. Основываясь на данных исследования, Александр Федотов заявляет, что в отдельных сферах число атак по итогам текущего года может увеличиться в 1,5-3 раза. Вирусы-шифровальщики, безусловно, останутся одним из основных способов проведения кибератаки, хотя бы по той причине, что в настоящее время некоторые группировки продают такое ПО как услугу, отмечает Александр Федотов. Это значительно упростило всю процедуру кибератаки и увеличило потенциальное количество атакующих. 64% всех атак вымогателей, проанализированных в 2020 г., были связаны с операторами, которые используют модель RaaS (вымогательство как услуга). "Однако вирусы-шифровальщики для КИИ не основная угроза. Намного опаснее не тот злоумышленник, который хочет получить выкуп, а тот, который хочет завладеть чувствительной информацией, или, например, вывести из строя систему электроснабжения региона. Сегодня главные тренды хакерских нападений - это значительный рост числа IoT-атак и атак на удаленные рабочие места и возрастающая роль социальной инженерии в совершении таких преступлений. Человеческий фактор - по-прежнему самое уязвимое место в системе информационной безопасности. В 2020 году на фоне ковидных ограничений хакеры все чаще использовали претекстинг, фишинг и другие обманные приемы для доступа в сеть организации", - подчеркивает Александр Федотов. Ведущий менеджер по развитию бизнеса Kaspersky Industrial CyberSecurity Антон Шипулин отмечает, что изменение количества атак зависит от методики подсчета авторов исследования. "Поэтому мы не можем ни подтвердить, ни опровергнуть конкретную цифру. Однако можем сказать: по нашим техническим данным со средств защиты на объектах критической инфраструктуры по всему миру (автор ссылается в том числе на них в своем исследовании), значение количества хостов, на которых детектируется вредоносная активность, остается на высоком уровне. Это говорит, о том, что проблема кардинально не меняется в лучшую сторону уже давно", - подчеркивает Антон Шипулин. Антон Шипулин считает, что разделение на киберпреступников и прогосударственных акторов довольно условно. Стоит принимать во внимание, что многие техники атак используются как криминальными структурами, так и государственными подразделениями. Поэтому с точки зрения защиты более важно не то, к какой категории относится источник проблемы, а то, какие техники более опасны и как их обнаружить как можно раньше и предотвратить. "Киберпространство стало новым "театром военных действий" и новым пространством, где практически безнаказанно можно вести коммерчески успешную криминальную деятельность. Поэтому правительства стран будут продолжать вести разведывательную деятельность и получать незаметный контроль над ресурсами геополитических соперников, эксплуатируя информационные технологии. А криминал будет продолжать зарабатывать деньги доступными злоумышленникам способами. Это то, в чем я уверен на 100%", - отмечает Антон Шипулин. Объекты КИИ будут привлекать больше внимания криминала и правительственных подразделений из-за того, что они имеют важное значение для их владельцев и правительств, а также из-за их относительной доступности, подчеркивает Антон Шипулин. Руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева отмечает, что по данным Positive Technologies в топ-3 атакуемых отраслей в первом квартале 2021 г. входят госучреждения, промышленные компании и организации из сферы науки и образования. "После атаки на Colonial Pipeline преступные группировки, распространяющие шифровальщиков, оказались под особым вниманием спецслужб, некоторые криминальные форумы закрыли рекламу, связанную с шифровальщиками, а отдельные группировки временно приостановили свою деятельность. Однако мы предполагаем, что в ближайшем будущем активность шифровальщиков существенно не стихнет, они будут действовать осмотрительнее, а суммы запрашиваемых выкупов будут только увеличиваться. Компаниям стоит проверять возможность реализации недопустимых событий, чтобы минимизировать потенциальный ущерб от атак", - подчеркивает Екатерина Килюшева. Екатерина Килюшева пока не видит тенденции к снижению числа атак на КИИ. Например, за первые пять месяцев 2021 г. число атак с использованием программ-вымогателей в отношении промышленных компаний уже составило 69% от общего числа таких атак за весь 2020 г. Для распространения вредоносного ПО злоумышленники активно используют известные уязвимости на сетевом периметре, кроме того, доступы в сети промышленных компаний продаются на теневых форумах, чем также пользуются кибергруппировки. Ведущий системный инженер Varonis Александр Ветколь отмечает, что произойти может что угодно, особенно при появлении новых системных уязвимостей, которыми может воспользоваться любая учетная запись. "На ближайшую перспективу изменений в ландшафте не предвидится, поскольку первичные стадии атак слишком легко доходят до конечного результата, чтобы считать, что атака – это именно проникновение и банальный сбор информации, как, например, это было ранее. Но следует помнить, что до шифровальщика как такового, в активной стадии, при грамотном плане атаки может появиться и спектр APT, и средства проникновения в сегмент, где хранятся резервные копии (чтобы зашифровать и их), и т.д", - подчеркивает Александр Ветколь. В ближайшем будущем в области атак на КИИ будут наблюдаться все те же тенденции, что были ранее, считает Александр Ветколь. Это отказ в обслуживании и вызов техногенных катастроф, если говорить только о той части, что является КИИ. Новое в отношении КИИ – вброс дезинформации на "доверенные" новостные порталы, в прессу и на телевидение через взлом новостных потоков крупных информагентств или напрямую; внесение хаоса и создание финансовых потерь вследствие изменения расписаний для пассажиров (но не для транспорта), и т.д Ссылка на источник