Среди киберугроз— увеличение распространения вирусов-шифровальщиков, долгосрочное проникновение в ИТ-инфраструктуру и атаки на цепочки поставок
Роман Сафиуллин, руководитель отдела защиты информации InfoWatch ARMA, рассказывает про киберугрозы для российского бизнеса, которые в последние годы набирают обороты. Среди них — увеличение распространения вирусов-шифровальщиков, долгосрочное проникновение в ИТ-инфраструктуру и атаки на цепочки поставок.
Шифровальщики, двойная монетизация и вайперы
Один из трендов у злоумышленников — тактика «двойной монетизации». Перед тем как привести в действие шифровальщик, они похищают данные компании. Если жертва пытается восстановиться из бэкапов, ее шантажируют публикацией или продажей украденных данных.
Другой тренд — большие языковые модели (LLM). Их используют для написания шифровальщиков буквально в промышленных объемах, обходя достаточно примитивные механизмы защиты моделей. В результате создание вредоносного ПО стало доступно даже низкоквалифицированным злоумышленникам.
Отдельно стоит заметить, что кроме классических программ-вымогателей, набирают силу хактивисты, применяющие вайперы — ПО, которое шифрует данные необратимо, с единственной целью нанести максимальный ущерб, а не получить выкуп.
Для компании-жертвы последствия таких атак всегда негативны. В лучшем случае — это многодневные простои на восстановление из бэкапов и репутационный ущерб от утечки. В худшем — работа предприятия парализуется, если бэкапы тоже оказались зашифрованы. Достаточно вспомнить случай, когда крупный автопроизводитель понес убытки в более чем $250 млн из-за остановки производства.
Почему хакеры остаются незамеченными годами
Иногда Злоумышленники могут иметь доступ к ИТ-инфраструктуре компании в течение нескольких лет и при этом оставаться незамеченными. Хакеры беспрепятственно находились в системе бронирования одной международной сети отелей 4 года, похитив данные полумиллиарда клиентов.
Такое длительное пребывание в инфраструктуре незамеченными можно объяснить множеством вариантов — от невнимательности администраторов сети до внутреннего злоумышленника, однако и хакеры применяют изощренные стратегии. Например, они все реже используют откровенно вредоносное ПО. Вместо этого они применяют легальные инструменты администрирования — PowerShell, Anydesk, RDP. Для недостаточно чуткой системы мониторинга их активность неотличима от работы легитимного сисадмина. Также злоумышленники часто могут использовать так называемые «теневые активы» — забытые серверы, тестовые стенды или устаревшие CRM-системы, с которых можно годами прослушивать трафик.
Угрозы от такого пребывания хакеров в системе колоссальны. Помимо того, что за несколько лет утекут все разработки, переписки, коммерческие тайны и иные чувствительные данные, хакеры способны оставить множество «закладок» в системе, которые могут быть использованы для проведения повторной атаки через какое-то время.
Почему все чаще атакуют через подрядчиков
Тенденция к росту атак на цепочку поставок (Supply Chain) сохранится еще длительное время. Крупные компании выстроили серьезные линии обороны, взламывать которые сложно и дорого. Гораздо проще атаковать маленькую фирму-подрядчика, у которой нет бюджета на кибербезопасность и проникнуть в крупную компанию через доверенный канал связи с этой компанией.
Изменить ситуацию можно только одним путем — через внедрение политики «нулевого доверия» (Zero-Trust). Компании должны перестать слепо доверять подрядчикам и считать их такой же потенциальной угрозой, как и внешних злоумышленников, максимально изолировать их доступ во внутреннюю инфраструктуру. Тут подходит все: и вынесение доступа в демилитаризованную зону (DMZ), и строго ограниченные учетные записи, и многофакторная аутентификация, и дополнительные условия в договорах.