Компания Positive Technologies, лидер в области результативной кибербезопасности, на Positive Tech Day в Санкт-Петербурге представила исследование актуальных киберугроз для стран СНГ в 2023 году и первой половине 2024 года1. На долю Беларуси пришлось 7% атак, направленных против членов Содружества: республика замыкает тройку стран — лидеров по количеству кибернападений. Наибольшую угрозу для белорусских компаний представляют кибершпионские группы и сообщества хактивистов.
Жертвами кибератак в Беларуси чаще всего становились госучреждения (22%), промышленные предприятия (14%), финансовые компании (11%) и организации из сферы науки и образования (8%). В 76% случаев киберпреступники использовали вредоносное ПО. Общая статистика по странам СНГ показала, что в атаках на компании злоумышленники в основном применяли шпионское ПО (41%) и программы для удаленного управления (37%). Пользовались популярностью и шифровальщики (22%), причем 88% инцидентов, в которых было задействовано такое ВПО, имели финансовую мотивацию: суммы выкупов, запрашиваемых у скомпрометированных компаний, колебались от нескольких сотен тысяч до нескольких сотен миллионов рублей.
В 2023–2024 годах 18% успешных кибератак против стран Содружества совершили кибершпионские группировки. Для Беларуси острую угрозу представляют сообщества XDSpy, Lazy Koala, Sticky Werewolf. Последняя группировка, например, атакует госучреждения, промышленные предприятия, телекоммуникационные компании, организации из сферы науки и образования с помощью фишинговых рассылок с вредоносными вложениями, замаскированными под заявления, предписания и другие документы. Sticky Werewolf постоянно обновляет свои инструменты: в 2023 году злоумышленники использовали инфостилер MetaStealer, а в 2024 году в их арсенал добавились стилеры Glory и Rhadamanthys.
Не меньшую опасность для организаций республики представляют и хактивисты, на долю которых пришлась четверть (26%) кибератак против организаций СНГ. Так, в конце 2023 года группировка «Киберпартизаны» заявила о взломе сайта белорусского госагентства БелТА и краже 90 ГБ конфиденциальной информации, в том числе личных данных сотрудников. В апреле 2024 года хактивисты сообщили, что атаковали крупнейшего в стране государственного производителя удобрений «Гродно Азот». В своем телеграм-канале злоумышленники утверждали, что могли полностью остановить работу завода.
Второй по популярности метод атак на белорусские компании — социальная инженерия (68%). Злоумышленники по-прежнему активно используют тему уплаты налогов, чтобы выманивать персональные, учетные или банковские данные жертв. Например, в августе 2023 года Министерство по налогам и сборам Республики Беларусь предупреждало граждан о волне атак — злоумышленники звонили жертвам от имени сотрудников ведомства с целью «проверки» паспортных данных.
Для улучшения ситуации в области информационной безопасности на уровне государства необходимо развивать нормативно-правовую базу на национальном, региональном и международном уровнях, а также налаживать тесное сотрудничество между госорганами и бизнесом, создавая центры реагирования на киберинциденты. Специалисты советуют выстраивать взаимодействие в сфере ИБ с другими странами, в том числе обмениваться опытом предотвращения кибератак, проводя региональные киберучения. К числу необходимых мер эксперты также относят обеспечение многоуровневой защиты объектов КИИ и инвестирование в подготовку кадров в области ИБ.
Бизнесу исследователи рекомендуют придерживаться концепции результативной кибербезопасности, которая включает в себя определение недопустимых для компании событий, обучение сотрудников практическим аспектам ИБ и подготовку ИТ-инфраструктуры к отражению кибератак. Для мониторинга киберугроз и оперативного реагирования на них рекомендуется использовать SIEM-системы. Чтобы повысить эффективность защиты и обеспечить более быструю реакцию на атаки, эксперты советуют подключить продукты класса NTA, предназначенные для анализа сетевого трафика, а также EDR-системы, которые обнаруживают киберугрозы на конечных точках. Для выявления атак в промышленной инфраструктуре SIEM-системы можно дополнить специализированными продуктами для анализа трафика АСУ ТП. Кроме того, результативная кибербезопасность подразумевает регулярные проверки эффективности реализованных мер защиты — для этого рекомендуется принимать участие в программах багбаунти.
- В отчете рассматриваются 10 стран — членов СНГ: Азербайджан, Армения, Беларусь, Казахстан, Киргизия, Молдавия, Россия, Таджикистан, Узбекистан и Туркменистан (ассоциированный член).