Positive Technologies
Новости

Исследование Positive Technologies: Казахстан на втором месте по числу кибератак на страны СНГ

Компания Positive Technologies, лидер в области результативной кибербезопасности, на Positive Tech Day в Санкт-Петербурге представила исследование актуальных киберугроз для стран СНГ в 2023 году и первой половине 2024 года1. Республика Казахстан с долей в 8% оказалась на втором месте по количеству кибератак. Чаще всего злоумышленники атаковали СМИ (19%). Две трети всех кибератак (65%) были связаны с использованием вредоносного ПО. Более трети (35%) приводили к утечке конфиденциальной информации.

Высокий интерес киберпреступников к Казахстану подтверждается большим количеством объявлений (28%) в дарквебе2, связанных с этой страной: республика занимает третье место по числу упоминаний среди других членов Содружества. При этом для Казахстана наиболее актуальны объявления о продаже фальшивых документов (48%) и обналичивание денег (38%). Цены на первые варьируются от 7 до 2700 долларов США.

В числе популярных целей киберпреступников, помимо СМИ, — госучреждения (12%), финансовые организации (12%) и телекоммуникации (7%). Что касается последних, Казахстан вошел в топ-3 стран СНГ, в которых эта отрасль является одной из самых атакуемых. На серверах телекоммуникационных компаний хранятся и обрабатываются большие объемы данных, поэтому киберпреступники стремятся взломать эти серверы и наладить постоянный доступ к ним, чтобы регулярно выгружать новые сведения. Например, после того как в феврале 2024 года на GitHub были опубликованы конфиденциальные данные китайской компании iSoon, выяснилось, что злоумышленники более двух лет полностью контролировали инфраструктуру казахстанских операторов связи.

В атаках, нацеленных на кражу информации, киберпреступники чаще всего стремились собрать персональные и учетные данные; для этого они использовали специальное вредоносное ПО — инфостилеры RedLine, Vidar, Raccoon и AZORult. Утекшая информация, как правило, применяется в дальнейших атаках, продается или распространяется бесплатно в дарквебе. Цены на базы данных жителей стран СНГ колеблются от 100 до 50 000 долларов США.

Используя ВПО в атаках на организации СНГ, в том числе Казахстана, злоумышленники в 74% случаев доставляли вредоносы на компьютеры жертв через фишинговые письма. Например, в декабре 2023 года была обнаружена рассылка в адрес казахстанского госоргана, нацеленная на заражение трояном SugarGh0st3.

Методы социальной инженерии применялись в 53% всех атак, направленных против Казахстана. Например, в июне 2024 года специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировали фишинговое письмо, направленное сотруднику казахстанской организации. В нем злоумышленники требовали обновить пароль, форма смены которого находилась в HTML-файле, прикрепленном к письму. При вводе нового пароля данные перенаправлялись на легитимный сервис для заполнения разных форм и таким образом попадали к киберпреступникам.

Для улучшения ситуации в области информационной безопасности на уровне государства необходимо развивать нормативно-правовую базу на национальном, региональном и международном уровнях, а также налаживать тесное сотрудничество между госорганами и бизнесом, создавая центры реагирования на киберинциденты. Специалисты советуют выстраивать взаимодействие в области ИБ с другими странами, в том числе обмениваться опытом предотвращения кибератак, проводя киберучения. К числу необходимых мер эксперты также относят обеспечение многоуровневой защиты объектов КИИ и инвестирование в подготовку кадров в сфере ИБ.

Бизнесу специалисты рекомендуют придерживаться концепции результативной кибербезопасности, которая включает в себя определение недопустимых для компании событий, обучение сотрудников практическим аспектам ИБ и подготовку ИТ-инфраструктуры к отражению кибератак. Для мониторинга киберугроз и оперативного реагирования на них рекомендуется использовать SIEM-системы. Для того чтобы повысить эффективность защиты и обеспечить более быструю реакцию на атаки, эксперты советуют подключить продукты класса NTA, предназначенные для анализа сетевого трафика, а также EDR-системы, которые обнаруживают киберугрозы на конечных точках. Для выявления атак в промышленной инфраструктуре SIEM-системы можно дополнить специализированными продуктами для анализа трафика АСУ ТП. Кроме того, результативная кибербезопасность подразумевает регулярные проверки эффективности реализованных мер защиты — для этого рекомендуется принимать участие в программах багбаунти.

  1. В отчете рассматриваются 10 стран — членов СНГ: Азербайджан, Армения, Белоруссия, Казахстан, Киргизия, Молдавия, Россия, Таджикистан, Узбекистан и Туркменистан (ассоциированный член).
  2. Эксперты Positive Technologies проанализировали 431 уникальное объявление на различных теневых форумах и в телеграм-каналах. Учитывались сообщения с упоминанием стран СНГ, опубликованные в 2023 году и первой половине 2024 года.
  3. Вредоносная программа для удаленного доступа, используется кибершпионской группировкой SneakyChef.