Positive Technologies
Киберугрозы/инциденты

Актуальные киберугрозы для стран Африки: 2022–2023 год

Актуальные киберугрозы для стран Африки: 2022–2023 год

Содержание

Африка — регион со стремительно развивающейся экономикой. За последние двадцать лет объединенный ВВП региона увеличился более чем в пять раз, с 695,88 млрд долларов в 2002 году до 2,98 трлн долларов в 2022 году. Рост ВВП на 2023 год оценивается на уровне 3–4%, и прогнозируется, что к 2027 году этот показатель превысит 4 трлн долларов. Совокупный рост экономики стран Африки отражает огромный потенциал региона и способствует увеличению спроса на интернет и цифровые услуги.

В то же время развитие цифровой сферы в регионе происходит быстрее, чем внедрение законов и регулирования в области кибербезопасности. Растущая частота и сложность кибератак в африканском регионе ставит под угрозу безопасность критической информационной инфраструктуры и требует незамедлительных действий по усилению защиты. Невозможность противостоять киберугрозам может иметь серьезные последствия для частных лиц, бизнеса и общественно-экономического развития континента. Мы рассмотрим основные вызовы для кибербезопасности африканского региона и возможные пути к построению устойчивой и безопасной цифровой среды.

Резюме

  • Цифровизация Африканского региона происходит быстро, однако отсутствие должных мер по построению кибербезопасности, недостаточная законодательная база в сфере ИБ и низкий уровень киберграмотности среди населения приводят к увеличению числа киберугроз.
  • Низкий уровень готовности Африки к кибератакам в среднем обходится государствам в 10% ВВП.
  • Наибольший интерес злоумышленников вызывают финансовые организации: почти каждая пятая успешная атака на организации (18%) была направлена на эту отрасль. Как правило, злоумышленники преследуют финансовую выгоду. Среди наиболее атакуемых секторов экономики оказались и телекоммуникационные компании (13%). В связи со значительным приростом числа клиентов телекоммуникационных операторов эти организации становятся привлекательными целями как для кражи данных, так и для вымогательства.
  • Шифровальщики остаются одной из самых серьезных угроз в регионе. Одним из основных векторов заражения является компрометация компьютеров, серверов и сетевого оборудования (74%). Это говорит о низкой защищенности компаний: наличии уязвимостей на сетевом периметре, некорректной конфигурации сервисов, доступных извне.
  • Атаки с использованием социальной инженерии, в том числе Business Email Compromise (BEC), — основная киберугроза для организаций и частных лиц. Более половины группировок, проводящих BEC-атаки, находятся в Африке и знакомы с особенностями региона.
  • На теневых форумах активно покупают и продают доступы в сéти крупных компаний Африки: государственных и финансовых учреждений, предприятий в сфере торговли, IT-компаний. Средняя стоимость доступа с привилегиями администратора домена составляет около 300 долл. США., с привилегиями локального администратора — 170 долл. США. На таких форумах также можно найти базы данных сотрудников и клиентов различных компаний.
  • Африканские организации регулярно подвергаются DDoS-атакам. Особенно страдают государственные и финансовые учреждения. Как правило, атаки совершают хактивисты.
  • В регионе действуют организованные преступные группировки, преследующие финансовые мотивы или занимающиеся кибершпионажем. Финансовые проблемы подталкивают молодое поколение к поиску быстрых способов заработка, и их привлекает киберпреступный бизнес, в котором постоянно снижается порог входа.
  • Отсутствие эффективного международного сотрудничества и обмена информацией между африканскими странами затрудняет борьбу с киберпреступностью.
  • Рекомендации для государств по повышению уровня кибербезопасности включают разработку национальных политик и стратегий в области ИБ, законодательное регулирование защиты персональных данных, защиту критической информационной инфраструктуры, создание национальных команд по реагированию на киберинциденты. Кроме того, необходимо укреплять международное сотрудничество в области кибербезопасности.
  • Рекомендации для обеспечения киберустойчивости организаций включают определение недопустимых событий и защиту критически важных активов, мониторинг киберугроз и реагирование на них с помощью современных средств защиты, а также оценку эффективности принятых мер и обучение сотрудников. Инвестирование в развитие киберспециалистов и участие в киберучениях также играют важную роль в повышении уровня кибербезопасности организаций в Африке.

Цифровая трансформация и проблемы кибербезопасности региона

В течение последних лет в Африке наблюдается быстрая цифровизация, особенно в сферах финансовых технологий и электронной коммерции. Свою роль в этом сыграла и пандемия COVID-19, во время которой стало необходимо обеспечить возможность удаленной работы для множества людей. В 2021 году 43% населения Африки — 612 млн человек — имели доступ к интернету.

При этом у Африканского континента огромный потенциал в области технологий, особенно благодаря молодому возрасту его населения: около 60% населения Африки в 2020 году составляли люди моложе 25 лет. Этот фактор также стимулирует рост использования новых технологий. Согласно исследованию 2021 года, проведенному организацией GSMA, к 2025 году количество уникальных абонентов мобильной связи в странах Африки к югу от Сахары достигнет 613 миллионов. А данные по всему региону позволяют предположить, что в 2023 году количество интернет-пользователей превысит 1 миллиард человек. Африканская стратегия цифровой трансформации предусматривает, что к 2030 году каждый житель региона будет иметь возможность стабильного доступа к интернету.

Ключевые секторы экономики, включая финансы, образование, сельское хозяйство, государственное управление, безопасность и производство, активно применяют цифровые технологии и переносят свою деятельность на онлайн-платформы. В стратегии цифровой трансформации для Африки кибербезопасность и защита персональных данных представлены как фундаментальные принципы. Однако фактически повсеместное использование технологий на фоне недостаточного уровня кибербезопасности, непроработанного законодательства в сфере ИБ, низкого уровня осведомленности населения об информационной безопасности создает благоприятные условия для киберпреступников. Многие африканские страны сталкиваются с экономическими ограничениями, что затрудняет выделение достаточных средств на кибербезопасность.

В последние годы зарегистрировано значительное увеличение случаев киберпреступности во всем мире: по нашим данным, общее количество успешных кибератак за последние пять лет выросло более чем в два раза. Рост числа киберинцидентов отмечается в том числе в африканских странах. Во втором квартале 2023 года в Африке наблюдалось самое большое среднее количество кибератак в неделю на одну организацию; по сравнению с тем же периодом 2022 года рост числа атак составил 23%. Кибератаки могут приводить к реализации недопустимых для бизнеса и государства событий: остановке работы предприятий, краже больших сумм денег, утечкам конфиденциальных данных и другим последствиям. Финансовые потери от кибератак значительны: по данным ECA UNECA — United Nations Economic Commission for Africa , в 2022 году низкий уровень готовности Африки к киберугрозам обошелся государствам в среднем в 10% ВВП.

Одной из наиболее серьезных проблем, стоящих перед Африкой, является отсутствие инфраструктуры ИБ. Около 90% африканских предприятий работают без протоколов кибербезопасности, что делает их уязвимыми для киберугроз. При этом эксперты признают необходимость изменения подхода к кибербезопасности в Африке как регионе, в котором происходит цифровая трансформация.

Многие африканские страны до сих пор не разработали законодательство, охватывающее все аспекты информационной безопасности, что мешает эффективно бороться с киберугрозами, затрудняет эффективную реализацию и соблюдение мер кибербезопасности. На текущий момент только 39 из 54 африканских стран внедрили законодательство о кибербезопасности (и две страны находятся в стадии разработки законопроектов) — это составляет 72%, что является самым низким показателем в мире. Всего 14 стран ратифицировали Конвенцию Африканского союза о кибербезопасности и защите персональных данных.

Согласно опросу компании KPMG, около 75% респондентов из африканских организаций сообщили о том, что у них есть стратегии кибербезопасности, которые либо регулярно обновлялись, либо были разработаны в соответствии с профилем угроз организации с измеримыми ключевыми показателями эффективности. При этом 78% руководителей IT-департаментов считают, что их организация не готова отражать кибератаки, несмотря на увеличивающиеся инвестиции в безопасность. Еще одна проблема — острая нехватка специалистов по кибербезопасности. По оценкам на 2020 год, недостаток сертифицированных специалистов составлял как минимум 100 000 человек.

С увеличением доступности интернета можно ожидать и роста активности международных организованных киберпреступных сетей в регионе. Кроме того, из-за высокого уровня безработицы молодежь присоединяется к уже существующим группировкам с целью быстрого заработка. Недостаток киберграмотности среди населения, недостаточные меры по противодействию атакам в организациях, плохо налаженное взаимодействие между правоохранительными органами государств делают более цифровизованные страны континента удачной мишенью для злоумышленников.

Жертвы и последствия атак

Основные цели злоумышленников

В период с начала 2022 года до окончания первого полугодия 2023-го среди отраслей экономики наиболее атакуемыми оказались компании финансового сектора (18% от числа всех атак на организации), телекоммуникационные компании (13%), государственные учреждения (12%), а также торговые (12%) и промышленные (10%) организации.

Рисунок 1. Категории жертв среди организаций

15% успешных атак были направлены на частных лиц

Кибератакам В исследовании мы учитываем только успешные кибератаки (инциденты), которые привели к негативным последствиям для компании или частного лица со стороны злоумышленников подвергались такие крупные компании, как Flutterwave, TransUnion и штаб-квартира Porsche в Южной Африке, Eskom и электроэнергетическая компания Ганы. Преступники также атаковали значимые государственные структуры: Банк Замбии, несколько министерств Уганды, госучреждения Эфиопии и Сенегала.

Целенаправленный характер имели 68% успешных атак: в них злоумышленники были нацелены на конкретную организацию, частное лицо или отрасль.

Последствия атак влияют на целые регионы

Чаще всего атаки злоумышленников были направлены на получение конфиденциальной информации: с этим столкнулись 38% компаний. Вследствие действий преступников также возникали перебои в работе организаций: так, в каждой третьей успешной атаке основная деятельность компаний была нарушена (35%). К прямым финансовым потерям привели 7% инцидентов.

Рисунок 2. Последствия атак (доля успешных атак)

Последствия успешных атак могут быть очень разными. Масштаб их влияния может варьироваться от ущерба для одного человека до воздействия на функционирование целой отрасли экономики или всего региона. События, наступление которых катастрофически скажется на судьбе организации, могут быть сформулированы для каждой организации. Например, для банков это могут быть кража средств в крупном размере или мошенничество в адрес пользователей. Для промышленных предприятий — нарушение технологических процессов, которые влечет серьезные последствия.

Недопустимое событие — событие, возникающее в результате кибератаки и делающее невозможным достижение операционных и стратегических целей организации или приводящее к длительному нарушению ее основной деятельности.

Финансовый сектор

Больше всего злоумышленников привлекает финансовый сектор: на него было направлено 18% от общего числа атак на организации. Прежде всего преступников интересует финансовая выгода; кроме того, инфраструктура таких компаний характеризуется невысокой защищенностью. В финансовых организациях хранятся большие объемы информации о клиентах, включая платежные данные. Это позволяет злоумышленникам использовать украденную информацию для дальнейших атак на пользователей.

Об одной из крупных кампаний, нацеленных на финансовые организации, эксперты сообщили осенью 2022 года. В период с 2018 по 2022 год группировка OPERA1ER OPERA1ER (также известная как DESKTOP-GROUP, Common Raven, NXSMS, Bluebottle) — действующая с 2016 года франкоязычная финансово мотивированная группировка. В атаках чаще всего целится на платежные шлюзы и международную межбанковскую систему SWIFT. В числе жертв организации более десяти стран Африки, среди которых Кот-д’Ивуар, Нигерия, Сенегал, Уганда. Злоумышленники проводят кибератаки с помощью целевого фишинга и различных типов ВПО (как правило, с открытым исходным кодом). осуществила более 35 успешных атак и похитила не менее 11 млн долларов у банков и поставщиков телекоммуникационных услуг в нескольких странах, и чаще всего жертвами становились банки Африки. Суммарный ущерб от атак злоумышленников оценивается в 30 млн долларов. Как правило, злоумышленники нацеливались на компрометацию учетных записей операторов, имеющих доступ к крупным денежным суммам, и затем использовали украденные учетные данные для перевода средств.

О другом случае стало известно этим летом: были задержаны участники одного из мошеннических синдикатов, который взломал более тысячи банковских счетов в Нигерии. Преступники признались, что они используют специальное ПО для взлома счетов клиентов и незаметного перевода денег из любого банка. Эта атака обращает внимание на следующее: банкам и другим финансовым учреждениям необходимо обеспечивать защищенность инфраструктуры, а также устранять уязвимости в бизнес-процессах и используемом ПО, чтобы защитить как саму организацию, так и своих клиентов.

Руководители финансового сектора признают серьезность киберугроз. Согласно недавнему опросу Africa Financial Industry Barometer, кибербезопасность занимает первое место среди факторов риска в секторе финансовых услуг уже второй год подряд. Около 97% руководителей крупных финансовых учреждений в Африке считают киберпреступность значительной угрозой наряду с непростыми макроэкономическими условиями, политической и социальной нестабильностью. Распространенность кибератак и их увеличивающаяся сложность выдвигают кибербезопасность на первое место среди приоритетов финансовых учреждений. Именно финансовые организации являются крупнейшими работодателями для специалистов по ИБ в регионе, и только 24% организаций считают, что у них достаточно ресурсов для противодействия атакам.

Телекоммуникации

Телекоммуникации занимают второе место среди наиболее привлекательных для киберпреступников отраслей. И этому есть объяснение: значительный прирост клиентов телекоммуникационных компаний по всему континенту позволяет воздействовать как на отдельную компанию, так и на целые регионы. В связи с ростом числа клиентов у телекоммуникационных операторов увеличиваются и объемы информации о пользователях: персональные и платежные данные, сведения о подключениях. Злоумышленники атакуют организации, чтобы нарушить деятельность компании и потребовать выкуп за восстановление систем, а также с целью кражи данных о пользователях.

В феврале 2023 года преступники атаковали интернет-провайдера RSAWEB. Они зашифровали данные компании и потребовали выкуп за их расшифровку. Атака вызвала значительный сбой в работе RSAWEB, и некоторые клиенты не могли получить доступ к интернету в течение нескольких дней. Эксперты предполагают, что компания подверглась широкомасштабной атаке на программное обеспечение VMware ESXi: ранее агентства кибербезопасности по всему миру публиковали уведомления о том, что злоумышленники активно атакуют серверы VMware ESXi, на которых еще не были установлены обновления безопасности. Предположительно в атаках эксплуатировалась уязвимость CVE-2021-21974.

Компаниям необходимо принимать меры, чтобы предотвратить эксплуатацию уязвимостей и реализацию недопустимых событий. Для этого мы рекомендуем обратить внимание на процесс управления уязвимостями в организации. Это поможет своевременно выявлять слабые места важных активов, а также устранять трендовые уязвимости до их эксплуатации и наступления серьезных для компании последствий.

Госучреждения

Государственные структуры традиционно являются излюбленными целями злоумышленников: по нашим данным, в 2022 году на эту отрасль приходилось 17% успешных атак на организации во всем мире. Госучреждения являются значимыми объектами городской инфраструктуры, и потому именно на них чаще всего совершают атаки хактивисты. Кроме того, в системах госучреждений хранятся данные о гражданах.

Весной в результате атаки группировки BlackCat Группировка BlackCat (также известная как ALPHV) распространяет одноименную программу-вымогатель, а также предоставляет ее по программе «шифровальщик как услуга» (RaaS). Среди жертв по всему миру организации следующих секторов: промышленность, торговля, транспорт, страхование, сфера услуг, телекоммуникации, государственные и медицинские учреждения. была парализована внутренняя сеть штаб-квартиры Африканского союза; злоумышленникам удалось распространить ВПО на более чем 200 компьютеров. Этот инцидент произошел спустя десять дней после закрытия ежегодного саммита организации, объединяющей глав государств континента. Если бы преступники атаковали раньше, проведение такого важного для Африканского союза события могло быть сорвано. Для восстановления систем потребовалось вмешательство экспертов Интерпола, Африпола и Африканского банка.

Торговля

В атаках на организации из сферы торговли злоумышленники в основном нацелены на кражу данных о клиентах — персональной, платежной информации. В регионах Африки злоумышленникам удалось украсть конфиденциальную информацию в 86% успешных атак на торговые организации.

В мае прошлого года в результате атаки злоумышленники украли около 3,7 млн записей о клиентах крупного аптечного ритейлера Dis-Chem Pharmacies. Доступ к данным удалось получить путем компрометации стороннего поставщика услуг. В ходе исследования мировых актуальных киберугроз мы регулярно сталкиваемся с новостями об успешных атаках на организации, в которых злоумышленникам удавалось скомпрометировать цепочку поставок или доверенные каналы связи. По нашим данным, в 2022 году такой метод использовался в 4% успешных атак на организации в мире и был наиболее популярен в сфере торговли (8% от числа атак на отрасль). Две трети успешных атак, начавшихся с компрометации доверенной стороны, привели к утечкам конфиденциальной информации, а каждые 4 из 10 случаев — к нарушению основной деятельности организации.

При построении защиты от кибератак важно учитывать не только собственную защищенность, но и защищенность своих партнеров, поставщиков, подрядчиков. Мы рекомендуем предъявлять к контрагентам не меньшие требования к обеспечению ИБ, чем к свой инфраструктуре.

Промышленность

Возможность атаковать промышленный сектор привлекает киберпреступников значимостью технологических процессов, а также масштабами влияния — как на отдельную компанию, так и на целую отрасль, регионы и страны. Высокая технологичность и использование различных цифровых сервисов и ПО на производстве повышают шансы злоумышленника найти способ проникнуть внутрь компании и совершить недопустимое для организации событие.

Осенью 2022 года в результате атаки на электроэнергетическую компанию Ганы ее клиенты не могли покупать электроэнергию. У части жителей было отключено электричество в течение нескольких дней из-за отказа некоторых систем.

Успешные атаки злоумышленников могут вызвать отключение электроэнергии в целых странах. Так, ранее в 2021 году атака на поставщика электроэнергии Ghana Grid Company (GRIDCo) в Западной Африке привела к тому, что жители Ганы на пять дней остались без электричества.

Кто и как атакует Африканский регион

Объекты и методы атак

В атаках на организации злоумышленники чаще всего атакуют компьютеры, серверы и сетевое оборудование (85%). Веб-ресурсы становились целями в 15% атак: как правило, в этих случаях чаще всего преступникам удавалось успешно провести атаки типа DDoS.

Рисунок 3. Объекты атак (доля успешных атак)

В каждых четырех из пяти успешных атак на организации злоумышленники использовали ВПО. В каждом втором инциденте (52%) применялась социальная инженерия. В 37% успешных атак эксплуатировались уязвимости, а в каждой десятой злоумышленники смогли получить доступ к ресурсам организации путем компрометации учетных данных.

Рисунок 4. Методы атак (доля успешных атак)

В атаках на частных лиц самым популярным методом остается социальная инженерия (91%), а также использование различных типов ВПО (45%). В 9% успешных атак киберпреступникам удалось скомпрометировать цепочку поставок. Например, обнаруженная исследователями Trend Micro группа злоумышленников Lemon Group с целью мошенничества заразила более 9 млн устройств Android по всему миру, включая жителей африканских стран. Эксперты предполагают, что в этом случае злоумышленникам удалось скомпрометировать цепочку поставок ПО.

Вредоносное ПО

Чаще всего в одной атаке использовалось сразу несколько типов ВПО. Наиболее распространенные — вредоносные инструменты для удаленного управления (54% в атаках на организации), шифровальщики (33%), загрузчики (31%), шпионское ПО (27%).

Рисунок 5. Типы вредоносного ПО (доля успешных атак на организации с использованием ВПО)

В атаках на организации злоумышленники распространяли ВПО преимущественно с помощью электронных писем, содержащих вредоносные вложения. Кроме того, системы были заражены ВПО при компрометации ресурсов организации — например, при эксплуатации уязвимостей на сетевом периметре. На устройства частных лиц ВПО попадало преимущественно через мошеннические сайты, электронную почту, социальные сети.

Рисунок 6. Способы распространения вредоносного ПО в успешных атаках на организации
Рисунок 7. Способы распространения вредоносного ПО в успешных атаках на частных лиц

На популярность использования ВПО в атаках на Африку влияет и то, что вредоносы активно продаются в дарквебе, а в некоторых случаях злоумышленники даже предоставляют их бесплатно. Так, среди объявлений о продаже был обнаружен шифровальщик Hive. Отметим, что с использованием этого вредоноса в мае прошлого года была произведена атака на Банк Замбии.

Другое ВПО для удаленного управления, известное как Venom RAT, злоумышленники предоставляют во временное пользование от месяца до года. За годовую лицензию преступники запрашивают 1550 долл. США, а использовать вредонос в течение месяца стоит 350 долл. США. Кроме того, на форумах были обнаружены сообщения о бесплатной раздаче репозиториев с исходными кодами различных семейств ВПО. В числе вредоносов был обозначено ВПО для удаленного управления BlackNET. Стоит отметить, что упомянутые вредоносы использовались в атаках группировки OPERA1ER. Первичный доступ злоумышленники обычно получали через фишинговые письма, после чего распространяли широкий спектр вредоносов, включая также NetWire, BitRAT, Agent Tesla, Remcos, Neutrino.

Рисунок 8. Объявление о бесплатной раздаче ссылки на репозиторий с вредоносным ПО

Шифровальщики

Шифровальщики были отмечены в трети атак с использованием ВПО, направленных на организации. Чаще всего жертвами программ-вымогателей становились торговые (25%) и промышленные (19%) компании, а также финансовые организации (13%).

Рисунок 9. Распределение инцидентов с использованием шифровальщиков по отраслям

В качестве способа распространения шифровальщиков лидирует компрометация компьютеров, серверов и сетевого оборудования (74%). Это говорит о низкой защищенности компаний африканского региона — наличии уязвимостей на сетевом периметре и некорректной конфигурации сервисов, доступных извне. Кроме того, операторы шифровальщиков часто пользуются услугами брокеров доступа, скупая информацию о доступах в скомпрометированные компании.

Рисунок 10. Способы распространения шифровальщиков в успешных атаках на организации

Кибершпионаж и утечки данных

В успешных атаках на организации злоумышленники были нацелены на кражу персональных данных (28% украденной информации), коммерческой тайны (26%), учетных данных (23%). Чаще всего украсть конфиденциальную информацию удавалось из финансовых учреждений и организаций из отрасли торговли.

В атаках на частных лиц преимущественно были скомпрометированы учетные (40%) и персональные данные (27%), а также платежная информация (13%).

В ряде атак злоумышленники похищали конфиденциальную информацию в ходе кибершпионажа. Кроме того, они ведут активную деятельность в теневых каналах — выкладывают в дарквебе базы данных сотрудников и клиентов компаний. Архивы содержат такие персональные данные, как имена, адреса проживания, номера телефонов, адреса электронной почты.

Рисунок 11. Типы украденных данных (в успешных атаках на организации)
Рисунок 12. Типы украденных данных (в успешных атаках на частных лиц)

Например, в начале 2023 года злоумышленники выложили в открытый доступ базу данных студентов университета Ахмеда Бен Беллы (Oran 1). В числе данных в открытом доступе содержались адреса электронной почты, имена, номера телефонов, адреса проживания более 50 000 студентов.

Рисунок 13. Публикация базы данных университета Ахмеда Бен Беллы (Oran 1) в Telegram

Помимо бесплатной раздачи баз данных, злоумышленники предлагают данные и на продажу. Полученные сведения используются для мошенничества в адрес пользователей, а также для кибершпионажа. Например, в одном из объявлений злоумышленники предлагают базу данных адресов электронной почты сотрудников Министерства юстиции Нигерии. По мнению киберпреступников, эти сведения можно использовать для фишинговой атаки, распространения ВПО или же с целью шпионажа.

Рисунок 14. Объявление о продаже базы данных электронных адресов сотрудников Министерства юстиции Нигерии

Многоэтапные, тщательно спланированные и организованные кибератаки, направленные на отдельную отрасль или конкретные (как правило крупные) компании, называют advanced persistent threats (APT). Для проведения таких атак киберпреступники объединяются в преступные группы, которые принято называть APT-группировками. Африканский регион регулярно подвергается атакам таких группировок; целью подавляющего большинства из них является шпионаж. Выделим некоторые группировки, активность которых была отмечена в странах Африки:

  • Witchetty. Группа Witchetty, также известная как LookingFrog, TA410, Cicada, APT10, в атаках ориентирована на госучреждения, финансовые организации, промышленные компании, благотворительные организации и представителей дипломатических миссий на территории Ближнего Востока и Африки.
  • Mustang Panda. Группировка Mustang Panda (TA416, RedDelta, BRONZE PRESIDENT) базируется в Китае. Под прицел преступников попадали государственные учреждения и религиозные организации в Африке, Европе, США, а также во Вьетнаме, в Монголии, Мьянме и Пакистане.
  • Daggerfly. Группа Daggerfly, также известная как Evasive Panda или Bronze Highland. Злоумышленники замечены в атаке на телекоммуникационную компанию в Африке и шпионских кампаниях, направленных на представителей международных неправительственных организаций в Китае и Нигерии. Наиболее часто встречающийся в их атаках инструмент — вредоносное ПО для удаленного управления MgBot.
  • Alloy Taurus. Китайская кибершпионская группировка Alloy Taurus (Gallium, Softcell) ориентирована на телекоммуникационные компании, военные и государственные учреждения на территории Афганистана, Австралии, Бельгии, Камбоджи, Малайзии, Мозамбика, Филиппин, России и Вьетнама.
  • MuddyWater. Иранская кибершпионская группировка MuddyWater (другие названия: Earth Vetala, MERCURY, Static Kitten, Seedworm, TEMP.Zagros) существует с 2017 года. Нацелена на госучреждения, в том числе органы местного самоуправления, телекоммуникационные компании, предприятия оборонной промышленности, СМИ, учреждения науки и образования, а также нефтегазовые компании на Ближнем Востоке, в Азии, Африке, Европе и Северной Америке.

DDoS-атаки

Атаки типа DDoS также являются одними из распространенных угроз: в Африке им регулярно подвергаются государственные и финансовые учреждения. Например, в начале мая 2023 года группа злоумышленников Mysterious Team Bangladesh Бангладешская киберпреступная группа Mysterious Team Bangladesh ориентирована на госучреждения и СМИ. Основной мотив злоумышленников — хактивизм. Киберпреступники преимущественно нацелены на веб-ресурсы: проводят DDoS-атаки, а также совершают действия, направленные на дефейс сайтов. произвела ряд DDoS-атак на учреждения Эфиопии. Среди пострадавших оказались госучреждения, предприятие электроэнергетической отрасли, портал правительства, Министерство здравоохранения и частный коммерческий кооперативный банк. Позже группировка успешно атаковала учреждения Сенегала.

В начале февраля группировка Team_insane_pk Киберпреступная группа Team_insane_pk в атаках ориентирована на госучреждения и высокопоставленных граждан в Африке, Австралии, Израиле и Индии. Злоумышленники выбирают жертв исходя из религиозных и политических убеждений. В основном проводят DDoS-атаки и дефейс сайтов. атаковала сайт центральной больницы Мапуту, столицы Мозамбика.

Рисунок 15. Сообщение об атаке

В июне была обнаружена целая DDoS-кампания, нацеленная на финансовые и государственные учреждения Уганды. Среди пострадавших отмечены Банк Уганды, фондовая биржа, парламент, а также несколько министерств.

Социальная инженерия

Атаки с использованием социальной инженерии — одна из основных киберугроз для организаций и частных лиц как в мире в целом, так и в Африканском регионе в частности. Например, в ЮАР в 2022 году 94% организаций подвергались попыткам фишинговых атак. Интерпол также включает социальную инженерию в перечень основных угроз в регионе. Злоумышленники используют разнообразные техники социальной инженерии, автоматизированные инструменты и спам-боты, чтобы максимизировать свои шансы на успех. Вкупе с недостаточной киберграмотностью пользователей уровень риска, связанного с фишинговыми атаками, остается беспрецедентно высоким. Как сообщают исследователи из KnowBe4, по результатам оценки осведомленности сотрудников африканских компаний, каждый третий сотрудник переходит по фишинговой ссылке или выполняет запрос злоумышленника.

По нашим данным, социальная инженерия используется в 52% успешных атак на организации и в 91% атак на частных лиц на африканском континенте. Для организаций самый распространенный способ фишинговой атаки — это рассылка электронных писем с вредоносными ссылками или вложениями. В 29% случаев используются поддельные сайты, имитирующие, например, корпоративные страницы аутентификации, популярные онлайн-банки или платежные системы. Наличие готовых инструментов для фишинга в дарквебе снижает порог входа для атакующих, позволяя даже тем, кто не обладает техническими знаниями, быстро создавать рассылки и мошеннические сайты.

Рисунок 16. Используемые злоумышленниками каналы социальной инженерии

Финансовый сектор чаще всего становится целью фишинговых атак. В 2022 году исследователи Check Point Research обнаружили вредоносную кампанию под названием DangerousSavanna, нацеленную на средние и крупные финансовые организации во франкоязычной Африке и действующую как минимум в течение двух лет. Атакующие отправляли электронные письма с вредоносными вложениями сотрудникам финансовых учреждений в Кот-д’Ивуаре, Марокко, Камеруне, Сенегале и Того. Чтобы письма выглядели правдоподобно, злоумышленники использовали адреса доменов, похожие по написанию на адреса других известных африканских финансовых организаций, например Tunisian Foreign Bank, а в более поздних атаках подменяли электронный адрес отправителя на адрес местной страховой компании.

Частные лица преимущественно становятся жертвами фишинговых атак, посещая мошеннические сайты, либо сталкиваются со злоумышленниками в социальных сетях и мессенджерах.

Business Email Compromise

Еще одна разновидность атак, в которых применяются методы социальной инженерии, — это Business Email Compromise (BEC). Чтобы провести такую атаку, злоумышленники получают доступ к электронному ящику сотрудника организации и используют его в своих целях, как правило для мошенничества, кражи денег или данных. Например, злоумышленник может вмешаться в переписку с компанией-партнером и отправить новые реквизиты для банковского перевода либо от имени руководителя организации отправить письмо бухгалтеру с указанием провести платеж по определенным реквизитам.

Ущерб от BEC-атаки может исчисляться миллионами долларов. Так, по оценкам ФБР, среди компаний США потери в результате таких атак составили 2,7 млрд долларов в 2022 году (что превышает ущерб от атак вымогателей), и с каждым годом эта сумма растет.

В Африканском регионе наблюдается значительный рост числа BEC-атак. Злоумышленники обычно выдают себя за высокопоставленных руководителей, государственных чиновников или деловых партнеров, чтобы обмануть жертв. Атаки затрагивают как малые, так и крупные организации. Во многом опасность BEC-атак связана с тем, что злоумышленники хорошо знакомы с региональной спецификой: более половины BEC-группировок находятся в Африке. По данным исследователей Unit42, одно из самых больших киберпреступных сообществ, которые проводят BEC-атаки, располагается в Нигерии. Бизнес в Африке все чаще становится целью международных групп BEC, и атаки проводятся из разных стран, в основном Нигерии, Ганы и Южной Африки.

Несмотря на то что участников BEC-группировок относительно легко идентифицировать, а передвижение средств можно отследить, из-за множества факторов правоохранительным органам тяжело задержать таких преступников. В числе этих факторов — территориальная распределенность преступных группировок, международный характер кибератак, их несвоевременное обнаружение, а также отсутствие единых механизмов уведомления об инцидентах.

Продажа доступов на теневых форумах

По нашим данным, на теневых форумах злоумышленники активно покупают и продают доступы в сети крупных компаний Африки: государственных и финансовых учреждений, предприятий в сфере торговли, IT-компаний.

Средняя стоимость доступа с привилегиями администратора домена составляет около 300 долл. США. Доступ с привилегиями локального администратора обойдется дешевле: в среднем его можно приобрести за 170 долл. США. Среди всех обнаруженных объявлений самое большое запрашиваемое вознаграждение составило 10 000 долл. США: за эти деньги преступники предлагают передать сведения для подключения к инфраструктуре телекоммуникационной компании в Нигерии.

Рисунок 17. Объявление о продаже доступа в телекоммуникационную компанию Нигерии

Кроме того, на теневых ресурсах злоумышленники активно ищут в Африке дропов — подставных лиц, участвующих в мошеннических схемах для получения теневых доходов. Например, среди объявлений в телеграм-каналах были обнаружены запросы на поиск дропов в Нигерии, Сенегале, Алжире и ЮАР.

Рисунок 18. Объявление о поиске дропов в Африке

Выводы и рекомендации

Африка — крупный регион с неравномерным распределением ресурсов между странами, который по-прежнему сталкивается с многочисленными социально-экономическими проблемами. Однако в последние годы Африка стала быстрорастущим цифровым гигантом благодаря проводимым реформам. Организации строят инфраструктуру и обеспечивают цифровизацию с высокой скоростью, но появление новых технологий открывает и новые возможности для киберпреступников.

Мы предлагаем ряд мер, направленных на повышение кибербезопасности отдельных организаций, отраслей и Африканского региона в целом.

Рекомендации для государств

Принятие национальных политик и стратегий в области информационной безопасности

Необходимо разрабатывать, внедрять и своевременно обновлять национальные политики и стратегии в области кибербезопасности с участием широкого круга заинтересованных сторон. Процесс разработки стратегии должен иметь необходимый бюджет и политическую поддержку для обеспечения эффективной координации и понятного распределения ответственности.

Национальная стратегия ИБ должна включать оценку угроз, содержать четко определенные цели и задачи, направленные на их достижение. В разработку стратегии должны быть вовлечены представители правительственных организаций, бизнеса, сектора кибербезопасности. Проекты стратегии должны проходить через публичное общественное обсуждение.

Эффективность стратегии также зависит от ее регулярного обновления: содержание документа следует регулярно пересматривать, чтобы он соответствовал актуальным угрозам.

Разработка законодательства в области защиты персональных данных

Разработка и внедрение законодательства по защите персональных данных должны обеспечить эффективную борьбу с киберпреступностью, гарантировать защиту персональных данных и сохранение цифровой безопасности граждан и организаций. Законодательство должно способствовать эффективной координации между различными правоохранительными органами и органами безопасности. Кроме того, необходимо установить механизмы международного сотрудничества для более эффективного преследования киберпреступников и обмена информацией о международных киберугрозах.

Защита критической информационной инфраструктуры

Государства должны определить критическую информационную инфраструктуру, атаки на которую могут привести к недопустимым событиям на уровне отраслей и страны. Такой подход позволит эффективно распределять ресурсы для обеспечения защиты наиболее важных систем. В первую очередь необходимо рассмотреть инфраструктуру таких секторов, как государственные предприятия, телекоммуникации, финансы, а также другие отраслей, критически важных для экономики и национальной безопасности, например сельского хозяйства, добывающей промышленности или производства. При этом необходимо учитывать скорость цифровой трансформации в стране и уровень зрелости ИБ.

Безопасность критической информационной инфраструктуры часто связана с внешними зависимостями от поставщиков информационно-коммуникационных технологий. Следует обеспечить защиту сетей электроснабжения, точек доступа к интернету, диверсифицировать поставщиков ключевой технологической инфраструктуры и по возможности поощрять развитие африканских предприятий, способных поставлять, поддерживать и защищать критическую информационную инфраструктуру.

Создание национальных и отраслевых центров по реагированию на киберинциденты

Создание национальных команд по реагированию на киберинциденты (CIRT), которые отвечают за мониторинг угроз и помощь организациям в восстановлении после серьезных кибератак, должно быть первостепенной задачей для любого государства. На момент написания отчета только 26 стран Африки имели национальные CIRT. Странам, в которых такие структуры уже существуют, следует создать отраслевые CIRT и сотрудничать для поддержки создания региональных и континентальных CIRT. Необходимо разработать понятные и прозрачные механизмы по уведомлению о киберинцидентах, происходящих в организациях. Реагирование на киберугрозы должно быть интегрировано в общую стратегию по защите и восстановлению критической национальной инфраструктуры.

Международная кооперация

Необходима поддержка региональных и международных усилий по борьбе с организованной киберпреступностью. Борьба с преступностью в рамках региональных границ в большинстве случаев становится проигрышной. Государства должны принять политику, процедуры и договоренности, позволяющие им собирать цифровые доказательства и обмениваться ими и экстрадировать киберпреступников. Развитие международного сотрудничества и взаимодействия позволит африканским странам быть в курсе последних киберугроз и вносить свой вклад в разработку глобальных норм и политик в области кибербезопасности. Активное участие в этих усилиях позволит африканским правительствам лучше защищать свои страны, граждан и критическую информационную инфраструктуру от киберугроз.

Рекомендации для бизнеса

Определение недопустимых для бизнеса событий и критически важных активов

Для обеспечения киберустойчивости компании в первую очередь необходимо провести анализ основных рисков и составить перечень недопустимых событий, которые могут нанести существенный ущерб ее деятельности. Это шаг позволит определить критически важные активы и сосредоточиться на защите самых ценных ресурсов. Следует разработать стратегию для предотвращения недопустимых событий, включая необходимые меры безопасности и мониторинг сетевой активности с использованием современных средств защиты.

Мониторинг и реагирование на киберугрозы

Системы мониторинга и обнаружения инцидентов необходимы, чтобы своевременно реагировать на потенциальные угрозы и атаки. С этой целью рекомендуется использовать системы класса SIEM, которые собирают и анализируют информацию о событиях безопасности с различных источников в реальном времени. Использование SIEM-систем совместно с решениями XDR, которые обеспечивают централизованное обнаружение угроз и реагирование на них, а также решениями NTA, которые анализируют сетевой трафик, позволяет повысить эффективность защиты, обнаруживать атаки на ранних стадиях и обеспечивать быструю реакцию на угрозы, снижая риски для организации.

Оценка эффективности кибербезопасности

Следует регулярно проводить практическую проверку эффективности принятых мер кибербезопасности, чтобы оценить работоспособность стратегии и средств защиты. Рекомендуется уделять особое внимание верификации недопустимых для организации событий.

Кроме того, стоит рассмотреть участие в программах bug bounty, которые позволяют привлечь внешних исследователей безопасности для поиска новых уязвимостей. Это поможет обнаружить и устранить уязвимости до того, как они будут использованы злоумышленниками.

Обучение сотрудников и развитие специалистов по ИБ

Важно обучать сотрудников вопросам кибербезопасности и проводить тренинги, чтобы повысить осведомленность об актуальных угрозах кибербезопасности и укрепить навыки защиты от социальной инженерии.

Для эффективной борьбы с киберугрозами африканским организациям следует инвестировать в развитие своих специалистов по ИБ. Регулярное обучение и сертификация сотрудников в области кибербезопасности помогут повысить их навыки и знания, а также обеспечат компании экспертную поддержку в предотвращении кибератак и реагировании на них. Одним из наиболее эффективных способов является участие в киберучениях на специализированных площадках, где специалисты по ИБ могут отработать навыки распознавания техник атак и противодействия им.

Об исследовании

Представленный отчет содержит информацию об инцидентах информационной безопасности в Африканском регионе, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников.

По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков, в связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание организаций и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В нашем отчете каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.