Positive Technologies
Киберугрозы/инциденты

Актуальные киберугрозы для организаций: итоги 2023 года

Актуальные киберугрозы для организаций: итоги 2023 года

Содержание

Ключевые цифры и тренды

Минувший 2023 год ознаменовался увеличением количества успешных атак на организации по всему миру: по сравнению с 2022-м их доля выросла на 18 п. п. Этому поспособствовало множество факторов, среди которых — сложная мировая геополитическая обстановка, массовая эксплуатация уязвимостей нулевого дня в популярном программном обеспечении, а также усложнение и изощренность атак.

Основные тренды:

  • Прошлый год ознаменовался ухудшением мировой геополитической ситуации. Это привело к продолжению влияния политических событий на ландшафт киберугроз, в частности вызвало продолжающийся рост числа атак хактивистов.
  • Злоумышленники продолжили реализовывать недопустимые события, в первую очередь на объектах критической инфраструктуры (КИИ). Кроме того, были атаки, в результате которых нарушалась доступность мобильной связи и банковских услуг, а также инциденты, последствиями которых стали остановка деятельности организаций и даже случаи банкротства.
  • Использование ВПО в качестве метода атаки выросло на 5 п. п. по сравнению с показателями прошлого года. Это объясняется в том числе одним из главных трендов 2023 года — тенденцией массового применения в атаках на организации шпионского ПО: его использование в качестве метода атаки выросло с 12% в 2022 году до 23% в 2023-м.
  • Рост количества атак вымогателей наблюдался во всех рассматриваемых отраслях. Доля шифровальщиков составила 57% от всего используемого ВПО в успешных атаках на организации. В 2023 году вымогательство в киберпространстве прошло путь от требования выкупа за расшифровку данных до шифрования и шантажа публикацией украденных данных (двойного вымогательства).
  • Одним из наиболее знаковых трендов 2023 года стали атаки на системы защищенной передачи данных. Кроме того, до сих пор актуальными остаются уязвимости, которые были обнаружены несколько лет назад.
  • Количество утечек информации из организаций выросло с 47% в 2022 году до 56% в 2023-м. Такой всплеск объясняется в том числе участившимися атаками на системы защищенной передачи данных. Стоит отметить, что выросла доля утечек именно персональных данных.
  • Социальная инженерия остается одним из главных методов атак на организации и в 2023 году использовалась злоумышленниками практически в половине успешных атак (45%). Кроме того, 2023 год охарактеризовался эволюцией методов социальной инженерии: усложнением техник и использованием нейросетей.
  • Государственные учреждения — по-прежнему лидеры по числу инцидентов. Среди всех реализованных успешных атак на организации в 2023 году 15% пришлось именно на государственный сектор.
  • В 2023 году в организациях в сфере науки и образования наблюдался рост количества инцидентов по сравнению с показателями 2022 года, что привело к перемещению позиции отрасли в рейтинге, основанном на количестве успешных атак, с пятого места на третье (9% от общего количества успешных атак).
  • Из всех успешных атак на организации 8% пришлось на ИТ-компании наравне с промышленными организациями, что на 2 п. п. выше показателей 2022 года. ИТ-компании стали все чаще подвергаться кибератакам: получив доступ к системам вендора, злоумышленники могут проводить атаки типа supply chain на те организации, которые пользуются его услугами и продуктами.

Геополитическая обстановка, хактивисты и шпионское ПО

Минувший год ознаменовался ухудшением мировой политической и экономической ситуации, что повлияло на ландшафт киберугроз. Киберпреступность и атаки на КИИ становятся одними из главных факторов в современных геополитических конфликтах. Эта тенденция сохранится и в 2024 году.

В условиях напряженной геополитической обстановки угроза атак со стороны хактивистов выросла как никогда раньше. Их излюбленными методами являются массированные DDoS-атаки и дефейс сайтов, однако наблюдается рост популярности и других способов, например использования уязвимостей ПО: так, хакеры успешно проэксплуатировали уязвимость в приложении Red Alert. Необходимо быть готовыми к атакам: использовать межсетевые экраны (WAF), выполнять мониторинг трафика для выявления аномалий, применять сервисы для защиты от DDoS-атак и оперативно исправлять выявленные уязвимости. Кроме того, некоторые организации уже активно внедряют такие технологии, как ИИ, для улучшения систем защиты.

Российские организации, особенно КИИ, подвергались массированным кибератакам, которые в ряде случаев приводили к реализации недопустимых событий, о чем в том числе заявил МИД РФ. Оператор связи АО «Инфотел», обеспечивающий подключение банков и юридических лиц к автоматизированной системе электронного взаимодействия с ЦБ РФ, подвергся атаке хактивистской группировки Cyber.Anarchy.Squad. Атака привела к тому, что несколько крупных банков потеряли доступ к банковской системе. Для восстановления работы оператору связи понадобилось около 32 часов. Российские СМИ за последние полтора-два года также попадали в зону внимания злоумышленников: например, сервисы медиахолдинга ВГТРК подверглись DDoS-атаке во время трансляции 21 февраля послания президента России Владимира Путина Федеральному собранию. На основании этого опыта многие страны уже принимают меры по усилению защиты критической инфраструктуры от массированных кибератак.

Отдельно хочется отметить, что для достижения своих целей в геополитических конфликтах страны берут на вооружение шпионское ПО, рост популярности которого мы также отметили в 2023 году.

Рисунок 1. Использование шпионского ВПО в атаках на организации

Так, Bloomberg утверждает, что службы безопасности Израиля привлекают компании, в том числе производителя шпионского программного обеспечения Pegasus, для помощи в отслеживании заложников в секторе Газа. Во II квартале специалистам PT Expert Security Center удалось обнаружить новый легковесный стилер, написанный на Go и предназначенный для поиска (по расширениям) и отправки на командный сервер файлов из домашнего каталога и локальных дисков, а также содержимого буфера обмена и снимков экрана. Еще один пример — шпионское ПО, имитирующее клиент ChatGPT для Windows, которое распространяется в виде ZIP-архива, содержащего файл ChatGPT For Windows Setup 1.0.0.exe. В процессе установки вредоносное ПО работает в фоновом режиме и начинает извлекать сохраненные учетные данные из папки данных для входа в Google Chrome. ChatGPT не выпускала официальный клиент для компьютеров, но эта фейковая версия выглядит очень убедительно. В IV квартале 2023 года доля шпионского ПО в успешных атаках выросла до 25% — по нашему мнению, данный тренд будет актуален и в 2024 году.

Рисунок 2. Категории жертв среди организаций (доля успешных кибератак)

Доля программ-шпионов среди всего вредоносного ПО, используемого в атаках на российские организации, составила 45%, при этом шифровальщики составили лишь 27% (тогда как во всем мире шифровальщики применялись в 57% успешных атак на организации). Это обусловлено несколькими факторами. Во-первых, уровень защищенности российских организаций растет, что помогает эффективно пресекать атаки шифровальщиков. Во-вторых, сложная геополитическая ситуация спровоцировала рост числа атак с использованием программ-шпионов. Так, ФСБ совместно с ФСО России вскрыла разведывательную акцию американских спецслужб, проведенную с использованием мобильных устройств Apple при помощи неизвестного вредоносного ПО, использующего предусмотренные производителем программные уязвимости. Такой атаке подверглась в том числе одна из ведущих российских компаний по кибербезопасности.

Рост активности вымогателей

Минувший год ознаменовался рекордными выплатами выкупов и значительным увеличением масштабов и сложности атак с помощью программ-вымогателей.

Рисунок 3. Способы распространения шифровальщиков в успешных атаках на организации

Одними из основных жертв атак шифровальщиков в 2023 году стали медицинские организации. Сфера здравоохранения особо чувствительна к подобным атакам, так как они могут привести к реализации недопустимых событий. Например, больницы Айдахо-Фолс и Маунтин-Вью (США), а также их клиники-партнеры подверглись атаке шифровальщика, из-за которой некоторые учреждения были закрыты. Представители Айдахо-Фолс подтвердили, что некоторые машины скорой помощи были перенаправлены в близлежащие больницы. Клиникам понадобилось более месяца для полного восстановления рабочих процессов.

Рисунок 4. Распределение инцидентов с использованием шифровальщиков по отраслям

Американскую медицинскую компанию Prospect Medical Holdings в августе атаковали вымогатели из группировки Rhysida. Больницам пришлось отключать ИТ-сети для предотвращения распространения атаки, возвращаться к бумажным картам и останавливать предоставление ряда услуг (например, прием анализов). Особенно серьезный ущерб был нанесен больницам в штате Коннектикут. Из-за атаки минимум 29 раз кареты скорой помощи перенаправлялись в другие больницы, а некоторые машины были вынуждены ехать даже в соседний штат Массачусетс. Больницам пришлось отменить почти половину плановых процедур, включая критически важную для лечения пациентов компьютерную томографию и обработку рентгеновских снимков. Злоумышленники утверждают, что похитили данные 500 000 пациентов и корпоративные документы компании.

Клиенты российской медицинской лаборатории «Хеликс» несколько дней не могли получить результаты своих анализов из-за серьезной кибератаки, которая вывела из строя системы компании. Согласно заявлению лаборатории, злоумышленники пытались заразить инфраструктуру компании вирусом-вымогателем.

Вымогатели активно атаковали и организации других отраслей: так, американский производитель авиационной и космической техники Boeing в ноябре стал жертвой операторов шифровальщика LockBit. Злоумышленники проникли в инфраструктуру компании, проэксплуатировав уязвимость Citrix Bleed. В руках у злоумышленников оказалось около 50 ГБ информации, включая данные поставщиков, дистрибьюторов и подрядчиков, а также финансовые документы, учебную и маркетинговую информацию. RoyalMail, национальный почтовый оператор Великобритании, считающийся объектом критической инфраструктуры, также подвергся атаке со стороны вымогателей LockBit, что привело к серьезному нарушению сроков всех зарубежных поставок.

Если цель злоумышленников — не остановка основного вида деятельности, а получение денежных средств, то атаки необязательно включают этап шифрования: злоумышленники могут требовать выкуп, угрожая публичным раскрытием украденных данных (двойное вымогательство). Этот тренд особо проявился в 2023 году — выплаты вымогателям в 2023 году превысили отметку в 1 млрд долларов, что является самым высоким показателем за всю историю. Так, в середине сентября одна из крупнейших компаний в сфере гостиничного и развлекательного бизнеса Caesars Entertainment понесла финансовые потери, оцениваемые в 15 млн долларов, в результате кибератаки. Компания согласилась выплатить выкуп вымогателям, которые угрожали опубликовать украденную базу данных клиентов, используемую для программы лояльности. Однако не все компании соглашались платить выкуп, вследствие чего злоумышленники публиковали украденные данные. Вымогатели Money Message опубликовали украденные закрытые ключи Intel Boot Guard и ключи прошивки MSI после того, как не смогли договориться о выкупе, — группировка требовала 4 млн долларов. Как заявили преступники, они украли у MSI 1,5 ТБ данных. Эта утечка затронула всю экосистему Intel и стала прямой угрозой для клиентов MSI. С помощью ключей подписи злоумышленник может создать вредоносные обновления прошивки, а затем доставить их через процесс обновления BIOS и инструменты обновления MSI.

Рисунок 5. Последствия атак с использованием шифровальщиков (доля успешных атак)

Такая эволюция тактики вымогателей означает смену стратегии, когда акцент сместился с шифрования на использование украденных данных для получения денежной выгоды посредством вымогательства. Данный тренд прослеживается в связи с тем, что организации начали внедрять более комплексные меры защиты, что, с точки зрения злоумышленников, делает атаки шифровальщиков не такими эффективными, как раньше. Кроме того, отказ от этапа шифрования и переход к вымогательству через угрозы публикации украденных данных также могут быть обусловлены выпуском специалистами безопасности различных дешифраторов.

Для того чтобы защитить компанию от целевых и массовых атак с применением современного вредоносного обеспечения, мы советуем подозрительные файлы проверять в песочнице — изолированной среде, предназначенной для анализа поведения файлов и выявления вредоносной активности, а также использовать антивирусное ПО. Кроме того, если сотрудники подключаются к корпоративным ресурсам с помощью личных гаджетов, то необходимо в том числе обратить внимание на защищенность таких устройств и на использование ими данных.

Атаки на системы защищенной передачи данных

Эксплуатация уязвимостей стала одним из основных методов атаки на организации в 2023 году — злоумышленники использовали его в каждой третьей успешной атаке (32%).

Рисунок 6. Последствия эксплуатации уязвимостей (доля успешных атак)

Одним из наиболее знаковых и громких трендов 2023 года, связанным с эксплуатацией уязвимостей, стали атаки на системы защищенной передачи данных. Решения для управляемой передачи файлов (MFT) повсеместно используются в организациях, поэтому недостатки этих систем мгновенно попадают в фокус внимания злоумышленников. Как правило, хранящиеся в приложениях данные представляют большую ценность для компаний, что дает преступникам возможность требовать выкуп за непубликацию чувствительной информации.

В I квартале группа вымогателей Cl0p отметилась масштабной серией взломов организаций через уязвимость нулевого дня в GoAnywhere MFT (CVE-2023-0669). По версии Shadow Server, количество атак было пиковым 10 марта 2023 года; число узлов-жертв достигло 410. После апреля активность хакеров в эксплуатации CVE-2023-0669 спала практически до нуля; однако с конца января 2024 года и по сей день злоумышленники начали чаще возвращаться к ней, и количество адресов-жертв теперь стабильно держится на уровне 50–100 в день.

Во II квартале группе вымогателей удалось успешно проэксплуатировать найденную уязвимость (CVE-2023-34362), позволяющую удаленно внедрить вредоносный SQL-код в программное обеспечение MOVEit Transfer, продукт компании Progress Software, предназначенный для управления передачей файлов. На тот момент, когда эта уязвимость была обнаружена исследователями безопасности, хакеры эксплуатировали ее уже как минимум 30 дней. Для Cl0p эти уязвимости не были новыми: группа пыталась извлечь данные со взломанных серверов MOVEit еще в апреле 2022 года.

По данным Emsisoft, число организаций, на которые повлиял взлом MOVEit, по состоянию на конец февраля 2024-го составляет более 2,7 тыс., при этом суммарно затронуто более 94 миллионов пользователей из разных стран. Среди пострадавших были и компании, стоящие за созданием известных брендов кибербезопасности. Например, Gen Digital (Avast, CCleaner, Norton LifeLock) подтвердила, что личная информация ее сотрудников была скомпрометирована в результате этой атаки на MOVEit.

Подход Cl0p к поиску и эксплуатации уязвимостей нулевого дня еще раз доказывает, что не все вымогатели настроены на моментальную монетизацию своей деятельности: они вполне способны на игру вдолгую для извлечения максимальной выгоды. Злоумышленники осознают, что одновременная атака на множество жертв оказывает большее влияние, и затраченное время впоследствии полностью окупается.

Тенденцию атак на системы передачи данных подхватили и другие злоумышленники. Тренд также привлек внимание исследователей безопасности. Так, в III квартале были обнаружены и проэксплуатированы новые уязвимости. В середине августа Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило об активной эксплуатации CVE-2023-24489, критически опасной уязвимости в приложении для обмена файлами ShareFile. Это облачное решение компании Citrix, которое позволяет клиентам и сотрудникам безопасно загружать и скачивать файлы. Вендор выпустил рекомендации по безопасности в отношении новой уязвимости еще в июне, при этом исправление было выпущено в виде частной рекомендации в мае, что позволило клиентам устранять недостатки системы еще до публикации информации об уязвимости. По данным компании, таким образом более 83% клиентов смогли принять соответствующие меры и защитили свои системы заранее. А в сентябре исследователи Rapid7 обнаружили несколько уязвимостей в системах управляемой передачи файлов Titan MFT и Titan SFTP компании South River Technologies. Активной эксплуатации найденных недостатков удалось избежать благодаря координированному раскрытию информации о них. Увеличение числа уязвимостей, наблюдаемых в программном обеспечении MFT, подчеркивает необходимость комплексной оценки уязвимостей, а также внедрения процессов управления ими.

Эксплуатация уязвимостей остается основным методом атак на организации. Для того чтобы минимизировать риск эксплуатации уязвимостей, необходимо принимать меры защиты, которые включают в себя выстраивание корректного процесса устранения уязвимостей, регулярную инвентаризацию и классификацию активов, регулярный анализ защищенности систем и приложений, а также использовать системы управления уязвимостями. Регулярный мониторинг состояния целевых и ключевых систем помогает избежать недопустимых событий, связанных с эксплуатацией уязвимостей на важных активах.

Всплеск утечек конфиденциальной информации

Утечка конфиденциальной информации произошла в каждой второй успешной атаке на организации в 2023 году и снова стала лидером среди последствий успешных атак. По сравнению с предыдущим годом количество утечек информации выросло на 9 п. п. Особый всплеск наблюдался во втором квартале 2023-го — именно тогда начались массовые атаки на защищенные системы передачи данных, о которых мы писали выше.

Рисунок 7. Доля утечек конфиденциальной информации среди успешных атак на организации

В 45% случаев были скомпрометированы персональные данные, что на 9 п. п. больше показателей 2022 года. Такое увеличение также связано с массовыми утечками данных в результате атак на защищенные системы передачи данных. Утечки персональных данных отличались большими объемами информации, в ряде случаев составляющими несколько миллионов записей. В результате взлома Главного иммиграционного управления Индонезии произошла утечка данных паспортов 34 миллионов человек. В сеть утекли полные имена и пол граждан, номера паспортов, даты выдачи и истечения срока действия, даты рождения. Атаку приписывают хактивисту Bjorka. Кроме того, американская компания HCA Healthcare пострадала от утечки персональных данных 11 миллионов пациентов. Организация заявила, что данные были похищены из «внешнего хранилища, используемого исключительно для автоматизации форматирования сообщений электронной почты». На HCA Healthcare уже подано не менее пяти коллективных исков.

Рисунок 8. Типы украденных данных в успешных атаках на организации

Стоит отметить, что утечка данных может происходить не только вследствие атаки, но и по иным причинам. Так, из-за человеческой ошибки в общем доступе на три часа оказались данные всех 10 тысяч сотрудников полицейской службы Северной Ирландии. Данные включали фамилии, инициалы, звания, должности и местонахождение действующих офицеров и сотрудников.

Минувший год ознаменовался крупными утечками и у российских ритейл-компаний. В июне в открытом доступе были опубликованы базы данных клиентов нескольких крупных ритейлеров, о чем мы уже рассказывали в нашем исследовании по итогам 2023 года. По данным телеграм-канала «Утечки информации», в сети оказалось более 7 млн строк с данными клиентов сети магазинов «Ашан Россия», в том числе адреса электронной почты, телефонные номера, адреса доставки или самовывоза. На одном из теневых форумов было опубликовано объявление с дампом базы данных.

Рисунок 9. Распространение базы данных клиентов сети магазинов «Ашан Россия» на теневых площадках

Кроме того, в открытом доступе также также оказались 4,7 млн уникальных адресов электронной почты и 3,2 млн уникальных номеров телефонов клиентов интернет-магазина «Леруа Мерлен». Для многих записей в базе данных были указаны также дата рождения, пол, город и хеш-суммы паролей (MD5).

Рисунок 10. Сообщение об утечке данных клиентов компании «Леруа Мерлен»

Книжные сети «Буквоед», «Читай-город» и Book24 тоже оказались жертвами злоумышленников: в открытый доступ были выложены 9,6 млн адресов электронной почты клиентов «Читай город», 5,4 млн уникальных логинов пользователей магазинов «Буквоед» (адрес электронной почты, телефон или идентификатор в социальных сетях «ВКонтакте», Twitter, «Одноклассники», Facebook) и около 4 млн строк, содержащих телефонные номера и адреса электронной почты пользователей официального магазина издательской группы «Эксмо-АСТ» — book24.

Утечка данных может привести к разным последствиям для компаний, в том числе к искам со стороны клиентов, чьи данные утекли. Основная масса таких инцидентов связана с утечками большого объема персональных данных у медицинских организаций. Это связано с тем, что медицинская информация является чувствительной категорией персональных данных, и утечка такого рода данных получает резонанс. Так, киберпреступники украли данные около 7 млн клиентов американской биотехнологической лаборатории 23andMe. Злоумышленники заявили, что в базе есть генетическая информация представителей высших кругов и наиболее состоятельных семей из США и Западной Европы. Некоторые клиенты 23andMe подали коллективные иски в суд на лабораторию с требованием возмещения ущерба. В первом полугодии 2023 года медицинские данные о лечении и лабораторной диагностике 2,5 млн пациентов Enzo Biochem были скомпрометированы в результате атаки шифровальщика. Против Enzo Biochem и ее дочерней компании Enzo Clinical Labs было подано четыре коллективных иска, в которых компанию обвиняют в недостаточной обеспечении безопасности хранения данных клиентов. Аналогичный случай произошел с Harvard Pilgrim Care: в результате атаки программы-вымогателя произошла утечка данных 2,5 млн человек, и пострадавшие клиенты подали на компанию четыре коллективных иска, обвинив ее в халатности.

Стоит отметить, что зачастую злоумышленники могут использовать украденные персональные данные в атаках с использованием социальной инженерии: так, данные HDB Financial Services, дочерней компании крупнейшего в Индии частного банка HDFC Bank, были опубликованы на форуме Breached. Преступники похитили обширный набор персональных данных клиентов (полные имена, даты и места рождения, сведения о занятости, кредитный рейтинг) и сотрудников. Информация из утечки практически сразу была использована в фишинговых атаках.

Количество обрабатываемых данных у организаций различных отраслей постоянно растет, при этом место хранения таких данных нередко определяется хаотично. У тех компаний, для которых вопрос утечки данных стоит особенно остро (например, медицинские организации), возникает потребность в едином решении класса data security platform (DSP), позволяющем реализовать data-сentric подход и управлять различными типами данных независимо от их структурированности и локации.

Эволюция социальной инженерии

По нашим данным, в 2023 году практически в половине успешных атак на организации была использована социальная инженерия. Основным каналом социальной инженерии среди организаций была электронная почта (85%).

Рисунок 11. Каналы социальной инженерии, используемые злоумышленниками в атаках на организации

Злоумышленники преследовали две основные цели: повышение убедительности и обход систем автоматического распознавания. В арсенале мошенников встречались как модульные инструменты для создания убедительных фишинговых сайтов и переписок, так и многоэтапные атаки: в них злоумышленники добивались преступной цели за несколько шагов, применяя совместно различные методы обмана. Конечно, точно подсчитать количество созданных искусственным интеллектом писем и сообщений невозможно, но, согласно исследованиям SlashNext, за первые 12 месяцев после выхода ChatGPT 4.0 был зафиксирован рост числа фишинговых писем на 1265%. Косвенно это может свидетельствовать о массовой генерации фальшивых писем с помощью нейросети. Кроме того, ИИ помогал злоумышленникам поддерживать иллюзию осмысленного диалога с жертвой, создавая убедительные фишинговые письма и дипфейки голосов, изображений, видео.

Рисунок 12. Последствия атак с применением социальной инженерии

Стоит отметить и использование скрытого фишинга: в первом квартале были отмечены атаки, в которых применялись фишинговые QR-коды для обхода спам-фильтров. В III квартале эксперты обратили внимание, что для обхода систем защиты электронной почты киберпреступники все чаще используют вложения, имеющие расширение .pdf. Злоумышленники встраивают в документы вредоносные ссылки либо QR-коды. Кроме того, в августе JPCERT/CC сообщили о новой технике MalDoc, используемой для обхода систем защиты с помощью встраивания вредоносных файлов Word в PDF-файлы. Такие файлы имеют расширение .pdf, но открываются в текстовом редакторе Word, вызывая срабатывание вредоносных макросов.

Тема ИИ стала популярной не только в разрезе усложнения техник социальной инженерии, но и как тема для фишинга. Так, например, в первом квартале 2023 года была выявлена новая фишинговая кампания, в которой используется копия платформы ChatGPT для обмана инвесторов. Мошенничество начинается с электронного письма, содержащего ссылку, которая направляет пользователей на фейковую версию ChatGPT. Цель — убедить пользователя в том, что он может зарабатывать до 10 000 долларов в месяц на фейковой платформе ChatGPT, и вынудить его ввести свои персональные данные, чтобы похитить деньги, которые якобы должны стать стартовой инвестицией.

Чтобы снизить риск успешных атак при помощи социальной инженерии, необходимо контролировать соблюдение принципов цифровой гигиены на персональных компьютерах и мобильных устройствах, проводить регулярное обучение пользователей (в том числе при помощи симуляции фишинговых атак), а также использовать инструменты мониторинга событий ИБ для обеспечения безопасности целевых и ключевых систем.

Использование дипфейков в атаках

Согласно внутренним данным Sumsub, в первой половине 2023 года во всем мире наблюдалась значительная вспышка случаев дипфейков по сравнению со второй половиной 2022-го. Количество дипфейков выросло на 84% в Великобритании, на 250% в США, более чем на 300% в Германии и Италии и на 500% во Франции. Кроме того, согласно результатам опроса, представленным генеральным директором и соучредителем ID R&D Алексеем Хитровым на вебинаре Biometric Update, 42% компаний или их клиентов уже сталкивались с дипфейковыми атаками. Так, в мае 2023 года неизвестный злоумышленник атаковал компанию, используя синтетические визуальные и аудиотехнологии, чтобы выдать себя за ее генерального директора. С менеджером продуктовой линейки компании связались через WhatsApp и пригласили на интерактивный звонок с отправителем, назвавшимся генеральным директором компании. Голос звучал как голос генерального директора, а использованные изображение и фон, вероятно, соответствовали существующему изображению, сделанному несколько лет назад, и фону дома, принадлежащего генеральному директору.

Дипфейки в 2023 году все чаще становились инструментом пропаганды на фоне сложной геополитической обстановки. Фальшивые записи выступлений и очерняющие конкурентов сгенерированные видео стали неотъемлемой частью политической борьбы по всему миру. Например, летом были взломаны несколько российских телеканалов и радиостанций и в эфире было показано якобы видео президента России Владимира Путина. Дипфейк объявил военное положение и сообщил о нарушении целостности государственной границы. Позже власти заявили, что некоторые телеканалы и радиостанции были взломаны, из-за чего дипфейк смог попасть в национальный эфир. Кроме того, 12 июня дипфейк президента Украины Владимира Зеленского с поздравлением с Днем России транслировался по украинскому телевидению. Около трети связанных с политикой дипфейков появляются в период выборов. В 2023-м и начале 2024 года дипфейки сопутствовали предвыборным гонкам в США, Великобритании, Словакии, Турции, Аргентине, Бангладеше, Индии, Пакистане и на Тайване. Мы прогнозируем, что и в будущем крупные политические события могут сопровождаться распространением многочисленных дипфейков.

Для манипуляций общественным мнением создают дипфейки не только политиков, но и медийных лиц. В ноябре 2023 года среди пользователей социальных сетей распространилось видео, в котором Белла Хадид извиняется за прошлые высказывания и говорит, что поддерживает Израиль после нападения боевиков ХАМАС 7 октября. Для создания этого дипфейка злоумышленники использовали текст речи, которую модель произнесла в 2016 году о своей борьбе с болезнью Лайма.

С помощью дипфейков злоумышленники атакуют не только частных лиц, но и компании. Согласно опросам Regula, 37% процентов организаций сталкивались с голосовыми дипфейками, а 29% были атакованы поддельными видео. Киберпреступники могут использовать дипфейки как один из этапов получения доступа к внутренним ресурсам компании. Летом 2023 года злоумышленник смог взломать компанию Retool, начав атаку с рассылки фишинговых SMS и получения кода многофакторной аутентификации с помощью аудиодипфейка у попавшегося на фишинг сотрудника. В начале февраля 2024 года дипфейки сыграли ключевую роль в атаке на филиал транснациональной компании в Гонконге. Финансовый сотрудник совершил переводы киберпреступникам на сумму около 25 миллионов долларов, убежденный видеозвонком с дипфейками финансового директора и других лиц.

Такое растущее использование дипфейков вызвало обеспокоенность относительно усиления правового регулирования. Более прочные правовые рамки могут способствовать решению таких проблем, как киберпреступность, конфиденциальность и защита данных. В ответ на вирусное дипфейковое видео с участием популярной индийской актрисы Рашмики Манданны правительство Индии указало на правовые положения, регулирующие такие дипфейки, и связанные с ними наказания. Агентство национальной безопасности США при участии ФБР и Агентства кибербезопасности и безопасности инфраструктуры выпустили совместный информационный бюллетень по кибербезопасности (CSI) «Контекстуализация дипфейковых угроз для организаций», чтобы помочь организациям выявлять дипфейковые угрозы, защищаться от них и реагировать на их появление. CSI советует организациям внедрять технологии для обнаружения дипфейков и определения происхождения мультимедиа. К таким технологиям относятся возможности проверки в реальном времени, а также методы пассивного обнаружения и защиты руководящих лиц и их коммуникаций. Кроме того, руководство содержит ряд рекомендаций по минимизации воздействия дипфейков, включая обмен информацией, планирование и отработку мер реагирования на попытки атак, а также обучение персонала.

Поставщики ПО и услуг под прицелом злоумышленников

Минувший 2023 год ознаменовался большим количеством уязвимостей в различных решениях (в области как ИТ, так и ИБ), что оказало влияние на устойчивость к кибератакам различных отраслей — от государственных организаций до сферы услуг. ИТ-компании здесь играют не последнюю роль, так как с их помощью, реализуя атаки на цепочку поставок, можно атаковать организации, которые являются их клиентами. Такой тренд сохранится и в 2024 году.

Рисунок 13. Последствия атак на ИТ-компании (доля успешных атак)

Так, кибератака на шведскую компанию — разработчика медицинского ПО Ortivus оставила как минимум две британские службы скорой помощи без доступа к электронным картам пациентов. Сотрудникам служб скорой помощи пришлось перейти к бумажным документам. Кибератака банды вымогателей LockBit на ION Group — разработчика ПО для финансовых учреждений — привела к серьезным последствиям. Крупные клиенты в США и Европе были вынуждены перейти на ручную обработку сделок, что привело к значительным задержкам. Компании пришлось отключить затронутые атакой серверы. Кроме того, неизвестные злоумышленники атаковали GDS Holdings и ST Telemedia и похитили учетные данные (логины и пароли) для входа в центры обработки данных в Азии. Услугами операторов пользуются крупнейшие мировые компании — например, AG, Amazon, BMW, Huawei, Walmart. Конфиденциальная информация была выставлена на продажу в дарквебе за 175 тыс. долл. LockBit также потребовали от компании TSMC, самой дорогой компании в Азии и одного из крупнейших в мире производителей полупроводников, выкуп в размере 70 млн долларов за непубликацию украденных данных. Утечка данных произошла с неправильно настроенного сервера поставщика ИТ-оборудования Kinmax Technologies.

Число атак на веб-ресурсы СМИ все растет

По итогам 2022 года мы отметили, что особый рост количества атак на веб-ресурсы коснулся СМИ. Ввиду сложной геополитической ситуации это объяснимо: именно веб-ресурсы различных медиа могут быть использованы хактивистами для реализации своих целей. В 2023 году атаки на веб-ресурсы СМИ также продолжили учащаться: по сравнению с 2022-м их количество выросло на 22 п. п. В ноябре 2023 года новостной веб-сайт Associated Press подвергся DDoS-атаке, в результате чего некоторые разделы сайта оказались недоступны. В сентябре Международный институт прессы (IPI) столкнулся с целенаправленной и продолжительной кибератакой, из-за которой сайт организации не работал в течение трех дней.

Рисунок 14. Доля инцидентов, связанных с атаками на веб-ресурсы, в 2022 и 2023 годах

На рост количества кибератак значительно повлияло и расширение теневого рынка: появляются и открыто распространяются новые инструменты для эксплуатации уязвимостей и для проведения DDoS-атак. В 2024 году мы прогнозируем рост числа атак на веб-ресурсы организаций; в особенности это коснется компаний, предоставляющих онлайн-услуги и собирающих большие объемы данных о клиентах.

Действия злоумышленников могут привести к реализации недопустимых для организации событий, и поэтому прежде всего необходимо оценить, какие бизнес-процессы зависят от работоспособности веб-приложений и как атака на веб-ресурсы может повлиять на деятельность организации и на ее клиентов. Следует регулярно проводить анализ защищенности приложений и обновлять ПО в соответствии с рекомендациями вендоров, использовать межсетевой экран уровня приложений. Кроме того, советуем внедрить процесс безопасной разработки веб-приложений.

Прогнозы на 2024 год

Разрушительные последствия атак. Ввиду сложной политической ситуации по всему миру атаки на государственные и промышленные, транспортные организации будут иметь более разрушительные последствия, которые могут сказаться в числе прочего на критически важных государственных услугах и вызвать утечку персональных данных или конфиденциальной государственной информации. Кроме того, количество инцидентов будет только расти.

Российские организации столкнутся с увеличением количества высококвалифицированных целевых атак. С начала специальной военной операции прошло достаточно времени, чтобы группировки оказались хорошо подготовлены к целевым атакам на критически важные для страны ресурсы.

Новые утечки данных и рост активности вымогателей. Мы прогнозируем, что организации столкнутся с увеличением числа атак вымогателей и новыми утечками конфиденциальных данных. Минувший год показал, что мошенники начали трансформировать подходы к реализации подобных атак и зачастую успешно достигают запланированных целей.

Ransome as a service и phishing as a service. Чтобы совершить успешную атаку, злоумышленникам нужно все меньше квалификации. На теневом рынке распространены объявления о предоставлении различного рода уже готового инструментария для злоумышленников, что приведет к росту количества атак на организации в 2024 году.

Эксплуатация уязвимостей. Эта тенденция прослеживается уже не первый год, однако не теряет свою актуальность; особенно это стало заметно в 2023 году. Эксплуатация некоторых уязвимостей, трендовых по мнению экспертов Positive Technologies в 2022–2023 годах, в том числе уязвимостей нулевого дня, приводила к таким последствиям, как компрометация конфиденциальных данных, атаки шифровальщиков, дефейс сайтов, и данная тенденция будет продолжаться и в 2024 году. Кроме того, злоумышленники продолжат эксплуатировать давно известные уязвимости в непропатченных продуктах. Достаточно высокий рост эксплуатации мошенниками уязвимостей в 2023 году при отсутствии должных мер защиты выльется в увеличение количества успешно проэксплуатированных уязвимостей в будущем.

Усложнение социальной инженерии. Злоумышленники зачастую применяют новые технологии для усовершенствования атак и снижения своих трудозатрат, и социальная инженерия не является исключением. Например, с развитием генеративного искусственного интеллекта злоумышленникам стало проще, чем когда-либо прежде, создавать убедительные фишинговые письма.

Увеличение количества атак типа supply chain. Минувший год ознаменовался большим количеством уязвимостей в различных решениях в области ИТ и ИБ, что оказало влияние на устойчивость к кибератакам различных отраслей — от государственных организаций до сферы услуг. ИТ-компании здесь играют не последнюю роль. Реализуя атаки на цепочку поставок, можно атаковать организации, которые являются их клиентами. Такой тренд сохранится и в 2024 году.

Сводная статистика

Рисунок 15. Категории жертв среди организаций
Рисунок 16. Методы атак (доля атак на организации)
Рисунок 17. Объекты атак (доля атак на организации)
Рисунок 18. Типы вредоносного ПО (доля успешных атак с использованием ВПО)
Рисунок 19. Способы распространения вредоносного ПО в успешных атаках на организации
Рисунок 20. Последствия атак на организации

Об исследовании

Представленный отчет содержит информацию об общемировых инцидентах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников.

По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков, в связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание организаций и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В нашем отчете каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.