Анастасия Безбородько
Аналитик группы международной аналитики PT Cyber Analytics
Анастасия Безбородько
Аналитик группы международной аналитики PT Cyber Analytics
В последние годы киберугрозы стали одной из самых серьезных проблем, с которыми сталкиваются государства, организации и частные лица по всему миру, и страны Африки не стали исключением. Стремительное развитие цифровых технологий в регионе и распространение доступа в интернет открывают новые возможности для пользователей и вместе с тем несут угрозы со стороны киберпреступников. Кроме того, наличие богатого природного потенциала способствует развитию промышленности в регионе, что также делает Африку объектом интереса киберпреступников. При этом развитие цифровых технологий в регионе происходит быстрее, чем внедрение законов и регулирования в области кибербезопасности, что ставит под угрозу защиту критической информационной инфраструктуры.
За период I квартал 2023 — III квартал 2024 годов регион столкнулся со множеством киберугроз, включая кибератаки на критическую инфраструктуру, утечки данных и мошенничество в интернете. В условиях растущей цифровизации важно понимать, какие на сегодняшний день существуют киберугрозы для стран Африки и какие меры для обеспечения защиты необходимо применять во избежание будущих попыток реализации кибератак.
В этом исследовании мы рассмотрим статистику кибератак в африканском регионе за указанный период, основные методы их реализации и последствия, к которым они приводят, а также возможные решения для повышения уровня безопасности цифровой среды.
Как правило, организации региона подвергаются кибератакам с использованием ВПО (43%) и эксплуатации уязвимостей (18%), а частные лица — с использованием ВПО (53%) и социальной инженерии (33%).
Госучреждения и финансовые организации — основные цели у злоумышленников среди организаций. Доля успешных кибератак на них составляет 29 и 22% соответственно. При этом анализ теневых площадок подтвердил, что эти организации вызывают наибольший интерес у злоумышленников, доли объявлений которых составляют 19 и 13% соответственно.
Согласно данным, полученным из открытых источников, значительная часть кибератак в регионе была зафиксирована в ЮАР (22%) и Египте (13%), а объявления в дарквебе чаще затрагивали ЮАР (25%), Нигерию (18%) и Алжир (13%).
В дарквебе активно продают доступы в сети крупных компаний Африки (74%), значительная часть которых затрагивает финансовые организации, госучреждения и промышленные предприятия. Средняя стоимость доступа составляет 2 970 $.
В последние годы африканский регион демонстрирует значительный прогресс в области телекоммуникаций и цифровых технологий. Так, наиболее развитыми цифровыми странами Африки считаются Нигерия, Египет, ЮАР и Кения, число интернет-пользователей которых составляет 103 млн, 82 млн, 45 млн и 23 млн человек соответственно по данным за январь 2024 года. При этом доля пользователей интернета в Африке на 2023 год от общего числа населения, согласно данным компании Equinix, составила около 43%, что на 13% больше показателя за предшествующий год.
Развитие цифровой сферы в регионе поддерживается и на законодательном уровне. В 2020 году была разработана стратегия цифровой трансформации Африки, ориентированная на десятилетнюю перспективу развития телекоммуникационных сетей, распространения интернета по всему региону, а также внедрения цифровых платформ и услуг и обеспечения информационной безопасности. Кроме того, в декабре 2022 года на саммите лидеров стран Африки в США была запущена инициатива «Цифровая трансформация с Африкой» (DTA), направленная на расширение доступа к цифровым технологиям и повышение грамотности и укрепление благоприятной цифровой среды по всему региону. В связи с этим ожидается значительный рост количества пользователей интернета и внедрение новых цифровых решений.
На сегодняшний день перспективным направлением цифрового развития остается внедрение криптовалют, которое отмечается и в Африке. Кроме того, Нигерия, Кения и ЮАР в 2020 году вошли в топ-10 лидеров Глобального индекса внедрения криптовалют, а в 2024 году Нигерия заняла 2-е место в этом рейтинге. Как правило, криптовалюта здесь используется для хранения сбережений, обмена валюты, зарплатных расчетов и перевода средств за рубеж. В Нигерии криптовалюта разрешена на законодательном уровне и на территории страны представлены криптообменники, имеющие лицензию от Центрального банка Нигерии. Примечательно, что в 2021 году в Нигерии был введен запрет на операции с криптовалютой из-за рисков, связанных с отмыванием денег и финансированием терроризма, но в 2023 году данный запрет был официально снят. Также среди стран, в которых криптовалюта легализована, можно выделить Центральноафриканскую Республику, Гану, Сенегал и Танзанию.
В регионе активно развиваются и электронные сервисы. В таких странах, как Эфиопия, Кения и Сенегал, представлены десятки различных площадок в сфере электронной коммерции. Например, в Кении функционирует сервис «M-Pesa», который позволяет оплачивать товары и услуги, государственные пошлины, коммунальные платежи и осуществлять другие переводы. Сайты электронного правительства, а также порталы, связанные с ним, действуют в Эфиопии, Египте, Сенегале, Гане, ЮАР, Танзании и Буркина-Фасо.
Вместе с развитием цифровой сферы в регионе разрабатываются меры обеспечения защиты современных технологий. Например, в Эфиопии разработана стратегия цифровой трансформации «Цифровая Эфиопия 2025», в которой описан путь развития телекоммуникаций, цифровизация государственных услуг и внедрение инновационных технологий, таких как искусственный интеллект, а также проект содержит раздел, посвященный обеспечению кибербезопасности. В нем предлагается использовать международный опыт в решении проблем информационной безопасности для определения лучших практик. Также в Египте была выпущена стратегия в области кибербезопасности с планом развития до 2027 года, включающая усиление правовых мер, защиту критической инфраструктуры и поддержку научных исследований и разработок в области кибербезопасности (защита облачных сервисов, криптография, анализ ВПО). Однако стоит отметить, что развитие технологий позволяет злоумышленникам применять новые и более сложные методы кибератак, для противостояния которым зачастую бывает недостаточно разработанных защитных мер.
Таким образом, увеличение числа новых пользователей, переход государственных и других организаций к цифровым технологиям, а также уязвимости используемых защитных механизмов в условиях постоянно развивающихся методов кибератак приводят к росту числа успешных кибератак на африканском материке. По данным Check Point, в первом квартале 2024 года число кибератак на предприятия в Африке увеличилось на 20% по сравнению с аналогичным периодом прошлого года. Так, например, за первую половину 2024 года были реализованы 4 623 попытки кибератак, направленных на государственные и частные организации Эфиопии, что по сравнению с аналогичным периодом 2023 года больше на 115%.
В рассматриваемый период времени доля кибератак, из общего количества успешно реализованных, на организации составила 89%, а на частные лица, соответственно, 11%. Госучреждения и финансовые организации являются основными целями киберпреступников в регионе: на них приходится 29 и 22% всех успешных кибератак на организации соответственно.
Из года в год одной из наиболее привлекательных целей для злоумышленников остаются государственные организации. По нашим данным, в 2023 году доля успешных кибератак на данный сектор в мире составила 15%. Чаще всего на госучреждения в регионе совершают кибератаки APT-группировки (46%). В первую очередь они нацелены на длительные и скрытные атаки, направленные на сбор информации и кибершпионаж. Так, весной этого года была зафиксирована серия кибератак, направленных на правительства стран Африки и Карибского бассейна. За реализацией кибератаки стояла APT-группировка SharpPanda, основной целью которой было проведение кибершпионажа и получение конфиденциальной информации. Ее метод работы заключался в использовании скомпрометированных учетных записей электронной почты высокопоставленных лиц в Юго-Восточной Азии для рассылки фишинговых писем с целью заражения новых целей в этих двух регионах.
Также государственный сектор атакуют и хактивисты (18%). В июле 2023 года онлайн-платформа eCitizen, предоставляющая государственные услуги и информацию гражданам Кении, пострадала в результате DDoS-атаки, ответственность за которую взяла на себя группировка Anonymous Sudan. На протяжении нескольких дней были недоступны ключевые сервисы, в том числе связанные с получением паспортов, виз и водительских удостоверений. В то же время на одном из теневых форумов была выставлена на продажу база данных, украденная, по утверждению злоумышленников, из Министерства здравоохранения и народонаселения Египта и содержащая 2 млн записей.
По данным с теневых форумов, наиболее часто злоумышленников привлекает государственный сектор Нигерии (27%), Алжира (17%), Эфиопии (12%) и ЮАР (12%). Публикации, связанные с государственным сектором, как правило, направлены на бесплатную раздачу информации (66%). Например, на одном из теневых форумов был опубликован пост, содержащий конфиденциальные данные Министерства региональной торговли и интеграции Эфиопии, утечка которых якобы произошла вследствие кибератаки, совершенной группировкой хактивистов ThreatSec в октябре 2023 года.
Второе место по доле успешных кибератак в регионе занимает финансовый сектор (22%). В данном случае киберпреступников в первую очередь интересует материальная выгода, которую они могут получить при реализации подобных кибератак. Так, например, в январе 2023 года на одном из теневых форумов киберпреступники выставили на продажу базу данных банка ЮАР PostBank и доступ к ней. База содержит более 10 млн строк конфиденциальной информации, предположительно, о клиентах банка, включая персональные данные клиента, информацию о карте и произведенных транзакциях.
В ноябре 2023 года эксперты сообщили о кибератаке на кредитную организацию Toyota Financial Services в Европе и Африке. Ответственность за реализацию кибератаки взяла на себя группировка вымогателей Medusa. В качестве доказательства «успешности» кибератаки злоумышленники опубликовали на своем сайте фрагменты данных, среди которых были финансовые документы, личные данные пользователей и многое другое. Предположительно, кибератака была совершена путем эксплуатации уязвимости Citrix NetScaler, зарегистрированной как CVE-2023-4966 и получившей название CitrixBleed.
О другом случае стало известно в конце июня этого года — о кибератаке на Международный Габонский и Французский Банк. Группировка вымогателей Bianlian взяла на себя ответственность за проведенную кибератаку, в результате которой ею были получены данные, составляющие коммерческую тайну. В подтверждение своего заявления Bianlian выложила фрагмент украденной информации.
В 2023 году кибератакам со стороны вымогателей подверглись две крупные финансовые организации: кредитная организация TransUnion и Банк развития ЮАР. В результате взлома системы TransUnion, реализованного группировкой N4ughtySecTU, был потребован выкуп за украденную конфиденциальную информацию. Ранее, в марте 2022 года, компания уже сталкивалась с угрозами этой группировки, когда N4ughtySecTU пригрозила опубликовать 4 ТБ похищенных данных, если не будет выплачен выкуп в размере 15 млн $. За кибератакой на Банк развития ЮАР стояла группировка Akira, которая применила программу-вымогателя и зашифровала серверы, лог-файлы и документы компании.
Объявления в дарквебе, связанные с кибератаками на финансовый сектор, затронули такие страны, как Алжир, Гана, Камерун, Нигерия, Уганда, Эфиопия, ЮАР и другие. Чаще всего такие объявления направлены на продажу данных и доступа (64%). Например, в одном из объявлений в дарквебе предлагается купить доступ к системе Банка Ганы.
На одной из теневых площадок 24 июня 2024 года было размещено объявление об утечке данных сенегальского банка Cosna Afrique Bank, якобы включающих информацию о клиентах и их кредитных картах. Автор объявления отмечает, что эта база данных была опубликована в дарквебе еще неделю назад, но он готов продать ее по более низкой цене — 5 000 $.
Каждая десятая успешная кибератака на организации региона была направлена на промышленный сектор. Основными целями реализации данных кибератак являются нарушение основной деятельности производственных предприятий и кража конфиденциальной информации, что, в свою очередь, может иметь негативное воздействие как на саму компанию, так и целую отрасль или регион.
В январе этого года Камерунская энергетическая компания Eneo подверглась кибератаке, которая значительно повредила ее компьютерную систему. Представители Eneo не предоставили подробностей о проникновении, но сообщили, что функционирование некоторых приложений было приостановлено для обеспечения мер по защите их системы.
Об одной из крупных кампаний, нацеленных на промышленные организации по всему миру, в том числе в ЮАР и Египте, стало известно 5 марта 2024 года. По словам экспертов из Dark Reading1, за реализацию кибератак отвечали две группировки вымогателей: GhostSec и Stormous. Они использовали новую версию программы-вымогателя GhostLocker 2.0 и технику двойного вымогательства, по которой злоумышленники потребовали выкуп у жертвы не только за расшифровку данных, но и за молчание.
1 Платформа, предоставляющая новости в сфере кибербезопасности, анализ киберугроз и методов защиты от них, а также мнения экспертов в данной области.
Телекоммуникации, как и промышленность, были успешно атакованы в каждой десятой атаке на организации региона. При этом количество кибератак на телекоммуникационные компании ежегодно растет. Такая тенденция обусловлена несколькими факторами, включающими развитие цифровых технологий, рост интернета и мобильной связи в регионе. Появление новых клиентов телекоммуникационных операторов приводит к увеличению объема информации о них, что привлекает злоумышленников, стремящихся получить материальную выгоду от вымогательства за персональные и платежные сведения о пользователях. Кроме того, APT-группировки и хактивисты осуществляют кибератаки на телекоммуникационный сектор в целях кибершпионажа и нарушения функционирования компаний. Например, 6 февраля группировка хактивистов Anonymous Sudan атаковала крупных мобильных провайдеров в Уганде. Операторы Airtel, MTN и Uganda Telecom подверглись DDoS-атакам, в результате которых была нарушена их основная деятельность. По словам группировки, целью кибератаки были компании, поддерживающие Силы быстрого реагирования в гражданской войне в Судане.
В ноябре 2023 года кибератаке APT-группировки Seedworm подверглись телекоммуникационные компании в Египте, Судане и Танзании. Целью злоумышленников стали проведение кибершпионажа и получение конфиденциальной информации. Реализация кибератаки включала использование шпионского ВПО MuddyC2Go, запущенного с помощью командной оболочки PowerShell.
В кибератаках на организации злоумышленники чаще всего атаковали компьютеры, серверы и сетевое оборудование (65%). Это указывает на низкую защищенность инфраструктуры компаний, а именно на уязвимости в сетевом периметре и недостатки конфигурации во внешних доступных сервисах.
Объектом каждой четвертой кибератаки на организации стали веб-ресурсы (27%): в половине из этих случаев злоумышленники проводили кибератаки типа DDoS. Так, группа хактивистов Mysterious Team Bangladesh в марте 2023 года атаковала Министерство здравоохранения Эфиопии, а в начале мая того же года совершила серию DDoS-атак на веб-ресурсы различных учреждений региона, включая предприятие электроэнергетики, госучреждения, в том числе портал правительства Эфиопии, и финансовые организации.
Наиболее распространенным методом реализации кибератак на организации и частных лиц за рассматриваемый период стало использование ВПО. В августе 2023 года стало известно, что Министерство обороны ЮАР пострадало от кибератаки с использованием ВПО. За реализацию кибератаки и кражу 200 ТБ данных Министерства взяла на себя ответственность группировка вымогателей Snatch Team. Для проникновения в сеть она использует метод перебора и во избежание обнаружения ВПО осуществляет перезагрузку ПК с Windows в безопасном режиме, предотвращая запуск любого антивирусного или защитного ПО. Далее данные шифруются, после чего группировка требует выкуп у жертвы.
Практически в каждой третьей успешной атаке на организации региона злоумышленники использовали шифровальщиков. Так, в ноябре 2023 года в результате кибератаки шифровальщика произошла утечка конфиденциальной информации отеля Es Saadi в Марокко. Группировка MEOW использовала ВПО с аналогичным названием для шифрования файлов и последующим добавлением к их именам расширения «.MEOW». Похищенные данные были опубликованы на портале группировки. Также там были представлены данные коммерческого банка Нигерии Wema Bank.
В каждой четвертой успешной кибератаке злоумышленниками применялось шпионское ПО (25%). Как правило, кибершпионаж чаще всего осуществлялся в отношении организаций государственного сектора (29%). Так, 29 июля 2024 года стало известно о кибератаках на порты и морские объекты в Индийском океане и Средиземном море, реализованных группировкой SideWinder. Одной из основных целей группировки стал Египет. Для распространения шпионского ПО злоумышленники использовали метод целевого фишинга, с помощью которого рассылали жертвам фишинговые письма с документами-приманками, которые выглядят в точности как легитимный документ от официальной организации. Далее группировка использовала уязвимость Microsoft Office CVE-2017-0199 для получения доступа к системе жертвы. Это позволяет загрузить вредоносный RTF-файл по URL-адресу, спрятанному в документе. RTF-файл эксплуатирует уязвимость CVE-2017-11882 и запускает шелл-код для проверки системы жертвы. В случае соответствия системы необходимым параметрам запускает код JavaScript для удаленного управления.
Если говорить про частные лица, то в странах Африки одним из основных методов кибератак, применяемых злоумышленниками против частных лиц, как и во всем мире, остается социальная инженерия. Например, распространение мошеннического приложения для android SpyLoan, которое позволяет злоумышленникам получать учетные записи пользователей, информацию об устройстве, журналы вызовов и другое. В результате приложение было загружено 12 млн раз пользователями из разных стран, в том числе из Египта, Кении и Нигерии.
Чаще всего в результате успешных кибератак на страны Африки злоумышленники получали доступ к конфиденциальной информации: с этим организации столкнулись в 61% успешных кибератак. Например, 8 ноября 2023 года стало известно, что ведущий поставщик электронных платежей и цифровых финансовых решений в Египте Fawry подвергся кибератаке, реализованной, по мнению экспертов из Dark Reading, вымогательской группировкой LockBit. В результате кибератаки утекли личные данные клиентов компании, включающие адреса, номера телефонов и даты рождения. В большинстве случаев успешно реализованные кибератаки на частные лица также приводили к утечке конфиденциальной информации (53%).
Для африканского региона каждая пятая (18%) успешная кибератака приводила к нарушению основной деятельности компаний. Примером является кибератака 2023 года на Центральный банк Лесото, в результате которой работа некоторых систем была приостановлена до момента их полного восстановления. Ответственность за кибератаку взяла на себя группировка вымогателей INC Ransom.
Стоит отметить, что действия злоумышленников могут привести к реализации недопустимых событий для организаций, например к нарушению или приостановке их основной деятельности. Во избежание подобных инцидентов безопасности необходимо сформулировать недопустимые события организации, наступление которых может оказать разрушительное влияние на ее операционную деятельность, а также регулярно проводить мониторинг состояния ее целевых и ключевых систем.
Наибольший интерес для злоумышленников представляют ЮАР (25%), Нигерия (18%) и Алжир (13%). Это может быть обусловлено несколькими факторами: перечисленные страны характеризуются активным развитием цифровых технологий, вместе с чем растет количество пользователей сети Интернет и предоставляемых веб-ресурсов, что привлекает киберпреступников для получения материальной выгоды при реализации кибератак. Кроме того, волна кибератак хактивистов и APT-группировок в регионе может усиливаться и вследствие геополитики.
Если говорить об отраслевом распределении, то анализ данных теневых форумов также подтвердил, что чаще всего объявления злоумышленников затрагивают организации государственного (19%) и финансового (13%) секторов.
Анализ объявлений и сообщений на теневых площадках показал, что чаще всего злоумышленники публикуют посты, содержащие тему раздачи (46%) или продажи (43%) информации, что свидетельствует о наличии в регионе хактивистов, действующих в политических целях, и киберпреступных группировок, ориентированных на получение материальной выгоды.
Наиболее часто в дарквебе публикуются объявления, содержащие базы данных (61%), более половины из которых (64%) направлены на бесплатную раздачу информации.
В каждом четвертом объявлении (24%) базы данных продаются. Так, например, в мае этого года в дарквебе был опубликован пост о продаже данных различных банков, расположенных в Камеруне. Киберпреступники установили цену в размере 100 $ за базу в размере до 10 000 строк и 200 $ — до 20 000 строк.
Кроме размещения объявлений, включающих базы данных, в дарквебе злоумышленники также предлагают доступы в сети различных организаций Африки (38%). Почти каждое пятое объявление (18%) содержит предложение доступа с подключением по протоколам VPN или RDP. Также часто встречаются объявления, в которых предлагаются доступы с возможностью подключения при помощи оболочки Shell (14%) и программ удаленного доступа, таких как AnyDesk, RDWeb и Citrix (8%).
Большая часть публикаций, включающих доступы, направлена на их продажу (74%). Их средняя стоимость составляет 2 970 $. В одном из таких объявлений от 29 февраля этого года киберпреступники предлагают купить доступ администраторов домена и предприятия в компаниях, предоставляющих услуги в сфере транспорта и пищевой промышленности. Стартовая цена доступов составляет 3 000 $.
В каждом пятом объявлении (18%) доступы раздаются бесплатно. Например, в июле этого года неизвестная группировка выложила публикацию о бесплатном предоставлении доступа к системе Министерства образования Уганды.
В последние годы Африка активно работает над постоянным развитием в сфере цифровых технологий. Однако вместе с этим открываются новые возможности и для киберпреступников, вследствие чего регион продолжает регулярно сталкиваться с инцидентами кибербезопасности. Для того чтобы повысить кибербезопасность региона и помешать успешному проведению будущих кибератак, предлагаем ряд защитных мер.
Как можно повысить кибербезопасность в регионе?
Укрепление нормативно-правовой базы в области кибербезопасности
На данный момент страны Африки активно внедряют национальные политики и стратегии в области кибербезопасности. Тем не менее в условиях постоянного совершенствования методов кибератак злоумышленникам удается найти уязвимости в использующихся защитных механизмах. Важно разрабатывать и своевременно обновлять стратегии в области кибербезопасности, учитывающие текущую степень развития технологий и киберугрозы со стороны злоумышленников.
Защита критической информационной инфраструктуры
Необходимо определить критическую информационную инфраструктуру, кибератаки на которую могут привести к недопустимым событиям на уровне отраслей и страны, и определить защитные механизмы для регулирования. Особое внимание стоит уделить государственной, финансовой, телекоммуникационной и промышленной сфере региона. В разработке подходов, обеспечивающих кибербезопасность критических информационных инфраструктур, следует сочетать различные методы для достижения высокого уровня эффективности защиты от кибератак в условиях постоянного развития технологий.
Определение недопустимых событий и критически важных активов
Для обеспечения киберустойчивости организации необходимо провести анализ рисков и составить перечень недопустимых событий, способных нанести существенный ущерб ее деятельности. Это позволит определить критически важные активы и сосредоточиться на защите наиболее ценных ресурсов.
Разрабатываемая стратегия для предотвращения недопустимых событий должна содержать необходимые меры безопасности и мониторинг сетевой активности с использованием современных средств защиты.
Соблюдение общих требований по обеспечению кибербезопасности
Следует регулярно обновлять используемые системы и приложения для устранения найденных уязвимостей и предотвращения возможных кибератак в будущем. Кроме того, необходимо проводить проверку эффективности и актуальности применяемых механизмов безопасности и средств защиты информации. Например, за рассматриваемый период были отмечены случаи кибератак с использованием фишинга, следовательно, необходимо внедрять инновационные решения для фильтрации электронной почты с целью выявления и блокировки фишинговых писем. Данная мера является обязательной независимо от степени образованности сотрудника, поскольку появление современных технологий, таких как дипфейки и генеративные модели, позволяет обмануть даже опытных и образованных пользователей.
Сотрудничество государства и бизнеса
Для успешной реализации проектов в области кибербезопасности важно установить надежные партнерские отношения между государственными учреждениями и частными компаниями. Для этого формируются центры по реагированию на инциденты кибербезопасности, в обязанности которых включены мониторинг киберугроз, разработка инновационных решений в области кибербезопасности и помощь организациям в восстановлении после кибератак. В половине стран Африки уже функционируют такие центры. Для оптимизации их работы предлагается, например, выделить отдельные направления по отраслям.
Международное сотрудничество
Укрепление международного сотрудничества с другими государствами и взаимодействие с ними по ведению общей нормативной базы и обновлению базы данных, содержащей сведения об актуальных киберугрозах и защитных мерах, позволит повысить степень безопасности всего информационного общества.
Участие в международных конференциях позволит специалистам из разных сфер деятельности обмениваться информацией, что позволяет посмотреть на проблему с разных сторон и определить наиболее эффективные пути решения.
Обучение сотрудников основам кибербезопасности
В организациях необходимо проводить образовательные мероприятия, посвященные обучению пользователей основным правилам и техникам безопасности. Например, правила установки ПО, признаки для распознавания фишинговых писем и сайтов, а также предоставление перечня центров или сотрудников, которых следует своевременно уведомлять об инцидентах кибербезопасности. Также следует выделять бюджет на развитие специалистов по ИБ для повышения их навыков и знаний.
Данный отчет содержит информацию об инцидентах информационной безопасности в Африканском регионе, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников. Представленная аналитика опирается на данные о кибератаках в странах: Алжир, Ангола, Ботсвана, Буркина-Фасо, Габон, Гана, Египет, Замбия, Зимбабве, Камерун, Кения, Лесото, Ливия, Маврикий, Мадагаскар, Малави, Мали, Марокко, Нигер, Нигерия, Сенегал, Судан, Танзания, Того, Тунис, Уганда, Чад, Эфиопия и ЮАР. В процессе написания исследования были изучены 350 телеграм-каналов и форумов в дарквебе, где общее количество сообщений составило 184 млн и 43 млн пользователей.
По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков, в связи с этим подсчитать точное число киберугроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание организаций и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.
В нашем отчете каждая массовая кибератака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.