Актуальные киберугрозы для стран Латинской Америки и Карибского бассейна: исследование 2023–2024 г.

Регион Латинской Америки и Карибского бассейна является одним из самых быстрорастущих в мире по уровню цифровизации и внедрению новых технологий. Однако вместе со стремительным внедрением новых технологий возрастают и риски кибератак. Цифровизация открывает новые возможности для киберпреступников, стремящихся воспользоваться уязвимостями в системах безопасности.

Атаки киберпреступников — одна из самых серьезных современных проблем, с которой сталкиваются как организации, так и частные лица. Степень нанесенного ущерба может быть разной: от кражи персональных данных отдельных пользователей до остановки работы промышленных предприятий.

К ключевым выводам исследования относятся следующие:

• Наибольшему числу кибератак в странах Латинской Америки и Карибского бассейна в 2023–2024 годах подверглись госучреждения (21%) и финансовые организации (13%): они представляют наибольший интерес для киберпреступников ввиду хранения ценной информации и реализации критически важных процессов.

• За рассматриваемый период преимущественно кибератаки были направлены на организации в Бразилии (19%) и Мексике (16%). Это может быть связано с более высоким уровнем цифровизации в этих странах региона, влекущей за собой активное внедрение веб-сервисов и приложений, расширяющих поверхность атаки.

• Как правило, социальная инженерия и ВПО применялись вместе в рамках одной кибератаки (как в случае атак на организации, так и в случае атак на частные лица). Благодаря социальной инженерии злоумышленники получали доступ к системе, обходя технические меры защиты и оставаясь незамеченными. ВПО же позволяло совершать дальнейшие действия в скомпрометированной системе.

• В каждой второй успешной атаке на организации региона киберпреступники применяли шифровальщики (49%). Наибольший интерес для вымогателей представляли госучреждения (25%), ритейл (11%), финансовые учреждения (9%) и образовательные организации (9%).

• Основными последствиями успешных кибератак на организации, как и в прошлом году, остаются утечка конфиденциальной информации (53%) и нарушение деятельности (35%). Больше половины от общего объема похищенных у организаций данных составили персональные и учетные данные (32% и 21% соответственно).

• Кибератаки на частные лица приводили к утечке конфиденциальной информации в 72% случаев и к прямым финансовым потерям в 19% случаев.

• Большая часть сообщений на теневых форумах связана с базами данных (47%). Как правило, они включают персональные и учетные данные, а также данные платежных карт. Чаще всего конфиденциальная информация распространяется бесплатно: в случае, когда она представляет для злоумышленника малую ценность, или же для повышения репутации в теневом сообществе.

В Латинской Америке и странах Карибского бассейна уровень цифрового развития и внедрения технологий неоднороден. Он зависит от нескольких факторов: доступности интернета и электронных услуг (e-government, e-commerce), наличия законодательных инициатив по цифровизации и др.

Цифровизация влечет за собой активное внедрение новых технологий в различные сферы жизни граждан: появляются онлайн-магазины, электронные государственные сервисы, автоматизируется промышленность. Так, сегодня в регионе активно распространяются системы e-government и разрабатываются соответствующие национальные стратегии цифрового правительства, как минимум в 14 странах региона они уже приняты. Не менее активно в регионе развивается e-commerce: по прогнозам экспертов, в Бразилии, Мексике и Аргентине объем рынка электронной коммерции вырастет к 2027 году на 58%, 52% и 90% соответственно. На 2024 год основная доля рынка e-commerce приходится на Бразилию (29%) и Мексику (26%).

Перспективным направлением развития для региона являются финансовые технологии. По данным консалтинговой компании Distrito, с каждым годом в латиноамериканском регионе увеличивается объем инвестиций в развитие организаций, предоставляющих финансовые технологии. Только за первую половину 2024 года было заключено 83 сделки на сумму 800 млн $, что соответствует 80% всех инвестиций в финтех-компании, сделанных в 2023 году. При этом от общей суммы инвестиций за последние 10 лет 66,7% пришлись на бразильские компании. Значительная часть этих инвестиций была направлена на цифровые сервисы: электронные кошельки, счета и цифровые банки.

В регионе активно внедряются новые технологии: в 2024 году Латинская Америка стала вторым регионом в мире по темпу роста рынка криптовалют с годовым показателем 42,5%. Кроме того, Бразилия (10-е место), Венесуэла (13-е место), Мексика (14-е место) и Аргентина (15-е место) вошли в топ-20 лидеров «Глобального индекса внедрения криптовалют» в 2024 году. В Бразилии криптовалюта является законным средством платежа. Наряду с этим Бразилия стала одной из первых стран в мире, где был принят закон о регулировании рынка криптовалют и виртуальных активов. В Аргентине и Мексике криптовалюты не признаются законным платежным средством, однако их использование и торговля разрешены.

Тем не менее в регионе остаются страны, где уровень цифровизации остается низким. По данным компании Surfshark, индекс цифрового качества жизни¹ в Гондурасе и Гватемале составляет 0,29 и 0,31 соответственно, в то время как в Бразилии и Чили он достигает 0,51 и 0,55. Исследование указывает на разрыв в области цифровизации между различными странами региона: в будущем отстающей части предстоит проделать значительную работу по внедрению современных технологических решений и обеспечению их безопасности.

Ниже рассмотрены страны, играющие ключевую роль в экономическом и технологическом развитии региона, а также подвергающиеся наибольшему числу кибератак. В числе пяти самых атакуемых стран Латинской Америки и Карибского бассейна — Бразилия, Мексика, Колумбия, Чили и Аргентина. Кратко проанализируем связь между уровнем цифрового развития этих стран и характером киберугроз, с которыми они сталкиваются.

Бразилия отличается активным развитием сектора информационных технологий. В стране насчитывается более 12 000 стартапов в различных отраслях, например в промышленности: для производителей сои и пшеницы была создана цифровая платформа, предоставляющая рекомендации по применению фунгицидов и использующая данные проведенных исследований и искусственный интеллект.

На международной арене Бразилия занимает 12-е место на рынке информационных технологий, представляя значительную долю рынка Латинской Америки (36,5%). Так, на саммите G20 в ноябре 2024 года Бразилия представила план развития ИИ, сумма инвестиций в который составит около 4 млрд $. План направлен на развитие инфраструктуры для разработки ИИ, внедрение новых учебных программ в этой области и применение технологий для совершенствования предоставления услуг. Электронная коммерция также имеет значительное влияние на цифровое развитие страны, обеспечивая 13% ВВП.

Промышленный сектор Бразилии охватывает широкий спектр отраслей, включая автомобилестроение, нефтехимическую промышленность, металлургию, сталелитейное и обрабатывающее производство, строительство и пищевую промышленность. Бразилия занимает 10-е место в мире по производству сырой стали с годовым объемом производства 34 миллионов тонн.

Активное развитие цифровых технологий в таких секторах, как финансы, ритейл и промышленность, стало основным фактором, определяющим направление кибератак. Как и в большинстве стран, киберпреступников в первую очередь интересует государственный сектор, на который приходится четвертая часть кибератак (26%). Кроме того, внедрение новых технологий создает привлекательные возможности для киберпреступных группировок, что подтверждается кибератаками на финансовые организации, IT-компании и компании в сфере торговли.

Мексика — одно из наиболее экономически развитых государств в регионе, обладающее высоким показателем ВВП и уступающее лишь Бразилии. Банковская отрасль страны является одной из самых продвинутых в Латинской Америке, чему способствовало стремительное развитие экосистемы финансовых технологий. Согласно данным Forbes Мексика является вторым по величине рынком финтеха в Латинской Америке: на начало 2024 года было зарегистрировано 773 финтех-компаний, что на 19% больше по сравнению с предыдущим годом.

Электронная коммерция в стране также активно развивается: с долей рынка, превышающей 26% в регионе, Мексика занимает 2-е место по доходам от онлайн-торговли в Латинской Америке, конкурируя с Бразилией за лидерство. Кроме того, в Мексике активно развивается промышленный сектор, включающий горнодобывающую отрасль, машиностроение, химическое и пищевое производство. Мексика занимает 11-е место в мире по объему пищевой промышленности и 3-е место в Северной и Южной Америке после США и Бразилии.

Динамичный рост финансового сектора, промышленности и ритейла делает их приоритетными целями для киберпреступников, что подтверждается высокой долей кибератак на организации этих сфер. Несмотря на то что в регионе наиболее привлекательной для киберпреступников целью остаются госучреждения, в Мексике успешные кибератаки на этот сектор занимают лишь четвертое место (6%). Можно предположить, что снижение количества успешных кибератак на госучреждения связано в том числе и с мерами по реагированию на киберинциденты, принятыми правительством. В частности, после инцидента, повлекшего за собой утечку секретных данных из министерства национальной обороны, был внедрен ряд стратегий и инициатив, направленных на повышение общего уровня киберзащиты.

За последние несколько лет Колумбия стала ведущим игроком на цифровом рынке Латинской Америки и Карибского бассейна: в стране сосредоточилось 12,8% цифровых компаний региона (показатель уступает лишь Бразилии и Мексике).

В 2024 году Колумбия заняла 61-е место в «Глобальном инновационном индексе», что обусловлено поддержкой правительства сферы IT и инвестициями в образовательные программы. В 2019 году правительство Колумбии приняло закон о модернизации сектора информационно-коммуникационных технологий, который направлен на сокращение цифрового неравенства в Колумбии, увеличение инвестиций в IT и разработку инновационных проектов. Благодаря такому подходу было создано более 3950 исследовательских групп и инновационных стартапов.

Кроме того, в сфере телекоммуникаций Колумбия занимает лидирующие позиции в латиноамериканском регионе. Уровень доступности интернета в Колумбии составляет 77%, что выше среднего по миру показателя на 9%. Это создает благоприятные условия для цифрового развития и внедрения технологических инноваций.

Здравоохранение и наука также играют одну из ключевых ролей в экономике и социальной жизни Колумбии. В стране работают различные организации, способствующие развитию молодых ученых, например «Корпорация биологических исследований» (CIB).

Активное развитие этих секторов привлекает внимание злоумышленников, что подтверждается статистикой успешно реализованных кибератак в 2023–2024 годах. Среди основных жертв можно отметить научные и образовательные учреждения, медицинские организации и компании в сфере телекоммуникаций.

По данным рейтинга глобальной конкурентоспособности, на 2024 год Чили является страной с наиболее высоким уровнем цифровизации в регионе. Существенную роль в цифровой трансформации государства сыграли технологии облачных вычислений и интернета вещей (IoT). Так, среднегодовой темп роста рынка облачных баз данных в Чили составит 21,6% в период с 2024 по 2030 год по информации, представленной экспертами исследовательской компании Grand View Research.

Уровень цифровизации зависит и от степени доступности интернета — по этому показателю Чили также является лидером в регионе (94%). Кроме того, по данным на август 2024 года Чили входит в топ-5 стран с самым быстрым фиксированным широкополосным доступом в интернет в мире со средней скоростью загрузки 265,62 Мбит/с.

Цифровизация охватывает и государственный сектор. В июне 2023 года стало известно об одобренном кредите, направленном на поддержку программы цифрового правительства в Чили. Эта инициатива ориентирована на повышение эффективности государственных услуг для граждан посредством цифровой трансформации на всех уровнях: центральном, региональном и муниципальном.

В регионе также активно развиваются финансовые технологии. Так, в январе 2023 года был принят закон о финансовых технологиях. Он устанавливает нормативно-правовую базу для финтех-компаний, в том числе регулирует реализацию открытого финансирования в Чили.

В дополнение к современным технологиям в Чили также хорошо развит промышленный сектор, в частности горнодобывающая отрасль, сельское хозяйство и производство питания.

Активное развитие сетевых услуг, IT-инфраструктуры, финансовых технологий, государственного сектора и промышленности, в свою очередь, делает эти сферы приоритетными целями для киберпреступников.

Аргентина обладает обширными природными ресурсами в сфере энергетики и сельского хозяйства. Она располагает плодородными землями, запасами газа и лития, а также большим потенциалом для использования возобновляемых источников энергии. Кроме того, в Аргентине развита фармацевтическая промышленность, которая является третьим по величине рынком среди стран Латинской Америки и Карибского бассейна. Здесь насчитывается около 65 биотехнологических компаний, работающих в области здравоохранения. Более десяти из них экспортируют свои продукты в другие страны региона и в Азию.

Сектор инновационных высокотехнологичных услуг, включая e-commerce, также демонстрирует динамичное развитие. В Аргентине расположена одна из крупнейших электронных торговых платформ в регионе — компания MercadoLibre.

За последние пять лет сектор финансовых технологий в стране значительно расширился: число финтех-компаний возросло со 158 в 2019 году до 432 в 2024 году. По данным 2023 года, более 80% аргентинцев используют электронные кошельки, что создает дополнительные риски безопасности финансовых и других конфиденциальных данных пользователей.

Как ведущий производитель в различных областях, Аргентина становится не только стратегически важным игроком на международной арене, но и объектом внимания со стороны киберпреступников. Среди основных жертв кибератак в рассматриваемый период времени — финансовые и промышленные организации. Стоит отметить, что значительная часть кибератак не была направлена на конкретные организации, так как злоумышленники атаковали широкий круг компаний в различных отраслях по всему миру, и подробной информации об этих атаках нет. Тем не менее можно предположить, что основная их доля пришлась на промышленные и финансовые организации.

Согласно отчету Global Cybersecurity Index 2024, по уровню кибербезопасности среди стран Латинской Америки и Карибского бассейна лидируют Бразилия и Уругвай. В регионе все еще остаются страны с относительно низким уровнем кибербезопасности, однако в последние годы наблюдается рост числа государств, которые показывают положительные изменения в данной сфере. Так, в 2024 году к числу стран в регионе, уровень кибербезопасности которых выше среднего по миру, присоединились Эквадор и Панама. Наиболее низкие показатели, по мнению экспертов, у островных государств Гренада и Антигуа и Барбуда. Ниже рассмотрены основные факторы, влияющие на уровень кибербезопасности страны.

Одним из ключевых факторов, влияющих на уровень защищенности страны, является наличие государственных учреждений и нормативных актов в сфере кибербезопасности. Например, в Бразилии в 2020 году была разработана национальная стратегия кибербезопасности (E-Ciber), а также в 2023 году были созданы национальная политика кибербезопасности (PNCiber) и национальный комитет по кибербезопасности (CNCiber).

Еще одним важным этапом в развитии сферы кибербезопасности в регионе является создание национальных и международных образовательных программ для подготовки специалистов в области информационной безопасности и проведение мероприятий по повышению цифровой грамотности населения. Так, в Эквадоре в 2022 году была выпущена национальная стратегия кибербезопасности, в разработке которой участвовало более 170 представителей государственного, академического и частных секторов, а также эксперты по кибербезопасности, например специалисты из Cyber4Dev².

Экономическое благополучие государств также способствует повышению уровня их защищенности. Оно, в свою очередь, часто измеряется через валовой внутренний продукт (ВВП), который отражает общую стоимость товаров и услуг, произведенных в стране за определенный период. Наибольшая доля ВВП на душу населения в регионе сосредоточена в Бразилии и Мексике. Несмотря на то что Чили выступает в роли технологического хаба, его ВВП на душу населения остается ниже ВВП Бразилии и Мексики, что можно объяснить многообразием экономик этих стран, активным привлечением иностранных инвестиций, значительными запасами природных ресурсов и высоким экспортным потенциалом. Таким образом, технологического превосходства недостаточно для того, чтобы компенсировать эти факторы и обеспечить более высокий уровень ВВП.

Представленная ниже диаграмма позволяет увидеть корреляцию между уровнем кибербезопасности и ВВП стран региона: уровень кибербезопасности в значительной степени зависит от экономических возможностей государства. Чем выше ВВП страны, тем больше ресурсов она может выделить на развитие и укрепление своей киберзащиты. Таким образом, инвестиции в кибербезопасность становятся более доступными для стран с высоким уровнем дохода, что, в свою очередь, способствует повышению их устойчивости к киберугрозам.

Другим способом повышения уровня защищенности стран является международное сотрудничество и совместные инициативы по вопросам кибербезопасности. Следует отметить, что государства региона активно стремятся к развитию в этом направлении. «Центр компетенций по кибербезопасности в Латинской Америке и Карибском бассейне» (LAC4) регулярно проводит мероприятия в странах региона с целью поддержки их цифровой трансформации и противодействия киберугрозам. Например, 20 ноября 2024 года в Уругвае LAC4 провел семинар, на котором специалисты поделились знаниями и рассказали об инструментах для интеграции надежных функций безопасности на начальном этапе проектирования цифровых продуктов и услуг.

На уровень защищенности региона также влияют центры по реагированию на киберинциденты (CERT, CSIRT, CIRT), которые способны своевременно обнаруживать угрозы безопасности и нейтрализовать их. В странах Латинской Америки и Карибского бассейна создано более 200 таких организаций. Пятая часть всех центров находится в Бразилии (22%), значительная часть из них расположена в Мексике (18%). При этом стоит отметить, что в некоторых странах региона до сих пор не было создано ни одного такого центра (12%).

Для повышения эффективности работы команды центров по реагированию на инциденты объединяются для сотрудничества. Примером такого объединения является организация Forum of Incident Response and Security Teams (FIRST). Она предоставляет платформу для центров реагирования по всему миру, позволяя им обмениваться информацией, знаниями и практиками. За год число компаний из стран Латинской Америки и Карибского бассейна, сотрудничающих с FIRST, выросло на 26%. Так, 29 января 2024 года команда Apura CSIRT из Бразилии присоединилась к FIRST.

В рассматриваемый период кибератаки, как правило, были направлены на организации в Бразилии (19%) и Мексике (16%).

Большая часть успешных кибератак на организации в регионе затронула государственный (21%) и финансовый (13%) секторы. Госучреждения по всему миру остаются наиболее привлекательной целью для киберпреступников, так как потенциально могут предоставить доступ к большому объему информации и ресурсов. Кроме того, именно государственные организации являются одной из основных жертв как хактивистов, так и APT-группировок. Например, в Венесуэле после проведения президентских выборов в июле 2024 года группировка хактивистов Anonymous реализовала серию DDoS-атак, затронувшую более 45 правительственных сайтов.

Несмотря на то что значительная часть кибератак была нацелена на госучреждения, их доля по сравнению с данными 2022–2023 годов сократилась на 10 процентных пунктов. В то же время наблюдается увеличение доли кибератак на финансовые организации на 4 п. п., что свидетельствует о растущем интересе злоумышленников к данной сфере. С учетом повышенного внимания к вопросам информационной безопасности в подобных организациях и специфики работы с ценными данными, успешные кибератаки на них могут предоставить злоумышленникам как финансовую, так и репутационную выгоду. Так, в мае 2024 года стало известно о масштабной кибератаке на бразильские банковские учреждения. Целями злоумышленников стали бразильские Центральный банк и Государственный сберегательный банк, а также другие крупные банковские учреждения государства.

С активным ростом электронной коммерции в регионе возрастает и интерес к сфере торговли со стороны киберпреступников: кибератаки на данный сектор заняли третье место, составив 9%. В июне 2023 года была зафиксирована масштабная кампания, нацеленная на онлайн-магазины по всему миру, включая Бразилию и Перу. Злоумышленники использовали веб-скиммеры для кражи персональной информации пользователей и данных их платежных карт, внедряя вредоносные скрипты на уязвимые сайты, где осуществляется оплата товаров и услуг с использованием банковских карт.

Промышленные предприятия также регулярно становятся целью киберпреступников. Они входят в топ-5 категорий жертв среди организаций в Бразилии, Мексике, Чили и Аргентине, что, вероятно, связано с тем, что в этих странах находятся самые крупные предприятия в Латинской Америке. Например, Мексика, Бразилия и Аргентина занимают ведущие позиции в горнодобывающей промышленности региона, в этих странах хорошо развиты машиностроение и химическое производство. А Чили является главным мировым производителем меди. Так, в феврале 2024 года группировка вымогателей LockBit 3.0 заявила на одном из теневых форумов о реализованной кибератаке на промышленное предприятие в Чили, производящее конструкционные компоненты для горнодобывающей промышленности.

Успешные кибератаки на организации преимущественно были направлены на компрометацию компьютеров, серверов и сетевого оборудования (76%), взаимодействие с сотрудниками компаний (52%). Как правило, эти два вектора регулярно пересекались в реализации кибератак на различные компании: злоумышленники применяли техники социальной инженерии для манипулирования людьми, в результате чего получали доступ к инфраструктуре компаний и возможность внедрения ВПО. Например, в феврале 2024 года эксперты выявили кампанию, нацеленную в основном на промышленный и транспортный секторы, в ходе которой при помощи фишинговых электронных писем распространялось ВПО Timbre Stealer. Таким образом, злоумышленники воздействовали на сотрудников компаний, побуждая выполнить необходимые действия, по результатам которых загружалось ВПО.

Каждая пятая успешная кибератака на организации (18%) приходится на веб-ресурсы. Этот показатель вырос по сравнению с предыдущим годом на 3 п. п.

Доля успешных кибератак на частные лица в регионе составила 22%, что выше общемирового значения за рассматриваемый период на 4 п. п. Наибольшее количество кибератак на частные лица было реализовано в Аргентине (35%), Бразилии (33%) и Мексике (22%). Такой показатель может быть связан с более высоким уровнем цифровизации в этих странах региона.

Большинство кибератак на отдельных пользователей осуществляется не через технические уязвимости систем, а с помощью социальной инженерии (82%). Как правило, человек является первоначальным вектором кибератаки, в качестве второго вектора чаще всего выступают компьютеры, серверы и сетевое оборудование (57%). Например, в марте 2024 года стало известно о масштабной кампании, нацеленной на частные лица и организации по всей Латинской Америке. Злоумышленники выдавали себя за правительственные учреждения Колумбии и рассылали зараженные PDF-документы, в которых обвиняли получателей в нарушении правил дорожного движения и других правонарушениях. Как только пользователь открывал документ, на его компьютер загружался троян удаленного доступа (RAT), так киберпреступники получали доступ к системе жертвы. Один из подобных PDF-файлов был опубликован в социальной сети X (бывшем Twitter) на странице компании ANY.RUN, предоставляющей сервис для интерактивного анализа ВПО.

Каждая четвертая успешная кибератака была направлена на мобильные устройства (26%). Интерес злоумышленников к атакам на смартфоны легкообъясним: с каждым годом роль телефона в жизни человека растет, он становится незаменимым помощником, позволяя всегда быть на связи и выполнять множество различных задач. Это открывает новые возможности для злоумышленников, использующих вредоносные приложения для заражения устройств жертв. Так, в сентябре 2023 года был обнаружен новый банковский троян для Android под названием Zanubis. Троян маскировался под приложения, предоставляющие государственные услуги жителям Перу. ВПО регистрирует нажатия клавиш и записывает экран для получения конфиденциальной информации. Согласно данным компании Canalys спрос на мобильные телефоны в регионе за год вырос на 20%, кроме того значительно развилась сфера электронной коммерции. Следовательно, можно предположить, что количество кибератак на частные лица с использованием смартфонов в будущем вырастет.

Основными методами для реализации кибератак в регионе, как и во всем мире, остаются социальная инженерия (57% кибератак на организации и 96% кибератак на частные лица) и ВПО (67% кибератак на организации и 79% кибератак на частные лица). Кроме того, эти методы чаще всего применяются вместе в рамках одной кибератаки: 48% успешных кибератак на организации и 71% — на частные лица. Например, с июля 2024 года по всему миру проводилась фишинговая кампания, которая также затронула и жителей Мексики. В ней ВПО Gigabud распространялось через фишинговые веб-сайты, маскирующиеся под маркет Google Play и имитировавшие страницы государственных структур или различных банков, таких как мексиканский банк Hey Banco.

В каждой четвертой успешной кибератаке злоумышленники эксплуатируют уязвимости (28%). В мае 2024 года стало известно о ботнете CatDDo³, для образования которого использовалось более 80 известных уязвимостей в различных программах, затрагивающих маршрутизаторы, сетевое оборудование и другие устройства производителей, таких как Apache (ActiveMQ, Hadoop, Log4j и RocketMQ), Cisco и D-Link. Ботнет должен был применяться для проведения распределенных атак типа «отказ в обслуживании» (DDoS)⁴. Кибератаки ботнета были в первую очередь нацелены на Бразилию, США, Францию, Германию и Китай.

В каждой второй успешной кибератаке на организации киберпреступники применяли шифровальщики (49%). Среди распространенных группировок вымогателей в регионе — BlackCat, Cl0p, LockBit 3.0, BlackByte, Medusa и 8Base.

В отношении частных лиц киберпреступники в атаках преимущественно использовали шпионское ПО (39%) и банковские трояны (35%). Для проведения успешных кибератак злоумышленники постоянно модифицируют и разрабатывают новые версии вредоносного ПО, чтобы обходить современные методы защиты. Так, в октябре 2024 года был обнаружен новый банковский троян Silver Oryx Blade, нацеленный преимущественно на жителей Бразилии. Цепочка заражения включает в себя два основных этапа: фишинговую рассылку и загрузку вредоносных архивов .zip и файлов MSI и DLL. Троян Silver Oryx Blade отслеживает учетные данные и информацию о платежных картах, связанные с более чем 50 банковскими и финансовыми учреждениями, а извлеченная информация пересылается на серверы C2, контролируемые злоумышленниками.

Также в кибератаках на организации и частные лица активно применяется ВПО для удаленного управления: 32% успешных кибератак на организации, 30% — на частные лица.

Основными жертвами кибератак вымогателей среди организаций в рассматриваемый период стали госучреждения (25%), ритейл (11%), финансовые (9%) и образовательные (9%) организации. Государственный сектор особенно интересен злоумышленникам, поскольку подобные кибератаки могут привести к реализации недопустимых событий⁵. Например, в июле 2023 года сайт мэрии бразильского муниципалитета Жакарезинью подвергся кибератаке шифровальщика, в результате которой были зашифрованы базы данных и стало невозможным функционирование государственных сервисов, предоставляющих различные услуги для жителей (среди них выдача счетов-фактур, подача налоговой декларации, формирование заработной платы и др.). Госучреждению понадобилось почти две недели для полного восстановления рабочих процессов.

В регионе также наблюдаются целенаправленные кибератаки, осуществляемые APT-группировками (6%). Несмотря на сравнительно небольшой процент от общего числа угроз, киберпреступные группы представляют особую опасность. За счет обширных ресурсов и использования новейших методик они могут успешно атаковать хорошо защищенные цели, такие как крупные коммерческие компании и правительственные объекты. Наиболее активными среди группировок были следующие.

Год обнаружения. Группировка была обнаружена в 2018 году.

Цели. Кибератаки группировки направлены на различные страны по всему миру, однако Латинская Америка является приоритетной целью.

Методы. Специалисты TI-департамента PT ESC отмечают, что группировка использует длинные цепочки атак, включающие применение различных инструментов и ВПО.

Киберпреступная деятельность. Основными жертвами группировки за I квартал 2024 года стали промышленные предприятия (22%), организации в сфере услуг (16%) и госучреждения (16%). В апреле 2024 года стало известно о масштабной фишинговой кампании, нацеленной на широкий спектр отраслей в Латинской Америке. Жертвами стали компании в сфере услуг, торговли и финансов, промышленные и государственные учреждения в Мексике, Колумбии, Бразилии, Доминиканской Республике и Аргентине.

Год обнаружения. О кибератаках группировки стало известно в 2018 году.

Цели. Кибератаки группировки направлены, как правило, на организации Колумбии, Эквадора, Панамы и Чили и затрагивают государственный, финансовый и промышленный секторы.

Методы. Злоумышленники рассылают фишинговые письма с вредоносными вложениями и ссылками.

Киберпреступная деятельность. В июне 2024 года был обнаружен троян удаленного доступа Quasar RAT, который группировка распространяла при помощи рассылки фишинговых электронных писем от имени налоговых органов Колумбии. Жертвой этой кампании стали различные колумбийские страховые организации.

Год обнаружения. Группировка активна как минимум с 2010 года.

Цели. Кибератаки группировки направлены, как правило, на госучреждения различных стран, в том числе и стран Латинской Америки.

Методы. Группировка использует различные методы и инструменты, включая социальную инженерию, ВПО для удаленного управления и шпионское ПО.

Киберпреступная деятельность. Эксперты по поиску угроз Symantec в июне 2023 года опубликовали исследование кампании, проводившейся с конца 2022 года по начало 2023-го и нацеленной на министерства иностранных дел стран Северной и Южной Америки. Для реализации кибератаки APT15 использовала более десятка инструментов, среди которых был новый бэкдор Graphican для выполнения команд и загрузки файлов с компьютеров жертв.

Год обнаружения. Группировка была обнаружена в 2017 году.

Цели. Кибератаки группировки направлены, как правило, на организации и пользователей в Латинской Америке (преимущественно в Бразилии) и Европе.

Методы. Для распространения собственного трояна группировка, как правило, использует поддельные электронные сообщения, в которых представляется официальной организацией, например федеральной налоговой службой, которая требует срочной подачи декларации о доходах.

Киберпреступная деятельность. В октябре 2024 года эксперты Trend Micro представили результаты расследования фишинговой кампании, нацеленной на различные организации в Бразилии. Основными жертвами кибератаки стали организации в сфере промышленности, торговли и госучреждения.

Основные последствия успешных кибератак на организации — утечка конфиденциальной информации (53%) и нарушение основной деятельности (35%). В большинстве случаев кибератаки на частные лица, как и атаки на организации, приводили к утечке конфиденциальной информации (72%). Результатом каждой пятой кибератаки становились прямые финансовые потери (19%).

Утечка конфиденциальной информации — это крайне серьезное последствие кибератаки, которое может оказать разрушительное влияние на операционную деятельность организации. Во-первых, утечка конфиденциальной информации негативно сказывается на репутации компании, что, в свою очередь, может привести к потере клиентов и партнеров. Во-вторых, если жертва кибератаки — государственное учреждение, то подобные инциденты могут быть еще более опасными, поскольку могут привести к раскрытию государственной тайны и стратегических планов, что угрожает национальной безопасности. Например, в результате кибератаки программы-вымогателя Rhysida в мае 2023 года на сайте группировки было опубликовано около 360 000 секретных документов чилийской армии, что составило, по словам злоумышленников, лишь 30% украденных данных.

Персональные и учетные данные в совокупности составили больше половины от общего объема похищенных из организаций данных (32% и 21% соответственно). Так, 30 октября 2024 года стало известно об утечке данных одного из ведущих финансовых учреждений Перу — Interbank. Злоумышленник заявил, что обладает информацией о более чем 3 миллионах клиентов банка, включая их полные имена, идентификаторы учетных записей, даты рождения, адреса и номера телефонов, а также данные кредитных карт и CVV-коды. Общий объем данных, по словам злоумышленника, превысил 3,7 ТБ.

В кибератаках на частные лица злоумышленники, как правило, крадут учетные (41%) и персональные (23%) данные, а также информацию о платежных картах (23%).

В процессе исследования были проанализированы 2458 объявлений, опубликованных на различных теневых форумах и в телеграм-каналах в 2023–2024 годах и упоминавших страны Латинской Америки и Карибского бассейна.

Почти каждое пятое объявление (16%) касается государственного сектора. Как правило, в этих случаях злоумышленники не стремятся получить финансовую выгоду: значительная часть сообщений направлена на раздачу данных (59%). Например, за такими объявлениями могут стоять хактивисты, привлекающие внимание общественности к своим взглядам, или киберпреступники, которые хотят повысить свою репутацию на теневом рынке для продвижения товаров и услуг.

Чаще всего в дарквебе встречаются объявления, связанные с государственными секторами Аргентины (22%), Бразилии (18%), Мексики (15%), Колумбии (10%) и Эквадора (8%).

Анализ объявлений показал, что наиболее популярные темы на теневых площадках — это базы данных (47% сообщений) и доступы (26% сообщений). Четвертая часть публикаций представляет собой заявления о заражении систем жертв шифровальщиками (20%) или взломе (4%). Другие объявления содержали новости о реализованных DDoS-атаках и призывы к участию в киберпреступных кампаниях, а также сообщения о покупке платежных данных карт и подробную информацию о найденных уязвимостях.

Половина объявлений в дарквебе связана с базами данных (47%), при этом только в 21% из них базы продаются, а в 74% раздаются бесплатно. Как правило, за подобными публикациями стоят хактивисты, действующие в соответствии со своими политическими взглядами, а также это могут быть киберпреступники, которые, например, так и не смогли добиться выкупа от жертвы.

Злоумышленники распространяют конфиденциальную информацию, полученную в основном в результате кибератак на бразильские (22%), аргентинские (22%) и мексиканские (18%) организации. Наиболее часто в сообщениях на теневом рынке речь идет о госучреждениях — такая тенденция была отмечена для всех трех стран, а в топ-3 упоминаемых отраслей среди публикаций вошла торговля.

Среди объявлений, касающихся организаций Аргентины, часто встречаются сообщения, связанные с образовательными учреждениями (16%). Например, в дарквебе были опубликованы данные о сотрудниках исследовательского центра Centro de Investigaciones para la Transformación (CENIT). Информация включает имя сотрудника, номер телефона, электронную почту, адрес проживания и другие данные.

В Мексике киберпреступников больше привлекает финансовая сфера (16%). Одна из причин, почему злоумышленники могут раздавать данные бесплатно, — устаревание данных. Так, в январе 2024 года был опубликован пост с данными за 2020 год, связанными со вторым по величине банком Мексики — Banco Nacional de México, или Banamex.

Каждое четвертое объявление включает продажу, раздачу или покупку доступов в инфраструктуру скомпрометированных компаний (26%). Преимущественная часть публикаций, связанная с распространением доступов, направлена на их продажу (88%).

Средняя стоимость доступа в регионе составляет 924 $, что больше показателя за прошлый год в 1,5 раза. Однако среди публикаций в дарквебе было найдено объявление, в котором предлагается купить доступ к инфраструктуре производителя стали за 3 BTC. Если учитывать это объявление, то средняя стоимость доступа вырастает до 1618 $.

В большинстве объявлений (65%), где была указана цена продаваемого доступа, стоимость варьируется от 100 $ до 1000 $. В каждом третьем объявлении (31%) цена выше 1000 $.

Предложения со стоимостью до 100 $ в основном содержат доступы в инфраструктуры компаний, работающих в сфере розничной торговли.

В каждом третьем объявлении (33%) предлагаются доступы по протоколам RDP и VPN. Также регулярно встречаются публикации, в которых представлены доступы с возможностью подключения при помощи программ удаленного доступа (13%), например Citrix и RDWeb, и оболочки Shell (10%). Следует учитывать, что типы доступов, которые предлагаются в дарквебе, определяются не злоумышленниками, а зависят от инфраструктуры компаний, на которые нацелены киберпреступники.

На теневых форумах регулярно встречаются публикации, связанные с шифровальщиками (20%). В большей части из них злоумышленники заявляют о том, что смогли реализовать кибератаку на ту или иную компанию (98%). Как правило, это делается для привлечения внимания общественности и демонстрации масштабов деятельности киберпреступников. Впоследствии они могут опубликовать объявление о продаже или раздаче украденных данных.

Почти каждая четвертая публикация в дарквебе была связана с группировкой вымогателей LockBit 3.0 (23%). Например, в сентябре 2024 года злоумышленники объявили о том, что была реализована кибератака на мексиканскую промышленную компанию Oleopalma.

В рассматриваемый период наблюдается рост цифровизации в регионе: появляются новые национальные стратегии и инициативы по внедрению современных технологий, распространяются системы e-government и e-commerce, увеличивается объем инвестиций в развитие финтех-компаний. Это, в свою очередь, приводит к увеличению как количества, так и сложности киберугроз. Вместе с тем отмечается рост уровня защищенности региона за счет появления новых центров по реагированию на киберинциденты и разработки новых постановлений в сфере кибербезопасности.

Прежде всего кибератаки нацелены на организации и частные лица в Бразилии и Мексике, что может быть связано с более высоким уровнем цифровизации в этих странах региона, а также недостаточной осведомленностью населения в области информационной безопасности. Главной целью злоумышленников среди организаций остаются госучреждения. Для снижения числа успешных кибератак в будущем важно развивать международное сотрудничество в области кибербезопасности.

Злоумышленники чаще всего используют методы социальной инженерии: манипулируют людьми, заставляя их совершать действия, которые позволяют получить доступ к корпоративной инфраструктуре и внедрить ВПО. Чтобы предотвратить подобные инциденты в дальнейшем, необходимо регулярно проводить мероприятия по повышению уровня осведомленности граждан о кибербезопасности.

Основным последствием успешных кибератак остается утечка конфиденциальной информации, что подтверждается анализом теневых площадок. Поэтому крайне важно уделять особое внимание вопросам хранения конфиденциальных данных и разработке мер реагирования на кибератаки.

В настоящее время в регионе предпринимаются шаги для решения возникающих проблем в области кибербезопасности, однако злоумышленникам все же удается обойти существующие меры безопасности и реализовать кибератаки.

Рекомендации для повышения уровня кибербезопасности в регионе

Повысить уровень кибербезопасности в странах Латинской Америки могут позволить следующие действия:

• Развитие нормативно-правовой базы в области кибербезопасности. Разработка подобной стратегии не гарантирует полноценной защиты, однако позволит определить вектор развития для повышения уровня кибербезопасности в конкретном государстве. Национальная стратегия должна содержать оценку угроз безопасности, а также цели и задачи, направленные на их предотвращение. Именно поэтому в процессе создания стратегии должны участвовать квалифицированные специалисты по ИБ.

• Определение недопустимых событий. Для формирования представления о том, с чего начать и куда двигаться в вопросах кибербезопасности, необходимо проанализировать основные риски и определить недопустимые для государства и коммерческих организаций события. Этот шаг позволит выявить наиболее ценные ресурсы и сконцентрировать на них усилия по защите.

• Защита критической информационной инфраструктуры (КИИ). Проанализировав недопустимые события на уровне отраслей и страны, необходимо определить критическую информационную инфраструктуру, а также разработать подходы для обеспечения ее защиты. При этом необходимо учитывать скорость цифровой трансформации не только в стране, но и в мире. Поэтому для достижения высокого уровня эффективности защиты от кибератак следует использовать только современные методы (и объединять разные подходы).

• Создание центров по реагированию на киберинциденты. Для повышения уровня защищенности в регионе необходимо наладить взаимодействие между госучреждениями и частными компаниями. Например, можно создать центры CERT, CSIRT, CIRT, благодаря которым появится возможность объединить усилия для урегулирования инцидентов, связанных с кибербезопасностью. На сегодняшний день такие центры функционируют не во всех странах Латинской Америки и Карибского бассейна, и в тех странах, где центры уже существуют, требуется их дальнейшее развитие. Рекомендуется формировать специализированные группы в рамках этих центров, сосредоточенные на конкретных отраслях.

• Использование комплексного подхода для защиты информационной инфраструктуры. Для достижения высокого уровня безопасности информационных инфраструктур необходимо внедрять современные комплексные решения. Рекомендуется использовать сканеры уязвимостей, обладающие обширной и регулярно обновляемой базой уязвимостей и способные приоритизировать их по уровню опасности, в сочетании с NTA-решениями, осуществляющими анализ сетевого трафика и выявляющими попытки вторжения злоумышленников в инфраструктуру. Такой подход значительно повысит уровень защищенности организаций от киберугроз, позволит оперативно обнаруживать злоумышленников на всех стадиях кибератак и своевременно реагировать на них.

• Международное сотрудничество. Укрепление международного сотрудничества с другими государствами и взаимодействие с ними для ведения общей нормативной базы и обновления базы данных, содержащей сведения об актуальных киберугрозах и защитных мерах, позволит повысить степень безопасности всего информационного общества. Кроме того, участие в международных конференциях даст возможность специалистам из разных сфер обмениваться информацией и изучать проблемы с разных сторон для определения наиболее эффективных путей решения.

• Развитие специалистов в области кибербезопасности. Для развития кибербезопасности в регионе и возможности противостоять атакам злоумышленников необходимо инвестировать средства в подготовку кадров и развитие образовательных программ по данному направлению.

• Повышение уровня осведомленности населения в вопросах кибербезопасности. В век современных технологий и продолжающейся цифровизации базовые правила безопасного использования интернета должны знать не только специалисты, работающие в области кибербезопасности, но и обычные пользователи. Поскольку многие кибератаки осуществляются с помощью методов социальной инженерии, пользователи современных технологий должны быть осведомлены об основных правилах поведения в сети и знать, как не попасть на крючок злоумышленника. Для этого государства могут инвестировать в кампании по информированию общественности об актуальных угрозах и защите от них.

Отчет содержит информацию об инцидентах информационной безопасности в странах Латинской Америки и Карибского бассейна: Бразилии, Аргентине, Мексике, Перу, Чили, Колумбии, Парагвае, Уругвае, Венесуэле, Кубе, Доминиканской республике, Гватемале, Гондурасе, Сальвадоре, Никарагуа, Коста-Рике, Панаме, Эквадоре, Боливии, Багамах, Гайане, Пуэрто-Рико, Тринидаде и Тобаго.

Представленная информация основана на экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников. Особое внимание уделено Бразилии, Мексике, Колумбии, Чили и Аргентине — странам, играющим ключевую роль в экономическом и технологическом развитии региона и подвергающимся наибольшему количеству кибератак. В процессе исследования были изучены 350 телеграм-каналов и форумов в дарквебе, общее количество проанализированных сообщений составило 192 млн (и было написано 43 млн пользователями).

По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков, в связи с этим подсчитать точное число киберугроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских группировок. Наше исследование проводится с целью обратить внимание организаций и обычных пользователей, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В нашем отчете каждая массовая кибератака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна атака, а не несколько разных. Термины, которые мы используем в исследовании, приведены в словаре на сайте Positive Technologies.