Самые громкие инциденты и наиболее атакуемые отрасли
Государственные учреждения — лидеры по числу инцидентов. Тренд на атаки с разрушительными последствиями
Государственный сектор вновь возглавляет рейтинг по количеству инцидентов — 15% от всех реализованных успешных атак на различные отрасли за первые три квартала 2023 г.1 Данный показатель на 3 п. п. меньше, чем в 2022 г. ВПО использовалось в каждой второй атаке (52%), что демонстрирует небольшое повышение по сравнению с 2022 г. (47%). Стоит отметить, что, помимо шифровальщиков (51%) и ВПО для удаленного управления (27%), в 2023 г. популярностью у злоумышленников пользовалось шпионское ПО (27%), что в целом соответствует общим трендам 2023 г. Распространение ВПО в государственных организациях осуществлялось в основном через электронную почту (66%) и при компрометации компьютеров, серверов и сетевого оборудования (26%).
Социальная инженерия как метод атаки отмечалась в 42% успешных атак на государственные организации, что сопоставимо с ситуацией в 2022 г. (41%). Эксплуатация уязвимостей на внешнем сетевом периметре компаний составила 24%.
Основным последствием атак на государственные организации в 2023 г. в отличие от 2022-го, стало нарушение основной деятельности, что соответствует тренду 2023 г. на атаки с разрушительными последствиями. Так, например, городской совет муниципалитета Дуранго (Испания) был «полностью парализован» из-за кибератаки. Местные СМИ сообщили, что «взлом был серьезным», а системы городского совета парализованы «на несколько недель»: все компьютеры совета и учетные записи корпоративной электронной почты не работали, ввиду чего сотрудники были вынуждены перейти на бумажный документооборот. Также стоит отметить атаки вымогателей на администрации городов Окленд и Модесто (США), что привело к масштабным сбоям в работе систем государственных учреждений. В результате инцидентов государственные службы были отключены от интернета и телефонии, а полиция была вынуждена работать по старинке, используя портативные радиостанции, ручки и бумагу во время патрулирования. Подобные случаи были и в России: сбои в Единой информационной системе таможенных органов России начались в 06:00 10 апреля, сообщила Федеральная таможенная служба (ФТС) в своем Telegram-канале. Из-за этих сбоев в ряде случаев было затруднено выполнение таможенных операций. Проблемы с ФТС возникли и у железнодорожных операторов. Представитель «Нефтетранссервиса» сообщил «Ведомостям», что отсутствие возможности проведения таможенных процедур «наблюдается во многих регионах России». В результате, по его словам, груженые вагоны скапливались на железнодорожных станциях.
Громкие случаи утечек конфиденциальной информации (42%) из государственных учреждений по всему миру также были зафиксированы в 2023 г., при этом персональные данные утекли в 46% случаев (против трети в прошлом году). Так, одними из крупных жертв атаки Cl0p на MOVEit Transfer стали Управление транспортных средств штата Луизиана (OMV) и Департамент транспорта штата Орегон (ODOT). В результате утечки пострадали 3,5 млн обладателей водительских прав и удостоверений личности из штата Орегон и 6 млн — из штата Луизиана. Помимо этого, на одном из форумов злоумышленники опубликовали персональные данные граждан Турции, украденные с веб-сайта государственных услуг e-Devlet. Утверждается, что они могут предоставить личную информацию президента Турции. Похищенные сведения, предлагаемые преступниками, — это идентификационные номера, номера телефонов и информация о членах семьи. Более конфиденциальные данные (полные адреса, документы на недвижимость и сведения об образовании) предлагаются за дополнительную плату. Эксперты заявили, что кража данных является крупнейшей в Турции и говорит о серьезной проблеме цифровой безопасности.
Прогнозы на 2024 г.: госсектор России столкнется с ростом целевых атак
Ввиду сложной политической ситуации по всему миру атаки на государственные организации будут иметь более разрушительные последствия, которые могут сказаться в том числе на критически важных государственных услугах и вызвать утечку как персональных данных, так и другой конфиденциальной государственной информации. Кроме того, количество инцидентов будет только расти.
Государственные организации России столкнутся с увеличением количества высококвалифицированных целевых атак. С начала специальной военной операции прошло достаточно времени, для того чтобы группировки оказались хорошо подготовлены к целевым атакам на государственные ресурсы.
Расцвет хактивизма в 2023 г. продолжит набирать обороты, и в 2024-м мотивами злоумышленников останутся как вымогательство, так и нарушение основной деятельности организаций данной отрасли.
Медицина: нарушение работы скорой помощи, отмены плановых процедур, судебные иски из-за утечек
Как и в 2022 г., медицинские организации вошли в топ-3 отраслей по количеству инцидентов: 11% успешных атак от общего количества успешных атак, по данным за первые три квартала 2023 г., что на 2 п. п. выше, чем в прошлом году. 96% атак на медицинские организации были целевыми. В 64% случаев злоумышленники использовали ВПО, что превышает показатели прошлого года. Стоит отметить, что 79% ВПО, которое использовалось для атак на медицинские организации, составили шифровальщики, спровоцировав рост атак, последствием которых стало нарушение основного вида деятельности (44%). 2023 г. ознаменовался для медицинских организаций атаками вымогателей. Так, больницы Айдахо-Фолс и Маунтин-Вью (США), а также их клиники-партнеры подверглись атаке шифровальщика, из-за которой некоторые учреждения были закрыты. Представители Айдахо-Фолс подтвердили, что некоторые машины скорой помощи были перенаправлены в близлежащие больницы. Клиникам понадобилось более месяца для полного восстановления рабочих процессов.
Клиенты российской медицинской лаборатории «Хеликс» несколько дней не могли получить результаты своих анализов из-за серьезной кибератаки, которая вывела из строя системы компании. Согласно заявлению лаборатории, хакеры пытались заразить системы компании вирусом-вымогателем.
Отключение критически важных систем и отсутствие доступа к медицинским файлам стали результатом киберинцидента с вымогательским ПО в госпитале Ross Memorial (Канада). В учреждении был объявлен «серый» код, что означает невозможность проведения операций и процедур. Американскую медицинскую компанию Prospect Medical Holdings в августе атаковали вымогатели из группировки Rhysida. Больницам пришлось отключать ИТ-сети для предотвращения распространения атаки, возвращаться к бумажным картам и останавливать предоставление ряда услуг (например, прием анализов). Особенно серьезный ущерб был нанесен больницам в штате Коннектикут. Из-за атаки минимум 29 раз кареты скорой помощи перенаправлялись в другие больницы, а некоторые машины были вынуждены ехать даже в соседний штат Массачусетс. Больницам пришлось отменить почти половину плановых процедур, включая критически важную для лечения пациентов компьютерную томографию и обработку рентгеновских снимков. Злоумышленники утверждают, что похитили данные 500 000 пациентов и корпоративные документы компании.
Все остальные категории ВПО в атаках на медицинские организации использовались гораздо реже: ВПО для удаленного управления применялось в 15% успешных атак, а шпионское ПО зафиксировано в каждой десятой атаке.
В этом году наблюдается незначительный спад количества утечек в медицинской отрасли — до 77%, что на 6 п. п. меньше показателей 2022 г. Как и в прошлом году, большинство атак на медицинскую отрасль закончились утечкой не только персональных данных (49%), но и медицинской информации (38%). Пострадавшие клиенты Harvard Pilgrim Health Care подали четыре коллективных иска к компании, обвинив ее в необеспечении безопасности личной и медицинской информации. Организация подверглась атаке программы-вымогателя в апреле, в результате нападения произошла утечка данных 2,5 млн человек.
Помимо персональных и медицинских данных, в медицинских организациях были похищены данные автоматизированных информационных систем, которые могут включать в себя в том числе конфиденциальные сведения о самой организации.
Социальная инженерия как метод использовалась практически в каждой второй атаке (53%) и в абсолютном большинстве случаев — с использованием электронной почты (89%). Распространение ВПО также в основном происходило посредством электронной почты (63%).
Четверть атак на медицинские организации происходили путем компрометации учетных данных (их количество находится на уровне прошлого года). Это говорит о том, что медицинские организации не уделили достаточного внимания защите учетных записей.
Прогнозы на 2024 г.: новые утечки данных и рост активности вымогателей
Мы прогнозируем, что медицинские организации столкнутся с увеличением числа вымогателей. При этом количество атак, которые повлекут остановку основной деятельности, вырастет по сравнению с предыдущими годами.
Несмотря на снижение числа утечек из медицинских организаций за первые три квартала 2023 г. по сравнению с итогами 2022-го, нет никаких предпосылок к тому, что этот тренд сохранится и в 2024-м. Организации медицинской отрасли обрабатывают большое количество данных, которые представляют интерес для злоумышленников.
Так как в 2023 г. медицинские организации не уделили достаточного внимания защите учетных записей, несмотря на высокую долю компрометации учетных данных по сравнению с 2022-м, подобная проблема может остаться и в 2024 г.
Наука и образование: взломы университетов, фондов, биотеха
В 2023 г. в организациях в сфере науки и образования наблюдался рост количества инцидентов по сравнению с показателями 2022 г., что привело к перемещению позиции отрасли в рейтинге успешных атак — с пятого места на третье (10% от общего количества успешных атак, по данным за первые три квартала 2023 г.). Российские компании также подвергались атакам злоумышленников. В свободный доступ был выложен дамп PostgreSQL-базы с данными зарегистрированных пользователей предположительно государственной образовательной платформы «Российская электронная школа». В таблице пользователей 9 148 983 записи, включающие Ф. И. О., адреса электронной почты, номера телефонов, хешированные (с солью) пароли, имена пользователей, пол, даты рождения, типы пользователя, идентификаторы соцсетей, идентификаторы (названия) учебных заведений, идентификаторы в ЕСИА и на «Госуслугах», даты регистрации и последнего входа.
Стоит отметить, что организации данной отрасли, как и государственные учреждения в целом, подверглись кибератакам на фоне политической повестки. Инфраструктура фонда «Сколково» подверглась хакерской атаке, в результате чего ряд его сервисов стал недоступен. Злоумышленники получили частичный доступ к информационным системам. В фонде отметили, что критичных пользовательских данных и баз данных в утечке не обнаружено. Временно оказались недоступны публичные информационные ресурсы, такие как сайт sk.ru и онлайн-сервисы. Представители уточнили, что взлому, в частности, подвергся файлообменник, расположенный на физических мощностях фонда «Сколкова». Хакеры, представившиеся «украинским киберфронтом», также выложили в сеть скриншоты внутренних информационных ресурсов и отдельные документы.
Для атак на эти организации злоумышленники в большинстве случаев использовали вредоносное ПО (64%). Кроме того, как и в прошлом году, основным типом ВПО для данной отрасли стали шифровальщики (87%). Здесь стоит отметить, что отрасль науки и образования в принципе является одной из лидирующих отраслей по инцидентам, в которой злоумышленники использовали шифровальщики (16%).
Если говорить о социальной инженерии, то ее уровень за первые три квартала 2023 г. остался сопоставим с 2022 г. — 56% и 57% соответственно. Школьный округ Адна (США) потерял весной 2023 г. 365 тыс. долл. из-за целевой фишинговой атаки. Мошенники смогли выдать себя за строительных подрядчиков.
Основным каналом распространения как фишинга, так и вредоносного ПО была электронная почта (90% для фишинга и 77% для ВПО).
Эксплуатация уязвимостей на внешнем сетевом периметре компаний заняла третью позицию в рейтинге методов атак для данной отрасли и вновь показала прирост по сравнению с прошлым годом — с 18% в 2022-м до 25% в 2023 г.
Утечка конфиденциальной информации (66%) и нарушение основной деятельности (60%) стали главными последствиями успешной реализации атак на учреждения, связанные с наукой и образованием. Ввиду особенности деятельности организаций данной отрасли основной категорией утекших данных стали персональные данные — 68%. Так, например, атака вымогателей в апреле 2023 г. на биотехнологическую компанию Enzo Biochem (США) привела к компрометации данных о клинических испытаниях примерно 2 470 000 человек. В мае 2023 г. киберпреступники AvosLocker, похитившие из сети Университета Блуфилда (США) 1,2 ТБ данных, начали напрямую требовать от студентов выкуп за неразглашение их личной информации.
Прогнозы на 2024 г.: устранению уязвимостей — наивысший приоритет
Общее количество инцидентов в организациях сферы науки и образования будет только расти. То же самое можно сказать об активности вымогателей: ввиду большого объема обрабатываемой в этих организациях информации, которая может быть интересна мошенникам с различными мотивами, компании будут чаще подвержены атакам данного вида.
Вместе с тем организациям науки и образования необходимо обратить внимание на закрытие уязвимостей в используемых ИТ-системах. Достаточно высокий рост эксплуатации мошенниками уязвимостей в 2023 г. при отсутствии должных мер выльется в увеличение количества успешно проэксплуатированных уязвимостей в следующем году.
Финансовые учреждения: рост числа утечек и аномальный третий квартал
По нашим данным, количество успешных кибератак в финансовом секторе год от года растет. За первые три квартала 2023 г. доля атак на финансовые учреждения составила 9% от общего количества успешных атак на организации. Также стоит отметить, что в третьем квартале 2023 г. мы зафиксировали вдвое больше уникальных киберинцидентов, чем за аналогичный период годом ранее. Это говорит о пристальном внимании преступников к отрасли.
Среди последствий атак выделяются утечки данных (64%), остановка работы отдельных сервисов или ключевых бизнес-процессов (40%). Подобные выводы мы делали и в прошлогоднем исследовании, тогда доля утечек составила 51%, а нарушение основной деятельности компании возникло в результате 42% инцидентов. Эта тенденция объяснима: сложные атаки на хорошо защищенные финансовые организации с целью кражи денег стали редким явлением на фоне роста более простых в реализации атак вымогателей и крупных утечек данных клиентов. Сегодня злоумышленники не только продают базы данных, но и раздают их бесплатно, наказывая таким образом организации за отказ от уплаты выкупа.
Подавляющее большинство утечек содержат персональные данные клиентов и коммерческую информацию организаций. Кроме того, среди утечек нередко можно обнаружить номера платежных карт и учетные данные. В утечках страховых компаний присутствует медицинская информация (специальная категория персональных данных в России).
Если говорить о российских финансовых организациях, нельзя не отметить, что в 2023 г. на фоне сложной геополитической обстановки они продолжают подвергаться мощным DDoS-атакам, которые направлены на временное нарушение работы цифровых сервисов. Регулятор отмечает лишь незначительное снижение их количества по сравнению с прошлым годом, когда наблюдался беспрецедентный всплеск активности преступников. В этом проявляется специфика российского банковского сектора на фоне общемировой тенденции, согласно которой основной причиной остановки работы финансовых сервисов становятся шифровальщики. Они существенно выделяются (63%) в статистике наиболее часто используемого в атаках вредоносного ПО. Для сравнения: годом ранее доля шифровальщиков составляла лишь 18%, а первую строчку занимали загрузчики с долей 59%.
Если рассматривать кибератаки в разрезе применяемых методов, можно отметить существенное снижение доли социальной инженерии (25%). В прошлогоднем исследовании ее доля составляла 47%. Это не означает снижения количества самих фишинговых атак, мы связываем это изменение с возросшей долей других методов: наблюдается значительное увеличение числа инцидентов, в которых использовались уязвимости ПО. В частности, значимый вклад в эту категорию внесли атаки с эксплуатацией уязвимости приложения для безопасной передачи данных MOVEit Transfer (CVE-2023-34362). Группировка Cl0p активно эксплуатировала ее еще в начале года, а патч для закрытия бреши был выпущен только в мае. Большое количество инцидентов пришлось на второй и третий кварталы, когда эксплойт взяли в оборот и другие преступники. Это говорит о том, что далеко не все финансовые компании, использующие такое ПО (оно распространено в странах Северной Америки), вовремя среагировали на угрозу. Таким образом, в 2023 г. компрометация финансовых организаций осуществляется не только классическими приемами (с помощью фишинговых сообщений), также активно используются уязвимости на сетевом периметре, приносящие хлеб так называемым брокерам первоначального доступа. Далее в исследовании мы покажем примеры объявлений о продаже таких доступов и оценим их стоимость на теневых площадках. Финансовым организациям необходимо выстроить надежную защиту внешнего сетевого периметра и повысить эффективность процесса управления уязвимостями.
Рассматривая наиболее распространенные методы атак, важно отметить и существенную долю инцидентов (22%), в которых ключевым способом компрометации стала атака на цепочку поставок.
Прогнозы на 2024 г.: повышенная активность вымогателей и хактивистов
Злоумышленники продолжают уже устоявшуюся традицию вымогательства за восстановление систем и неразглашение утечек, а также активно монетизируют результаты своих атак, продавая готовые доступы другим преступникам.
Не теряет своей актуальности хактивизм, особенно в отношении российских компаний на фоне специальной военной операции на Украине и обостренной геополитической ситуации в мире. Важно отметить, что основная цель преступников — дестабилизация финансовой системы страны в целом, несмотря на то что они атакуют отдельные компании. Злоумышленники стремятся посеять панику среди населения, вызвать недоверие граждан к финансовым институтам и государственной власти. Это угроза отраслевого уровня, поэтому отдельным предприятиям не под силу решить такую проблему. Необходим централизованный подход с участием отраслевого центра компетенции, роль которого в России сегодня выполняет ФинЦЕРТ.
ИТ-компании: сектор используют для атак на цепочки поставок
За первые три квартала 2023 г. 8% успешных атак на организации пришлись на ИТ-компании наравне с промышленными организациями, что на 2 п. п. выше показателей 2022 г. ИТ-компании стали все чаще подвергаться атакам злоумышленников, ввиду того что подобные компании можно использовать как часть атак supply chain на те организации, которые пользуются их услугами и продуктами. Так, кибератака на шведскую компанию — разработчика медицинского ПО Ortivus оставила как минимум две британские службы скорой помощи без доступа к электронным картам пациентов. Сотрудникам служб скорой помощи пришлось перейти к бумажным документам. Кибератака банды вымогателей LockBit на ION Group на компанию — разработчика ПО для финансовых учреждений привела к серьезным последствиям. Крупные клиенты в США и Европе были вынуждены перейти на ручную обработку сделок, что привело к значительным задержкам. Компании пришлось отключить затронутые атакой серверы. Кроме того, неизвестные злоумышленники атаковали GDS Holdings и ST Telemedia и похитили учетные данные (логины и пароли) для входа в центры обработки данных в Азии. Услугами операторов пользуются крупнейшие мировые компании — например, AG, Amazon, BMW, Huawei, Walmart. Конфиденциальная информация была выставлена на продажу в дарквебе за 175 тыс. долл.
Стоит отметить, что использование ВПО хотя и лидирует в методах атаки на данную отрасль (45%), но не имеет большого преимущества над эксплуатацией уязвимостей на внешнем сетевом периметре компаний (42%). Кроме того, ИТ-компании подвержены атакам методом социальной инженерии (32%) и компрометации учетных записей (25%).
74% атак на ИТ-компании привели к утечке таких конфиденциальных данных, как персональные данные (44%), коммерческая тайна (24%) и учетные данные (10%). В первом квартале 2023 г. группа вымогателей ALPHV (также известная как BlackCat) атаковала ИТ-гиганта Western Digital. Киберпреступники взломали внутреннюю сеть и похитили 10 ТБ конфиденциальных данных компании. Несмотря на то что злоумышленники не использовали шифрование, Western Digital пришлось на две недели закрыть свои облачные сервисы. В середине апреля не получившие требуемого «восьмизначного выкупа» хакеры ALPHV начали публиковать похищенные данные.
Прогнозы на 2024 г.: уязвимости в ИТ будут влиять на киберустойчивость многих отраслей
2023 г. ознаменовался большим количеством уязвимостей в различных решениях (как ИТ-, так и ИБ-), что оказало влияние на устойчивость к кибератакам различных отраслей — от государственных организаций до сферы услуг. ИТ-компании здесь играют не последнюю роль, так как с их помощью, реализуя атаки на цепочку поставок, можно атаковать организации, которые являются их клиентами. Такой тренд сохранится и в 2024 г.
Кроме атак на цепочку поставок, популярным мотивом у злоумышленников все так же останется кража внутренней конфиденциальной информации ИТ-компаний. Если говорить об использовании ВПО, они будут подвержены атакам вымогателей, как и другие отрасли.
Промышленность: каждая вторая успешная атака приводила к нарушению деятельности
Промышленные организации замыкают топ-6 подверженных атакам отраслей за первые три квартала 2023 (8%). 95% атак были целевыми и привели к нарушению основного вида деятельности (56%). Так, Lorenzi, итальянский производитель деталей и элементов для обувной промышленности, был парализован атакой программы-вымогателя. Система управления компании вышла из строя, что привело к проблемам с управлением заказами, рабочими заданиями и планированием производства. Также были скомпрометированы системы контроля качества, управления складами, доступ к клиентским архивам и приложениям, подключенным к системам.
Утечка информации произошла в ходе 69% атак на организации данной отрасли. Группировка «ИТ-армия Украины» утверждает, что в конце января получила доступ к архиву файлов размером 1,5 ГБ, принадлежащему энергетическому гиганту «Газпром». В архиве находится более 6000 дел группы компаний «Газпром» по финансово-хозяйственной деятельности, а именно отчеты по испытаниям и бурению, внедрению и наладке автоматизированных систем на Ковыктинской скважине (Иркутская область).
Так как промышленные организации обрабатывают большой объем информации, составляющей коммерческую тайну, то именно коммерческая тайна лидирует среди утечек (38%). Вымогатели LockBit взяли на себя ответственность за компрометацию систем Maximum Industries, технологического подрядчика SpaceX. Преступникам удалось похитить около 3 тыс. чертежей деталей. Злоумышленники пообещали устроить аукцион для желающих приобрести технологические наработки конкурента в случае неуплаты выкупа. Кроме того, LockBit потребовали от компании TSMC, самой дорогой компании в Азии и одного из крупнейших в мире производителей полупроводников, выкуп в размере 70 млн долл. за непубликацию украденных данных. Утечка данных произошла с неправильно настроенного сервера поставщика ИТ-оборудования Kinmax Technologies.
Социальная инженерия составила практически половину (48%) атак на промышленные организации. Здесь хочется отметить группировку Dark River, действия которой описали эксперты PT Expert Security Center. Начальным вектором внедрения бэкдора в скомпрометированную систему было фишинговое письмо с вложением. Исследование показывает, что российские предприятия оборонно-промышленного сектора остаются объектом целенаправленных атак, инструментарий реализации которых продолжает усложняться и совершенствоваться. Деятельность группировки Dark River — характерный пример активности с целью шпионажа и кражи конфиденциальной информации.
Процент использования ВПО в качестве метода атаки составил 67%, 76% из которых составили шифровальщики. В целом промышленность является одной из лидирующих отраслей (включая государственные организации, организации в сфере науки и образования, а также медицину), подвергавшихся атакам именно с помощью данного класса ВПО (14% от всех атак шифровальщиков на организации за первые три квартала 2023 г.). Британская компания Morgan Advanced Materials, производящая керамические и углеродные детали, используемые в производстве полупроводников, стала жертвой атаки с использованием шифровальщиков. По словам представителей компании, ликвидация последствий кибератаки может обойтись компании в «миллионы фунтов стерлингов». Некоторые из систем не подлежат восстановлению, поэтому Morgan Advanced Materials была вынуждена вернуться к ручной обработке транзакций на ряде сайтов. Помимо этого, акции компании упали на 7,5% после того, как производитель сообщил об инциденте и спрогнозировал снижение годовой операционной прибыли на 10—15%. Кроме шифровальщиков, в атаках на промышленные организации в одинаковой степени задействовали ВПО для удаленного управления и шпионское ПО (по 16%).
Прогнозы на 2024 г.: на мушке — предприятия, связанные с государством
Повышенная активность хактивистов будет направлена и на промышленные организации, что повлечет за собой общий рост количества инцидентов в данной отрасли. В 2024 г. прогнозируется рост утечек информации, составляющей коммерческую тайну, из промышленных организаций.
В 2023-м данная отрасль была подвержена атакам вымогателей, и в 2024 г. ожидается рост их активности, особенно для тех промышленных предприятий, которые связаны с государственными организациями. Кроме того, промышленные организации будут чаще подвержены атакам цепочки поставок.
Торговля: крупные ритейлеры столкнулись с массовыми утечками данных пользователей
74% атак на организации торговли закончились утечкой конфиденциальных данных, при этом двумя самыми популярными категориями стали персональные данные клиентов (49%) и учетные данные (16%). Так, в июне 2023 г. в открытый доступ попали дампы, содержащие Ф. И. О., дату рождения, логины, зашифрованные пароли и другую конфиденциальную информацию пользователей таких веб-ресурсов, как «Ашан Россия», «Буквоед», «Леруа Мерлен», «ТВОЕ», «Твой Дом», «Читай-город», book24.ru.
Утечки из ритейла характеризовались большим объемом скомпрометированных данных. Британская сеть магазинов спортивной одежды JD Sports предупредила клиентов об утечке данных после взлома сервера, на котором хранилась информация об онлайн-заказах для 10 млн клиентов: полное имя, платежные реквизиты, адрес доставки, адрес электронной почты, номер телефона, информация о заказе, последние четыре цифры платежной карты. Платформа доставки продуктов Weee! сообщила о том, что персональные данные ее клиентов и конфиденциальная корпоративная информация были похищены неизвестными злоумышленниками. Некоторые записи содержали коды дверей, которые курьеры используют для входа в здания. Злоумышленники утверждают, что похищенные базы данных включают конфиденциальную информацию, такую как имена пользователей, фамилии, адреса электронной почты, номера телефонов, домашние адреса, типы доставки, устройства и даты.
В качестве методов атак на торговые организации за первые три квартала 2023 г. были использованы ВПО (48%), эксплуатация уязвимостей на внешнем сетевом периметре компаний (45%) и социальная инженерия (29%). Среди ВПО лидировали шифровальщики (67%), шпионское ПО (24%) и ВПО для удаленного управления (15%).
Прогнозы на 2024 г.: еще больший рост числа утечек
Организации торговли должны будут уделить повышенное внимание вопросам обеспечения информационной безопасности, так как объем скомпрометированных данных станет только расти. Для того чтобы заблаговременно принять меры по защите, необходимо определить события, реализация которых приведет к недопустимым последствиям (например, недоступность сайта, кража банковских данных клиентов, мошенничество в интернет-магазине), и внимательно подойти к их верификации.
Транспорт: шифровальщики — на пике
Вредоносное ПО использовалось в каждой четвертой атаке на организации, оказывающие транспортные услуги, при этом шифровальщики стали лидером по популярности (73%). В начале 2023 г. из-за кибератаки шифровальщика LockBit крупнейшая служба доставки почты в Великобритании Royal Mail прекратила международные перевозки. Программа-вымогатель распечатала требования выкупа на принтерах, используемых для таможенных деклараций. В июле 2023 г. порт Нагоя, крупнейший и самый оживленный морской порт Японии, подвергся вымогательской атаке с шифрованием данных, которая существенно повлияла на работу контейнерных терминалов. По сообщениям местных СМИ, ответственность за атаку взяла группировка вымогателей LockBit. Работа порта была восстановлена к 6 июля без выплаты выкупа злоумышленникам.
Реализация недопустимых событий в транспортных компаниях, как видно из примеров, стала одним из трендов для этой отрасли в 2023 г. Вследствие кибератаки оператор портов DP World Australia был вынужден приостановить работу портов в нескольких штатах. DP World Australia, которая управляет почти половиной товаров, поступающих в страну и вывозимых из нее, заявила, что изучает возможные утечки данных, а также системы тестирования, «имеющие решающее значение для возобновления нормальной работы и регулярного движения грузов». Одним из резонансных случаев стала массовая DDoS-атака на систему бронирования авиабилетов Leonardo, что привело к сложностям с регистрацией пассажиров на рейсы.
Отдельно стоит отметить атаку, в результате которой в Польше хакеры остановили движение поездов и включили гимн России.
Более трети инцидентов в транспортных компаниях привели к утечке конфиденциальной информации (37%). В половине (52%) случаев утекли персональные данные, на коммерческую тайну пришелся 21% утечек в этой отрасли. Также стоит отметить, что для данной отрасли, в отличие от многих других, не были явно характерны инциденты, связанные с социальной инженерией (всего 10% инцидентов).
Прогнозы на 2024 г.: удары хактивистов
Успешные атаки на транспортные организации вызывают большой резонанс в обществе, так как для данной отрасли и остановка основной деятельности, и утечка конфиденциальной информации (например, персональных данных клиентов) являются инцидентами, которые влекут за собой критичные последствия. Таким образом, можно спрогнозировать рост атак на транспортную отрасль. Расцвет хактивизма ожидается и в этой сфере, так как в целом крупные транспортные компании тесно связаны с государственными организациями.
Сфера услуг: 300 ресторанов не работали из-за шифровальщика
Основным методом атак в сфере услуг стало использование ВПО (64%), в котором шифровальщики составляют более 80%. За первые три квартала 2023 г. социальная инженерия использовалась в половине успешных атак на организации сферы услуг. Кроме того, стоит отметить эксплуатацию уязвимостей на внешнем сетевом периметре компаний (28%) и компрометацию учетных данных (22%).
Утечки конфиденциальной информации происходили в 78% атак. В открытом доступе оказался архив «Розы Хутор», в котором содержится более 522 тыс. строк с Ф. И. О., адресами электронной почты, номерами телефонов, зашифрованными паролями и датами последнего входа. Злоумышленник под ником IntelBroker предложил базу данных, содержащую личную информацию 3,7 млн человек, участвующих в программе Hilton Hotels Honors. Вымогатели Cl0p провели атаку на коллегию адвокатов Нью-Йорка и добавили похищенные данные на свой сайт утечек. В результате инцидента было похищено 1,8 ТБ конфиденциальных данных. По словам атакующих, системы были зашифрованы, но организация никому ничего не сказала, чтобы попытаться сохранить все это в тайне. «Объем данных настолько велик, что нам приходится делиться ими в течение нескольких недель», — сообщили Cl0p. В дополнение к своим словам злоумышленники также опубликовали скриншоты паспортов ряда лиц.
Yum! Brands, бренд-оператор сети ресторанов быстрого питания KFC, Pizza Hut, Taco Bell и The Habit Burger Grill, стал целью атаки программы-вымогателя, в результате которой на один день были закрыты 300 заведений в Великобритании. Компания подтвердила, что данные были украдены в результате атаки, но не видит доказательств того, что информация о клиентах была раскрыта.
Прогнозы на 2024 г.: под прицелом вымогателей
Инциденты первых трех кварталов 2023 г. показали, что атаки вымогателей могут оказать существенное влияние на основную деятельность компании, и в 2024 г. количество таких атак будет только увеличиваться. Кроме того, сфера услуг подвержена утечкам конфиденциальной информации, и в 2024 г. данный тренд останется актуальным для отрасли.
Телекоммуникационный сектор: недоступность мобильной связи и банковских услуг из-за атак на провайдеров
56% атак на компании данной отрасли привели к нарушению основной деятельности. Инфраструктура крупнейшего провайдера Крымского полуострова «Миранда-медиа» подверглась серьезной кибератаке. Злоумышленникам удалось получить удаленный доступ к системам провайдера и полностью сбросить настройки сетевого оборудования на базовых станциях и домовых коммутаторах — это привело к массовому отключению абонентов от мобильной связи, интернета и телевидения на 15 часов. Также была нарушена работа официального сайта, телефонной службы и платежной системы, из-за чего абоненты не могли произвести оплату услуг связи и дозвониться до технической поддержки (во время сбоя платежной системы провайдер предоставлял услуги связи бесплатно). Кроме того, стоит отметить атаку группировки хактивистов Cyber.Anarchy.Squad на оператора связи АО «Инфотел», обеспечивающего подключение банков и юридических лиц к автоматизированной системе электронного взаимодействия с ЦБ РФ. Атака привела к потере доступа нескольких крупных банков-клиентов к банковским системам страны. Для восстановления работы оператору связи понадобилось около 32 часов. В феврале 2023 г. ложная воздушная тревога прозвучала в эфире российских телеканалов и радиостанций в результате взлома серверов. Факт взлома подтвердило МЧС России.
Ввиду специфики работы данной отрасли атаки на нее оказали эффект не только на сами телеком-организации, но и на их клиентов. Сентябрьская кибератака на поставщика телекоммуникационных услуг IFX Networks повлияла на Колумбию, Чили и Панаму. Из-за вымогателей пострадали 762 испано-американские компании, многие сайты оказались недоступны, государственные веб-ресурсы и приложения по оказанию услуг населению приостановили работу. В числе пострадавших оказались Верховный суд Колумбии, издательство Panama America и платформа по управлению госзакупками в Чили. В руки злоумышленников попал значительный объем данных клиентов IFX Networks.
При этом каждая вторая атака на телекоммуникационный сектор за первые три квартала 2023 г. привела к утечке конфиденциальной информации, из которой персональные данные составили 41%. Оператор T-Mobile раскрыл утечку данных, после того как злоумышленник украл личную информацию из 37 млн текущих учетных записей клиентов через один из ее API-интерфейсов.
Данная отрасль также характеризовалась использованием злоумышленниками загрузчиков (26%). В равной мере телеком-компании подвергались атакам с использованием шпионского ПО (тоже 26%). Шифровальщики, характерные в том числе для других отраслей в 2023 г., были задействованы более чем в каждой второй атаке (53%).
Прогнозы на 2024 г.: проблемы безопасности телекома будут чаще использоваться для атак на другие организации
Телекоммуникационные компании продолжат становиться частью атак на цепочки поставок — злоумышленники будут использовать их для атак на организации из других отраслей. А поскольку нарушение деятельности телеком-компаний может привести к нарушению деятельности их клиентов, количество атак будет только расти. Особенно это будет касаться тех компаний, которые предоставляют услуги государственным организациям. Стоит отметить, что прогнозируемая повышенная активность вымогателей затронет и телекоммуникационные компании.
- Общемировые данные, основанные на собственной экспертизе компании, результатах расследований, а также на данных авторитетных источников.