Positive Technologies

Актуальные киберугрозы для стран Латинской Америки и Карибского бассейна: 2022–2023

Скачать в PDF

Актуальные киберугрозы для стран Латинской Америки и Карибского бассейна: 2022–2023

Скачать в PDF

Введение

Цифровая трансформация, охватившая весь мир, не миновала Латинскую Америку и страны Карибского бассейна. Однако по мере того как правительства, компании и отдельные люди в регионе все активнее применяют цифровые инструменты, возрастает и риск кибератак.

В этом отчете мы проанализируем состояние кибербезопасности в странах Латинской Америки. Особое внимание будет уделено крупнейшим из них — Бразилии, Мексике, Аргентине, — играющим ключевую роль в экономическом и технологическом развитии региона и (что особенно важно для исследования) подвергающимся наибольшему числу кибератак. Цель отчета — определение ключевых угроз и предложение рекомендаций по укреплению цифровой защиты региона.

Ключевые цифры и выводы

  • В странах Латинской Америки в последние годы проходит стремительная цифровая трансформация, которая затрагивает все сферы жизни граждан и отрасли экономики. Следствием этой трансформации стала повышенная опасность киберугроз, к которым регион оказался не готов.
  • На Латинскую Америку в 2022 году пришлось 12% от общего числа атак в мире. Прежде всего целями злоумышленников становились организации и частные лица в Бразилии, Мексике и Аргентине — в совокупности доля атак на эти три страны составила 44%.
  • Большинство успешных атак на организации было направлено на государственные учреждения (31%), промышленные предприятия (11%), финансовые организации (9%) и ритейл (9%).
  • Атаки вымогателей — самая серьезная угроза для организаций и государств в Латинской Америке. Более половины всех успешных атак (52%) приводили к нарушению деятельности компаний: приостановке бизнес-процессов, потере доступа к инфраструктуре или к данным. Этот показатель выше среднего значения по миру, что непосредственно связано с деятельностью операторов шифровальщиков. Кроме того, особенностью атак высогателей в регионе является их нацеленность на государственные структуры: доля пострадавших госучреждений (31%) в 2,2 раза превышает общемировой показатель за тот же период.
  • В 61% случаев успешные атаки на организации приводили к утечке конфиденциальной информации. При этом основным мотивом атакующих, вероятно, является стремление к финансовой выгоде: скорее всего, украденная информация (по большей части персональные и учетные данные) используется для продажи на теневых рынках — для проведения дальнейших атак и в целях вымогательства.
  • На теневых форумах злоумышленники активно ведут торговлю и обмен доступами в сети латиноамериканских организаций, украденными данными, услугами, связанными со взломом ресурсов. Более половины объявлений (53%), в которых указана конкретная страна региона, касаются Бразилии, Аргентины или Мексики. Чаще всего в дарквебе продаются доступы к сетям организаций финансового сектора, госучреждений, IT-компаний, промышленных предприятий и организаций сферы услуг.
  • Высокий уровень проникновения мобильного интернета, использования мобильных устройств и электронных платежей в регионе привели к росту числа атак на мобильные устройства граждан. В атаках на частных лиц вредоносное ПО используется чаще, чем в любых других регионах: 78% атак совершается с применением вредоносов, в основном шпионского ПО (40%) и банковских троянов (32%). Вкупе с низким уровнем киберграмотности люди могут легко стать жертвами злоумышленников.
  • Государствам Латинской Америки необходимо укреплять региональное взаимодействие по борьбе с киберпреступностью и по возможности унифицировать законодательство в области информационной безопасности, используя наработанный опыт и лучшие практики развитых стран.
  • Рекомендации по повышению кибербезопасности на уровне государств также включают разработку национальных стратегий кибербезопасности, улучшение взаимодействия организаций и национальных центров по реагированию на киберинциденты, поддержку образовательных программ в сфере ИБ, развитие международного взаимодействия и обмена данными.
  • Рекомендации для обеспечения киберустойчивости организаций включают определение недопустимых событий и защиту критически важных активов, мониторинг киберугроз и реагирование на них с помощью современных средств защиты, а также оценку эффективности принятых мер и обучение сотрудников.

Диджитализация и проблемы кибербезопасности

Развитие цифровых технологий в регионе

Латинская Америка и Карибский бассейн — это регион с разнообразными экономиками, каждая из которых имеет свои уникальные исторические, культурные и географические особенности. Некоторые страны, такие как Бразилия и Мексика, демонстрируют динамичное экономическое развитие и обладают сильными промышленными секторами. В то же время другие страны, особенно небольшие государства Центральной Америки и Карибского бассейна, сталкиваются с экономическими трудностями и в большей степени зависят от туризма и сельского хозяйства. Объединенный ВВП региона составляет 6% от общемирового ВВП, что подчеркивает его важность в глобальном экономическом контексте.

Развитие цифровой экономики является одним из ключевых факторов, способствующих дальнейшему экономическому росту. Переход к цифровой экономике позволяет улучшить экономические показатели, увеличить производительность и создать новые рабочие места — это критически важно для региона, который характеризуется относительно высоким уровнем безработицы и социального неравенства. Хотя традиционно регион отставал в области диджитализации по сравнению с более развитыми экономиками, в последние годы страны Латинской Америки активно внедряют и развивают цифровые технологии и услуги. Особенно это заметно в сферах предоставления государственных услуг, финансовых технологий, медицины и розничной торговли.

Уровень проникновения интернета в регионе на начало 2023 года оценивается в 75%, что выше среднего по миру показателя (65%). В Бразилии эта доля составляет 84%, в Аргентине — 87%, в Мексике — 77%.

Рисунок 1. Уровень проникновения интернета

Диджитализация региона сопровождается не только расширением доступа к интернету, но и усилением интеграции новых технологий в повседневную жизнь граждан — от использования мобильных приложений для банковских операций и онлайн-покупок до систем умного дома. Около 66% взрослого населения совершают покупки в интернете, а в Аргентине, Бразилии, Чили и Колумбии эта доля превышает 80%. В регионе развивается электронная коммерция: по оценкам экспертов, объем транзакций за 2023 год увеличится на 27% и достигнет 509 млрд долларов США.

Во многих странах, в частности в Бразилии, Аргентине, Мексике, Колумбии, Чили, были созданы национальные программы по стимулированию развития цифровой экономики. Эти стратегии направлены на интеграцию новых технологий во всех отраслях, и в первую очередь на оптимизацию государственных услуг, развитие электронной коммерции и цифровых платежей. По различным оценкам, например E-Government Development Index и GovTech Maturity Index, большинство стран региона обладают высоким и очень высоким уровнем цифрового развития государственных услуг.

Рисунок 2. Уровень зрелости государственных услуг по индексу World Bank GovTech Maturity

Проблемы кибербезопасности

Несмотря на активное развитие технологий, многие страны еще не обладают достаточной законодательной и инфраструктурной базой для борьбы с киберпреступностью. Вопросы кибербезопасности стали особенно актуальными для Латинской Америки, поскольку отсутствие четких стандартов и регуляций, недостаток квалифицированных специалистов, отсутствие культуры информационной безопасности среди пользователей, а также ограниченные ресурсы для инвестирования в технологии защиты делают регион уязвимым перед киберугрозами.

По подсчетам экспертов, ущерб от кибератак для стран региона составляет около 1% от ВВП, а если в результате атаки оказывается затронута критическая инфраструктура, ущерб может достигать 6% от ВВП. В исследовании Fortinet 31% организаций из Латинской Америки сообщили, что последствия кибератак обошлись им более чем в миллион долларов США.

Оценки, приведенные в отчете Global Cybersecurity Index 2020, показывают, что Латинская Америка обладает самым низким уровнем кибербезопасности по сравнению с другими регионами.

Рисунок 3. Индекс кибербезопасности по регионам

Только 10 из 33 стран Латинской Америки имеют индекс кибербезопасности выше среднего по миру. Наивысший индекс у Бразилии (96,60) и Мексики (81,68). В большинстве государств проблема заключается в нехватке ресурсов. Очевидно, что более богатые страны могут вкладывать больше средств в инфраструктуру и развитие кибербезопасности.

Рисунок 4. Соотношение индекса кибербезопасности и ВВП страны

Регион сталкивается с большим количеством препятствий на пути к киберустойчивости. В первую очередь, это недостаток финансирования. По данным Организации экономического сотрудничества и развития, большинство предприятий в регионе (99%) — это малые и средние предприятия, которые формируют основу экономики. Такие компании могут не иметь достаточно средств для защиты своих ресурсов и найма квалифицированных специалистов в области ИБ, что делает их уязвимыми перед новыми угрозами. Как показывает исследование ESET Security Report, 65% специалистов считают, что их организациям необходимы дополнительные инвестиции в кибербезопасность.

В странах Латинской Америки наблюдается нехватка квалифицированных специалистов в области кибербезопасности. По оценкам ISC2, в 2022 году кадровый дефицит только в Мексике и Бразилии достигал 516 тысяч человек. При этом 94% организаций планируют увеличивать штат специалистов по кибербезопасности. Страны сталкиваются с оттоком кадров из-за невысокого уровня зарплат относительно других регионов — многие специалисты из Латинской Америки предпочитают переехать в Северную Америку или Европу в поисках возможностей для карьеры и образования. По данным e-Governance Academy, только в 12 странах региона есть программы бакалавриата по информационной безопасности и в 15 странах — специализированные программы магистратуры.

Существуют и проблемы политического плана. Подход к кибербезопасности во многом остается реактивным — когда необходимые действия принимаются только в ответ на уже случившиеся инциденты. При таком подходе могут не учитываться новые опасные угрозы. Недостаточно ответственное отношение к безопасности проявляется и в сфере законодательства. Например, далеко не все страны региона приняли национальные стратегии по кибербезопасности. В ноябре 2022 года был опубликован план цифрового развития для стран Латинской Америки и Карибского бассейна, в котором целью стояло принятие к 2024 году национальных стратегий по кибербезопасности для 20 из 33 стран региона. Вопросы безопасности критической инфраструктуры также проработаны лишь в стратегиях некоторых государств. Среди стран Латинской Америки нет унифицированного законодательства в области кибербезопасности или защиты данных. Появляются отдельные инициативы по приведению законов в соответствие с лучшими практиками: например, Бразилия и Аргентина обновили свое законодательство по защите персональных данных по примеру европейского GDPR. Тем не менее требования законодательства различаются в каждой стране региона, что может создавать дополнительные сложности при трансграничной передаче данных и в рамках борьбы с киберпреступностью. Некоторые страны региона, например Бразилия, Аргентина, Колумбия, Чили, Коста-Рика подписали Будапештскую конвенцию о борьбе с киберпреступностью, однако на региональном уровне процессы унификации законодательства и взаимодействия в противостоянии киберугрозам пока продвигаются очень медленно.

В 24 странах региона есть национальные команды реагирования на киберинциденты. Но даже в тех странах, где существует порядок информирования о киберинцидентах и взаимодействия с CERT/CSIRT, специалисты по кибербезопасности в организациях не всегда знакомы с этими процессами. В исследовании LATAM CISO 2023 Cybersecurity Report отмечается, что хотя большинство респондентов понимает порядок взаимодействия с CERT, 32% сообщили, что не знают, куда и как обращаться в случае обнаружения киберинцидента. Помимо этого, 35% респондентов высказывают низкую степень доверия к национальным CERT.

Цели и последствия кибератак

На страны Латинской Америки в 2022 году было направлено 12% от общего количества атак, по данным отчета IBM. Существует явная корреляция между размером экономики, развитием цифровых технологий в стране и количеством атак. Прежде всего целями злоумышленников становились организации и частные лица в Бразилии (22% от всех атак на регион), Мексике (12%), Аргентине (10%), Коста-Рике (9%), Колумбии (9%) и Чили (8%).

Рисунок 5. Распределение успешных атак по странам региона

По результатам опроса руководителей ИБ, приведенным в отчете LATAM CISO 2023 Cybersecurity Report, 71% респондентов отметили, что количество атак на их организации увеличилось за год, и только 8% говорили о снижении числа атак. По итогам опроса ESET, 69% респондентов заявили, что столкнулись с инцидентом безопасности в последний год. В исследовании Fortinet сообщается, что 58% респондентов ожидают увеличения числа атак в ближайшем будущем.

С начала 2022 года и до конца первого полугодия 2023 года большинство успешных атак на организации в регионе пришлось на государственные учреждения (31%), промышленные предприятия (11%), финансовые организации (9%) и ритейл (9%).

Рисунок 6. Категории жертв среди организаций

13% успешных атак направлены на частных лиц.

78% успешных атак имели целенаправленный характер, то есть были направлены на конкретную организацию, отрасль или частных лиц.

Рисунок 7. Топ-5 категорий жертв по странам

На частных лиц пришлось 13% успешных атак в регионе, что немного ниже общемирового значения (17%), однако если посмотреть на такие страны, как Мексика и Бразилия, то здесь доля будет выше — 23% и 20% соответственно.

Успешные атаки на организации преимущественно приводили к утечке конфиденциальной информации (61%) и нарушению деятельности (52%). Причем такие последствия атак встречались чаще, чем в среднем по миру. Это связано с высокой активностью операторов шифровальщиков в регионе.

Рисунок 8. Последствия атак (доля атак)

Основным мотивом атакующих, вероятно, является стремление к финансовой выгоде. Атак, связанных с кражей данных, много, но злоумышленников интересует не сама украденная информация (по большей части персональные и учетные данные): скорее всего, они используют ее для продажи на теневых рынках для проведения дальнейших атак и в целях вымогательства. Это подтверждается и высокой долей применения программ-вымогателей — 63% от общего числа атак на организации.

Самым громким инцидентом в регионе за последние два года стала беспрецедентная серия атак вымогателей на правительственные организации Коста-Рики, которая затронула IT-системы 27 учреждений. Из-за недоступности большей части IT-инфраструктуры в стране было объявлено чрезвычайное положение. Только за первые 48 часов действия преступников нанесли ущерб в 125 миллионов долларов, а процесс восстановления инфраструктуры Коста-Рики длился несколько месяцев.

Госучреждения

Госучреждения чаще всего становились жертвами атак. Они представляют для киберпреступников интерес по ряду причин. Государственные учреждения хранят обширные базы данных, включающие персональные данные граждан, информацию о национальной безопасности, экономические данные и многие другие. Эта информация может быть использована для вымогательства, шпионажа или продана на теневом рынке.

Государственные системы проходят процесс диджитализации, и все больше услуг предоставляется онлайн, но эти технологии сразу попадают под прицел хакеров. Например, как только правительство Ямайки внедрило электронную систему для заполнения таможенных и иммиграционных форм, она была взломана — злоумышленники запрашивали у ничего не подозревающих пользователей 35 долларов за доступ к системе.

С другой стороны, некоторые государственные учреждения в регионе используют устаревшие или недостаточно защищенные информационные системы, что делает их легкой мишенью для кибератак. Недостаточное финансирование, низкий уровень подготовки сотрудников в области кибербезопасности также могут играть свою роль. Например, в сентябре 2022 года группировка Guacamaya проникла на серверы государственных структур Мексики, Чили, Перу, Колумбии и Сальвадора через уязвимость ProxyShell в службе Exchange. Официальное обновление безопасности было выпущено еще в начале 2021 года, однако в скомпрометированных организациях не установили этот патч. В случае с атакой на Министерство обороны Мексики злоумышленники эксплуатировали уязвимости в бесплатном почтовом сервере Zimbra — предположительно это ПО применялось в рамках политики экономии из-за сокращений бюджета.

Кибератаки могут быть инструментом политического давления, дестабилизации или демонстрации силы. Они также могут использоваться для вмешательства в выборы или другие государственные процессы. Некоторые группировки могут атаковать государственные учреждения, чтобы продвигать свои идеологические убеждения. Например, упомянутая выше Guacamaya — это группа хактивистов, действующая (по их собственным утверждениям) в поддержку защиты окружающей среды в Южной Америке. Киберпреступники похищают и публикуют данные государственных учреждений и промышленных компаний. За время своего существования (с 2022 года) хактивисты опубликовали более 20 ТБ украденных данных.

Промышленность и энергетика

Производство и энергетическая промышленность, в частности нефтяная, имеют важное значение для экономического роста и развития Латинской Америки. Перебои в работе промышленного и энергетического сектора могут иметь каскадные эффекты, приводящие к экономическим и общественным проблемам. В 58% случаев успешные атаки приводили к нарушениям в работе IT-инфраструктуры промышленных предприятий.

Производственные организации могут обладать ценной интеллектуальной собственностью. Злоумышленникам удавалось похитить данные в 77% успешных атак, причем в половине случаев среди украденной информации содержались сведения, составляющие коммерческую тайну. Особенно активной в этом плане была все та же Guacamaya: в 2022 году хактивисты опубликовали более 2 ТБ информации, похищенной у добывающих предприятий в Центральной и Южной Америке.

Около 6% всех объявлений в дарквебе (которые относятся к рассматриваемому региону) составляют объявления о продаже доступов в сети предприятий из сектора промышленности и энергетики. В среднем стоимость такого доступа составляет 600–800 долларов, но зависит от размера компании и уровня привилегий. Например, доступ к энергетической компании в Аргентине продается за 1700 долларов.

Рисунок 9. Продажа доступа к аргентинской энергетической компании

Финансовый сектор

Финансовый сектор остается одной из основных целей для киберпреступников в Латинской Америке главным образом из-за масштабной цифровой трансформации в этой отрасли и потенциальной выгоды для злоумышленников. Тем не менее финансовые организации относительно хорошо защищены: за последние два года не было громких атак, которые приводили к значимым перебоям в обслуживании или краже крупных сумм денег. Главным образом преступников интересовали конфиденциальные данные и возможность получения выкупа: в 70% успешных атак злоумышленники похищали конфиденциальную информацию о клиентах финансовых организаций.

Вымогательское ПО использовалось в 45% атак; чаще всего это были шифровальщики семейства LockBit и BlackCat. Например, в октябре 2022 года группировка вымогателей атаковала банк Бразилии, используя вредонос LockBit, и запросила выкуп в 50 биткоинов, что на тот момент составляло около 1 миллиона долларов. Атака привела к временным перебоям в работе клиентских сервисов и утечке данных.

В 2023 году в Латинской Америке, в частности в Мексике, начало распространяться вредоносное ПО для банкоматов FiXS, которое позволяет злоумышленникам выводить из устройств наличные деньги. В последние несколько лет число атак на банкоматы непрерывно снижалось, однако в начале этого был снова отмечен всплеск такого ВПО.

Кроме того, злоумышленники атакуют не только сами банки, но и их пользователей. Особенно клиентов бразильских банков, которые пользуются популярной системой моментальных платежей PIX — в последнее время появилось несколько банковских троянов, разработанных специально для атак на эту систему. В целом с развитием электронных платежей и диджитал-банков стоит ожидать дальнейшего роста числа угроз для пользователей, которые небрежно относятся к собственной безопасности и легче становятся жертвами фишинговых атак. Поэтому банкам следует уделять больше внимания защите своих приложений, а также повышению киберграмотности среди клиентов.

Ритейл

Среди атак, направленных на организации, 9% пришлись на сферу ритейла. Главным образом это были компании из крупнейших стран региона: Бразилии, Аргентины и Мексики. Например, атакам подвергались Mercado Libre, Fast Shop, Rede Top.

В IT-системах таких компаний обрабатывается и хранится огромное количество данных о пользователях — эта информация представляет интерес для злоумышленников. Кроме того, к онлайн-магазинам подключены различные платежные системы, что открывает возможности для кражи денег и перехвата данных банковских карт. В рассматриваемый период 68% успешных атак приводили к утечке данных — в основном это были персональные данные клиентов.

Вымогатели являются главной угрозой для ритейла: они применялись в 84% успешных атак. При этом онлайн-площадки крайне чувствительны к перебоям в работе — день простоя может стоить компании миллионы долларов. Например, бразильский конгломерат Americanas.com сообщил о потере 184 миллионов долларов из-за кибератак, которые привели к остановке онлайн-продаж на несколько дней. Всего к нарушению деятельности компаний приводили 58% успешных атак.

Электронная коммерция — одна из самых быстро развивающихся сфер в Латинской Америке, и значительную ее часть (53%) составляет ритейл. Как ожидается, в период с 2023 по 2026 год онлайн-ритейл будет показывать среднегодовой темп роста в 21%, что позволяет прогнозировать увеличение числа атак на эту сферу.

Основные угрозы

Атаки на организации преимущественно связаны с компрометацией компьютеров, серверов и сетевого оборудования (87%). Успешные атаки на веб-ресурсы составили 15%, среди которых 54% инцидентов пришлось на эксплуатацию известных уязвимостей и публично доступных эксплойтов.

Более трети атак на частных лиц (34%) приходится на мобильные устройства — этот показатель выше среднего по миру (22%) и близок к значениям для азиатских стран (37%). Популярность такого вектора атак связана с высоким уровнем проникновения мобильного интернета и использования мобильных устройств в регионе. В отчете The 2023 Latin America E-commerce Blueprint отмечается, что в 2023 году 70% онлайн-покупок и прочих платежей проводятся через смартфоны, и эта доля ежегодно увеличивается. К тому же с каждым годом растет число пользователей мобильных устройств; прогнозируется, что к 2025 году их доля среди населения составит 74%. Следовательно, и количество атак на мобильные устройства будет расти.

Рисунок 10. Объекты атак (доля атак)

В каждой второй успешной атаке, направленной на организации, используется социальная инженерия (53%). Эксплуатация уязвимостей зафиксирована в 27% случаев, а компрометация учетных данных — в 19% атак. Вредоносное ПО одинаково часто применяется как в атаках, нацеленных на организации (80%), так и в атаках на частных лиц (78%).

Рисунок 11. Методы атак (доля атак)

Вредоносное ПО

В странах Латинской Америки зафиксирован самый высокий процент использования шифровальщиков в атаках на организации (79%) по сравнению со средним мировым показателем (53%).

Рисунок 12. Типы вредоносного ПО (доля успешных атак с использованием ВПО

В атаках на частных лиц вредоносное ПО используется чаще, чем в любых других регионах: 78% атак совершается с применением вредоносов, в основном шпионского ПО (40%) и банковских троянов (32%). Этому способствуют следующие факторы: широкое использование пиратских версий программного обеспечения, использование непроверенных программ VPN для доступа к заблокированным ресурсам и общий низкий уровень знаний об информационной безопасности.

Основные пути распространения вредоносного ПО для организаций — это электронная почта (54%) и компрометация компьютеров и серверов (35%). На устройства частных лиц вредоносные программы попадают при посещении пользователями зараженных сайтов (55%), через вложения и ссылки в электронных письмах (29%). Официальные магазины приложений также могут стать источником заражения, когда злоумышленникам удается обойти системы защиты и выдать свои программы за легитимные.

Рисунок 13. Способы распространения вредоносного ПО в успешных атаках на организации
Рисунок 14. Способы распространения вредоносного ПО в успешных атаках на частных лиц

Атаки вымогателей

В то время как в мире в целом есть тенденция к снижению количества атак вымогателей, в Латинской Америке эта угроза нарастает. По данным отчета IBM X-Force Threat Intelligence Index, число инцидентов, связанных с шифровальщиками, в Латинской Америке в 2022 году выросло на 3%. Причем совершенствуются и методы работы преступников — среднее время проведения атаки сократилось с двух месяцев до четырех дней. Если сравнить первые полугодия 2022 и 2023 года, то рост числа атак вымогателей в регионе сохраняется на том же уровне — 3%.

Почти треть атак шифровальщиков (31%) пришлись на государственные учреждения. Эта доля значительно выше, чем в остальных регионах, и в 2,2 раза превышает общемировой показатель в 14%. Промышленные предприятия, ритейл, медицинские и образовательные учреждения также входят в топ-5 категорий жертв вымогателей.

Рисунок 15. Категории жертв вымогателей

Компании все еще не готовы самостоятельно справляться с последствиями атак шифровальщиков. Например, по результатам исследования, проведенного компанией Veeam в странах Латинской Америки, 58% респондентов заявили, что их организация заплатила выкуп и смогла восстановить данные, 14% заплатили выкуп, но вернуть данные не удалось. Только 21% респондентов ответили, что не стали платить вымогателям, потому что смогли восстановить данные из резервных копий. По данным Veeam, в 77% случаев организации платили выкуп за счет страховки, однако в последнее время условия страхования киберрисков стали меняться: страховые компании начали увеличивать сумму франшизы и страховые взносы. Некоторые страховые компании теперь вовсе исключают из покрытия атаки шифровальщиков — об этом заявляют 20% респондентов.

Вероятно, из-за того, что большое количество организаций стало жертвами атак вымогателей и других угроз, непосредственно затрагивающих данные, самой распространенной технологией безопасности в корпоративных сетях стали системы резервного копирования — они используются в 88% организаций. При этом по результатам другого исследования, Thales Data Threat Report, только 60% респондентов заявили, что в их организации есть план действий на случай атаки шифровальщика (это уже значительное улучшение по сравнению с 2021 годом, когда такой ответ дали всего 42% респондентов).

В регионе действует множество группировок вымогателей, наиболее активными из которых в последние два года были следующие:

  • LockBit

Жертвами группировки вымогателей LockBit, действующей с 2019 года, в Южной Америке стали как правительственные, так и частные организации. Не все атаки проводились самой группировкой: LockBit распространяет одноименное вредоносное ПО по модели ransomware as a service (RaaS).

  • BlackCat (ALPHV, UNC4466, Noberus)

Группировка вымогателей BlackCat активна с 2021 года. Киберпреступники атакуют как частные, так и правительственные организации в Южной Америке и в мире.

  • Cl0p

Группировка вымогателей Cl0p была обнаружена в 2019 году. Злоумышленники атакуют широкий спектр отраслей по всему миру, но в Южной Америке вымогатели нацелились на университеты и финансовые организации Мексики, Колумбии и Пуэрто-Рико.

  • BlackByte

Группировка вымогателей BlackByte была впервые замечена в 2019 году. Киберпреступники действуют по всему миру, а в Латинской Америке они атаковали промышленные и государственные организации в Мексике, Аргентине и Перу. Как и LockBit, распространяют свой шифровальщик по модели RaaS.

  • Rhysida

Группировка злоумышленников Rhysida появилась в мае 2023 года. Киберпреступники маскируются под команду кибербезопасности, пытающуюся помочь жертвам. В Южной Америке Rhysida нацелилась на государственные и медицинские организации. В мае 2023 года группировка атаковала IT-инфраструктуру армии Чили, что привело к значительным нарушениям в работе систем и утечке конфиденциальной информации.

  • Conti

Группировка вымогателей Conti проводила атаки на частные и государственные организации по всему миру. В апреле 2022 года злоумышленники начали кампанию, нацеленную на правительственные учреждения Коста-Рики. Серия кибератак привела к отключению многих государственных систем почти на месяц, утечке 672 ГБ данных и введению чрезвычайного положения в стране. Но к концу июня 2022 года группировка Conti закрыла свои сайты и прекратила существование, предположительно разделившись на несколько меньших организаций.

Развитие теневых рынков

На теневых площадках злоумышленники ведут торговлю и обмен доступами в сети организаций, украденными данными, инструментами и услугами для проведения атак. Интерес к организациям стран Латинской Америки растет: количество сообщений в дарквебе, которые относятся к рассматриваемому региону, за три квартала 2023 года уже превысило на 32% количество сообщений за весь 2022 год. Более половины объявлений (53%), где указана конкретная страна региона, касаются Бразилии, Аргентины или Мексики.

Рисунок 16. Распределение объявлений по странам региона

Большая часть сообщений в дарквебе (70%) содержат объявления о продаже или покупке доступа в инфраструктуру организаций. Пятая часть (22%) объявлений связаны с покупкой, продажей или раздачей баз данных с конфиденциальной информацией. Новости о взломе ресурсов составляют около 6% сообщений.

Рисунок 17. Распределение объявлений по темам

Чаще всего в дарквебе продаются доступы к сетям организаций финансового сектора, госучреждений, IT-компаний, промышленных предприятий и организаций сферы услуг. Базы данных, которые продаются на форумах или раздаются бесплатно, как правило, содержат информацию, утекшую из государственных учреждений, телекоммуникационных компаний, онлайн-магазинов и финансовых организаций.

Рисунок 18. Распределение объявлений по темам и отраслям

Стоимость доступа зависит от нескольких факторов: от характеристик самой организации, например сферы деятельности и годового дохода, и от типа предлагаемого доступа и уровня привилегий учетной записи. В среднем стоимость оценивается в 600 долларов США. Дороже всего стоят учетные данные для подключения к инфраструктуре финансовых организаций: доступ к банку предлагается в среднем за 1400 долларов, а максимальная цена достигает 18 тысяч.

Рисунок 19. Средняя стоимость доступа в сеть организации в дарквебе (в долларах США)
Рисунок 20. Продажа доступов в три организации Латинской Америки
Рисунок 21. Продажа доступов в две организации Латинской Америки

Социальная инженерия

Атаки с использованием социальной инженерии представляют собой одну из основных угроз для региона, как в отношении организаций, так и частных лиц. Например, шифровальщики проникали в корпоративные сети через электронную почту в 53% успешных атак. В отчете KPMG Fraud Outlook сообщается, что 32% респондентов из Латинской Америки отметили увеличение числа попыток фишинговых атак в 2022 году, а из отчета LATAM CISO Report: Cybersecurity Insights From Industry Leaders следует, что 88% руководителей ИБ считают различные формы социальной инженерии главной угрозой для компаний.

Исследования, проводимые компанией KnowBe4, показывают, что уровень осведомленности сотрудников в организациях Латинской Америки ниже по сравнению с другими регионами: так, 41% пользователей не может распознать фишинговую атаку. То есть четверо из десяти сотрудников могут загрузить и запустить вложение из фишингового письма, перейти по вредоносной ссылке или передать злоумышленникам учетные данные. В остальных регионах этот показатель не превышает 35%.

Рисунок 22. Каналы социальной инженерии

Частные лица подвергаются атакам с применением социальной инженерии через социальные сети и мессенджеры, рассылки в электронной почте, но чаще всего — при посещении фишинговых или скомпрометированных сайтов (58%). Больше всего фишинговых сайтов наблюдается в бразильском сегменте. По данным SocRadar, с октября 2022 года по октябрь 2023 года было зарегистрировано более 2600 потенциальных фишинговых доменов с целью подделки сайтов бразильских организаций. В отчете Brazilian Public Security Yearbook сообщается, что количество случаев онлайн-мошенничества в 2022 году увеличилось на 66%. В остальных странах региона угроза также актуальна: за тот же период около 1000 фишинговых доменов были зарегистрированы в Колумбии, более 800 — в Аргентине, более 500 — в Мексике и Перу. В основном злоумышленники имитируют сайты криптовалютных бирж, финансовых организаций и государственных услуг.

В мае 2023 года исследователи выявили масштабную фишинговую кампанию, нацеленную на частных лиц и организации в Мексике. Злоумышленники отправляли пользователям письма с вложением, имитирующим налоговую квитанцию формата CFDI, принятого в Мексике. При открытии вложения на устройство пользователя загружалось вредоносное ПО, способное перехватывать учетные данные для доступа к банковским аккаунтам. Как полагают эксперты, эта кампания началась еще в 2021 году, и за последние два года злоумышленники обманули более 4000 жертв на сумму свыше 55 миллионов долларов.

Банковские трояны

Банковские трояны представляют опасность в первую очередь для частных лиц в Латинской Америке; эти вредоносы составляют треть (32%) от всего используемого ВПО. В регионе распространяются множество банковских троянов, например BBTok, GoatRAT, PixBankBot, Grandoreiro. Особенно подвержены атакам жители Бразилии и Мексики; вероятно, эти страны представляют для злоумышленников больший интерес из-за численности населения и широкого использования онлайн-банкинга.

В сентябре 2023 года в Латинской Америке начал распространяться банковский троян BBTok, который нацелен на жителей Мексики и Бразилии. Вредонос воспроизводит интерфейсы более чем 40 мексиканских и бразильских банков, в том числе Citibank, Scotibank, Banco Itaú и HSBC. Это позволяет злоумышленникам обмануть пользователя — заставить его ввести код двухфакторной аутентификации для доступа к банковскому аккаунту и таким образом перехватить контроль над аккаунтом. Кроме того, вредонос может похищать номера платежных карт.

В Бразилии атаки в последнее время направлены на систему моментальных платежей PIX. Например, троян GoatRAT нацелен на пользователей трех бразильских банков: Nubank, Banco Inter и PagBank. Этот троян может перехватывать ключ PIX, который необходим для осуществления денежных переводов, и похищать деньги с банковского счета жертвы.

Утечки данных

По данным IBM, средняя сумма ущерба от утечки информации в странах Латинской Америки за год выросла на 32% и на начало 2023 года составила 3,69 миллиона долларов. Наибольшее количество атак, которые привели к утечке данных, приходится на госсектор (27%), промышленность (15%), финансовые организации (10%), ритейл (10%) и образовательные учреждения (7%).

Рисунок 23. Отрасли с наибольшим количеством утечек данных (доля среди успешных атак, приведших к краже данных)

В атаках на организации злоумышленники в первую очередь похищали персональные данные (40% от общего объема украденной информации) и сведения, содержащие коммерческую тайну (21%). Чаще всего персональные данные граждан утекали из систем госучреждений, финансовых и образовательных организаций. Причиной утечек данных в организациях становились в основном атаки вымогателей, которые требовали выкуп за неразглашение украденных сведений. Атаки на частных лиц приводили к краже учетных и персональных данных (38% и 25% соответственно) и данных платежных карт (25%).

Рисунок 24. Типы украденных данных в атаках на организации

Рисунок 25. Типы украденных данных в атаках на частных лиц

Злоумышленники могут продавать скомпрометированные данные на теневых рынках или выкладывать их в открытый доступ. Например, данные аргентинского госпиталя Garrahan, пострадавшего от кибератаки в 2022 году, были выставлены на продажу в дарквебе за 1500 долларов.

Рисунок 26. Продажа базы данных аргентинского госпиталя

Среди баз данных, которые можно найти в дарквебе, 28% были похищены из госучреждений, 20% — из IT-компаний, 8% — из финансовых организаций.

Рисунок 27. Продажа баз данных в дарквебе (категории жертв среди компаний)

Заключение и рекомендации

В странах Латинской Америки за последние годы произошел ряд атак, которые повлияли на функционирование критически важных отраслей и даже целого государства. Регион оказался наименее подготовленным к кибергурозам по ряду причин, связанных с экономическими и социальными факторами, а также с быстрым внедрением цифровых технологий без обеспечения необходимой защиты. Мы полагаем, что сотрудничество между странами, инвестиции в безопасность, политическая поддержка изменений и повышение уровня образования — это основные шаги, которые следует предпринять, и предлагаем ряд мер, направленных на повышение кибербезопасности отдельных организаций, отраслей и всего региона.

Рекомендации для государств

Принятие национальных стратегий в области информационной безопасности

Лишь часть стран Латинской Америки приняли национальные стратегии в области ИБ. Хотя само по себе принятие стратегии не гарантирует повышения уровня защищенности, эти документы задают вектор развития и показывают важность кибербезопасности на уровне государства. Необходимо разрабатывать, внедрять и своевременно обновлять национальные политики и стратегии в области кибербезопасности с участием широкого круга заинтересованных сторон. Процесс разработки стратегии должен иметь необходимый бюджет и политическую поддержку для обеспечения эффективной координации и понятного распределения ответственности.

Национальная стратегия ИБ должна включать оценку угроз, содержать четко определенные цели и задачи, направленные на их достижение. В разработку стратегии нужно вовлекать представителей правительственных организаций, бизнеса, сектора кибербезопасности. Проекты стратегии должны проходить через публичное общественное обсуждение.

Унификация законодательства в области кибербезопасности и защиты персональных данных

Желательно рассмотреть возможность унификации стандартов по кибербезопасности среди стран региона для более эффективного взаимодействия между государствами либо предусмотреть общие механизмы международного сотрудничества и обмена информацией о международных киберугрозах.

Законодательство в области кибербезопасности и защиты данных должно регулярно обновляться, чтобы соответствовать актуальным киберугрозам и успевать за развитием технологий. Законодательство должно способствовать эффективной координации между различными правоохранительными органами и органами безопасности.

Защита критической информационной инфраструктуры

Государства должны определить недопустимые события на уровне отраслей и страны. Такой подход позволит эффективно распределять ресурсы для обеспечения защиты наиболее важных систем. В первую очередь необходимо рассмотреть инфраструктуру таких секторов, как государственные предприятия, промышленность, финансового сектора, а также других отраслей, критически важных для экономики и национальной безопасности, например электронной коммерции, сельского хозяйства. При этом необходимо учитывать скорость цифровой трансформации в стране и уровень зрелости ИБ.

Создание национальных и отраслевых центров по реагированию на киберинциденты и совершенствование механизмов взаимодействия с организациями

Национальные команды по реагированию на киберинциденты отвечают за мониторинг угроз и помощь организациям в восстановлении после серьезных кибератак. Создание таких структур должно быть приоритетной задачей при реализации стратегии национальной безопасности и безопасности критической инфраструктуры. В 2023 году только 24 страны региона имели национальные CERT/CSIRT. Странам, в которых такие структуры уже существуют, следует создать отраслевые CERT и сотрудничать для поддержки создания региональных центров реагирования. Также следует учитывать, что механизмы уведомления об инцидентах могут быть недостаточно понятными для специалистов по безопасности. Необходимо разработать четкие и прозрачные механизмы уведомления о киберинцидентах, происходящих в организациях, прилагать усилия к повышению доверия к национальным CERT и взаимодействию с государственными структурами. Улучшенный обмен информацией между организациями и центрами кибербезопасности может помочь предотвращать атаки и своевременно реагировать на новые угрозы.

Реагирование на киберугрозы должно быть интегрировано в общую стратегию по защите и восстановлению критической национальной инфраструктуры.

Повышение уровня осведомленности и поддержка образования в области ИБ

Государства должны инвестировать в кампании по информированию общественности об актуальных угрозах и защите от них. В регионе, как и во всем мире, наблюдается нехватка квалифицированных специалистов по кибербезопасности, поэтому популяризация этой области и связанных с ней профессий, развитие образовательных программ в учебных заведениях должна быть в приоритете у государства.

Международная кооперация

Киберпреступность давно вышла за пределы границ одного государства, поэтому для стран крайне важно сотрудничать друг с другом в борьбе с киберугрозами. Обмениваясь информацией, ресурсами и экспертизой, страны могут коллективно укреплять свои защитные меры и снижать риски, исходящие от киберпреступников из разных юрисдикций. Национальные стратегии по кибербезопасности должны включать в себя задачи по развитию международных отношений в области ИБ.

Рекомендации для бизнеса

Определение недопустимых для бизнеса событий и критически важных активов

Для обеспечения киберустойчивости компаниям в первую очередь необходимо провести анализ основных рисков и составить перечень недопустимых событий, которые могут нанести существенный ущерб их деятельности. Этот шаг позволит определить критически важные активы и сосредоточиться на защите самых ценных ресурсов. Следует разработать стратегию для предотвращения недопустимых событий, включая необходимые меры безопасности и мониторинг сетевой активности с использованием современных средств защиты.

Мониторинг и реагирование на киберугрозы

Системы мониторинга и обнаружения инцидентов необходимы, чтобы своевременно реагировать на потенциальные угрозы и атаки. С этой целью рекомендуется использовать SIEM-системы, которые собирают и анализируют информацию о событиях безопасности из различных источников в реальном времени. Если использовать их совместно с решениями XDR, которые обеспечивают централизованное обнаружение угроз и реагирование на них, а также решениями NTA, которые анализируют сетевой трафик, — это позволит повысить эффективность защиты, обнаруживать атаки на ранних стадиях и обеспечивать быструю реакцию на угрозы, снижая риски для организации.

Оценка эффективности кибербезопасности

Следует регулярно проводить практическую проверку эффективности принятых мер кибербезопасности, чтобы оценить работоспособность стратегии и средств защиты. Особое внимание рекомендуется уделять верификации недопустимых для организации событий.

Кроме того, стоит рассмотреть участие в программах bug bounty, которые позволяют привлечь внешних исследователей безопасности для поиска новых уязвимостей. Такие программы помогут обнаружить и устранить уязвимости до того, как они будут использованы злоумышленниками.

Обучение сотрудников и развитие специалистов по ИБ

Важно обучать сотрудников основам кибербезопасности и проводить тренинги, чтобы повысить осведомленность об актуальных угрозах и укрепить навыки защиты от социальной инженерии.

Для эффективной борьбы с киберугрозами организациям следует инвестировать в развитие своих специалистов по ИБ. Регулярное обучение и сертификация сотрудников в области кибербезопасности помогут улучшить их знания и навыки, а также обеспечат компании экспертную поддержку в предотвращении кибератак и реагировании на них. Одним из наиболее эффективных способов тренировки является участие в киберучениях на специализированных площадках, где специалисты по ИБ могут отработать навыки распознавания техник атак и противодействия им.

Методология

Данные и выводы, представленные в этом отчете, основаны на собственной экспертизе Positive Technologies, а также анализе общедоступных ресурсов, включая публикации правительственных и международных организаций, научно-исследовательские работы и отраслевые доклады.

По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание организаций и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В нашем отчете каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько атак. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.