Актуальные киберугрозы в ритейле

Ритейлеры играют важную роль в экономике, поскольку обеспечивают доступность для конечных потребителей широкого ассортимента товаров и услуг, создают рабочие места, а также предоставляют возможности для предпринимательства. Рынок электронной коммерции продолжает расти из года в год. Многие компании уже опубликовали финансовые результаты по итогам 2023 года, например, товарооборот сервисов электронной коммерции «Яндекс» увеличился на 64% по сравнению с предыдущим годом, а оборотмаркетплейса Ozon, одного из крупнейших российских сервисов электронной коммерции, вырос на 110% за 2023 год за счет увеличения количества заказов более чем в два раза.

Существует несколько причин, которые делают рынок розничной торговли в целом и e-commerce как его часть привлекательными для злоумышленников. Во-первых, масштабы современной онлайн-торговли предусматривают практически непрерывное совершение онлайн-транзакций и огромный оборот финансовых средств, несанкционированный доступ злоумышленников к которым несет серьезную угрозу как для бизнеса, так и для клиентов. Во-вторых, ритейлеры и площадки электронной коммерции обрабатывают значительный объем персональных данных клиентов и сотрудников и, как следствие, периодически подвергаются атакам с использованием методов социальной инженерии и фишинга. В-третьих, ключевые онлайн-каналы продаж — веб-ресурсы магазинов и маркетплейсы — всегда доступны в интернете, это дает киберпреступникам возможность постоянно изучать их и искать уязвимости для получения доступа к данным или нарушения работы сервисов.

Кроме того, компании торгового сектора постоянно сталкиваются с вызовами, такими как конкуренция и изменение потребительского поведения. Это создает необходимость адаптироваться к изменяющимся требованиям рынка и спешно внедрять новые технологии, которые могут быть недостаточно проверены с точки зрения информационной безопасности и содержать уязвимости.

В этом исследовании мы рассмотрим наиболее значимые угрозы, с которыми столкнулись ритейл-компании, в частности e-commerce, в 2023 году.

Розничная торговля в современном мире переживает значительные изменения, стремясь адаптироваться к потребностям современного покупателя. Онлайн-бизнес становится более привлекательным благодаря удобству покупок и широкому выбору товаров. Многие компании активно развивают свое онлайн-присутствие, предлагая потребителям возможность совершать покупки в виртуальном пространстве. Тем не менее многие компании сохраняют офлайн-модель торговли, осознавая потребность в физическом взаимодействии с клиентами и возможности оценить товар перед покупкой. Отдельные компании также стремятся развиваться в направлении online-to-offline (O2O), объединяя онлайн-коммерцию с физическими точками продаж для максимального удовлетворения потребностей клиентов. Эта стратегия позволяет компаниям создать гибкую и разностороннюю модель бизнеса, способную эффективно конкурировать в современной розничной среде.

Для всех компаний в розничной торговле, вне зависимости от их присутствия в онлайн-сфере, важно осознавать, что наличие киберугроз может повлечь за собой следующие риски для бизнеса:

• Финансовые издержки от простоя, траты на восстановление инфраструктуры. Кибератаки могут привести к блокировке доступа к критически важным ресурсам компании, удалению программного обеспечения, потере данных и, как следствие, нарушению основных бизнес-процессов.
• Нарушение цепочек поставок и транспортировки. В результате атаки могут появиться серьезные проблемы с поставками товаров и отгрузкой заказов, что в свою очередь может привести к убыткам и недовольству клиентов.
• Репутационный ущерб. Крупные киберинциденты ведут к потере лояльности клиентов, снижению конкурентоспособности компании и уменьшению ее доли на рынке, недовольству сотрудников, уходу ключевых лиц из компании и даже к потере партнерских контрагентов (что может привести к долгосрочному снижению продаж и прибыли, а также падению стоимости акций).
• Полное или частичное банкротство, закрытие магазинов и филиалов в связи с невозможностью окупить финансовые затраты на восстановление после кибератаки. Это самый негативный сценарий, с которым могут столкнуться компании.

Рассмотрим основные последствия кибератак для ритейла и e-commerce, которые приводят к реализации описанных киберрисков.

Утечки данных: кто и зачем крадет информацию

Утечки конфиденциальной информации стали наиболее частым следствием успешных кибератак на ритейл-компании и e-commerce: они и были зафиксированы в 74% инцидентов 2023 года, что на восемь процентов больше показателя 2022-го. Так, уже в начале 2023 года произошла утечка данных 10 млн клиентов британской сети магазинов спортивной одежды JD Sports.

Основной целью злоумышленников, атакующих электронную коммерцию и весь ритейл в целом, является получение персональных данных клиентов. Практически половина (46%) утечек конфиденциальной информации у ритейлеров содержала эти данные.

Например, в первом квартале 2023 года кибератаке подверглась компания PharMerica, один из крупнейших поставщиков фармацевтических услуг в США. В результате произошла утечка данных о 5,8 млн человек: были украдены имена, адреса, даты рождения, номера социального страхования, информация о лекарствах и медицинской страховке. Компания не только осуществляет розничную продажу фармацевтических препаратов, но также предоставляет услуги клинического консалтинга. Украденные данные были опубликованы на теневом рынке группировкой вымогателей Money Message, которая взяла на себя ответственность за кибератаку. О программах-вымогателях мы расскажем далее.

Полученные злоумышленниками персональные, платежные и учетные данные клиентов и сотрудников компании затем могут использоваться в разных целях. Наиболее популярны следующие сценарии: вымогательство и угроза раскрытия конфиденциальной информации, если компания не заплатит выкуп; продажа данных на теневом рынке; проведение атак на частные лица с применением фишинга и социальной инженерии для реализации мошеннических финансовых схем.

Стоит отметить, что 2023 год ознаменовался крупными утечками через веб-ресурсы и у российских ритейл-компаний. В июне в открытом доступе были опубликованы базы данных клиентов нескольких крупных ритейлеров. По данным телеграм-канала «Утечки информации», в сети оказались более 7 млн строк с данными клиентов сети магазинов «Ашан», в том числе адреса электронной почты, телефонные номера, адреса доставки или самовывоза. На одном из теневых форумов было опубликовано объявление с дампом базы данных.

В открытом доступе также оказались 4,7 млн уникальных адресов электронной почты и 3,2 млн уникальных номеров телефонов клиентов интернет-магазина «Леруа Мерлен». Для многих записей в базе данных были указаны также дата рождения, пол, город и MD5-хеш-суммы паролей.

Книжные сети «Буквоед», «Читай-город» и Book24 тоже стали жертвами злоумышленников: в открытый доступ были выложены 9,6 млн уникальных адресов электронной почты клиентов «Читай-города», 5,4 млн уникальных логинов покупателей магазинов «Буквоед» (адресов почты, телефонов или идентификаторов в соцсетях Twitter (переименнованной в X), Facebook, «ВКонтакте», «Одноклассники»,) и около 4 млн строк, содержащих телефонные номера и адреса электронной почты пользователей Book24.

За утечками данных клиентов этих торговых сетей стоит хакерская группировка NLB, которой удалось осуществить много успешных кибератак на российские компании ритейла, финансовой сферы и ИТ. Успешность проведенных атак на торговые компании, наиболее вероятно, обусловлена наличием незакрытых уязвимостей на веб-ресурсах. Эксперты считают, что злоумышленники могли получить доступ к системам некоторых компаний, таких как «Твой дом», «Твое» и Book24, через попавшие в открытый доступ веб-серверы системы управления контентом веб-проекта (CMS) от «1С‑Битрикс» устаревших версий, содержащих ряд критически опасных уязвимостей.

Стоит отметить, что ритейлеры и e-commerce становятся жертвами атак во время значимых для торговой отрасли периодов, например в сезон распродаж или в черную пятницу. Это связано с тем, что в период праздников увеличиваются покупательская активность и объем платежных транзакций, а бдительность клиентов и сотрудников снижается. Именно поэтому злоумышленникам интереснее и даже порой проще организовать атаку в этот период. К примеру, ноябрьские дни черной пятницы 2023 года запомнились утечкой персональных данных 11 млн клиентов платформы доставки продуктов Weee!, включая имена пользователей, фамилии, адреса электронной почты, номера телефонов, домашние адреса и даты доставки.

Большой процент утечек объясняется тем, что данных становится все больше, соответственно, для масштабирования и развития бизнеса компании используют распределенные ресурсы, облачные решения, веб-порталы, файловые хранилища. Объем данных нередко становится неконтролируемым. Появляются проблемы инвентаризации инфраструктуры данных, их классификации и управления доступом к ним. Для ритейла и электронной коммерции (равно как и для компаний других отраслей, для которых остро стоит вопрос утечки данных) существует большая потребность в едином решении класса data security platforms (DSPs), позволяющем реализовать data-сentric-подход и управлять различными типами данных независимо от их степени структурированности и локации. Сейчас компании сталкиваются с проблемой определения реальных границ инфраструктуры данных и с операционной неэффективностью управления средствами ИБ. Кроме того, многообразие решений, интегрируемых в систему защиты информации, делает процесс мониторинга обращений к данным и блокировки вредоносной активности сложной задачей.

Остановка продаж

Другим серьезным последствием кибератак на компании торгового сектора стало воздействие злоумышленников на критически важные бизнес-процессы: 30% атак привели к нарушению деятельности компаний.

С нарушением рабочих процессов в результате атак столкнулись компании разных масштабов, начиная с местных рынков и сетевых продуктовых магазинов и заканчивая крупными онлайн-магазинами. К примеру, в результате атаки вируса-шифровальщика была отключена компьютерная система тайваньской компании Changhua County Meat Market Co (мясного рынка округа Чанхуа). Компании удалось всего за одни сутки восстановить работу системы и возобновить продажи.

Последствия же некоторых атак выводили ритейлеров из строя и на более длительный срок. К примеру, в феврале 2023 года британский ритейлер одежды и снаряжения для катания на сноуборде Burton Snowboards стал жертвой кибератаки, в результате которой веб-сайт магазина оказался недоступен, а компания не могла обрабатывать онлайн-заказы, возвраты и претензии по гарантии, а также проверять через сайт количество товаров в магазинах. Восстановление инфраструктуры потребовало немало времени, и в итоге процессы, связанные с веб-сервисами компании, были приостановлены на несколько недель. В период недоступности веб-сайта компания продолжала продажи в офлайн-точках и продлила срок возврата товаров с 30 до 60 дней.

Однако не только онлайн-ритейлеры рискуют нарушением торговой деятельности. Для офлайн-торговли многие компании используют информационные системы, обеспечивающие централизованное управление оборудованием, техникой, кассовыми аппаратами, учетом товарной продукции и т. д. Далеко не всегда интерфейсы администрирования самих систем и отдельных устройств сконфигурированы безопасным образом. Этими недостатками вполне может воспользоваться злоумышленник. Так летом 2023 года в Израиле хакеры взломали систему управления охлаждением сети супермаркетов Shufersal. Получив доступ к веб-интерфейсу управления температурой в промышленных холодильниках и морозильниках, злоумышленники перевели оборудование в режим разморозки, в результате чего многие продукты питания были испорчены.

Как показывает практика, компании рискуют столкнуться сразу с несколькими последствиями кибератак. В начале марта 2023 года Essendant, крупный оптовый дистрибьютор канцелярских товаров в США и ОАЭ, столкнулась с многодневным нарушением работы информационных систем, вследствие чего клиенты не могли размещать онлайн-заказы, а компания не могла отгрузить товар. Вторым последствием атаки стал масштабный удар по цепочке поставок товаров. Essendant обслуживает примерно 30 000 реселлеров и поставляет более 160 000 наименований товаров, включая канцелярские товары, товары для уборки и офисную мебель. Нарушение работы информационных систем и влияние на цепочку поставок неизбежно вело к существенным финансовым потерям и издержкам на восстановление всех бизнес-процессов. Однако на этом проблемы компании не закончились: при проведении кибератаки злоумышленники использовали вредоносную программу-вымогатель LockBit, и спустя несколько дней после начала технического сбоя на теневых площадках было опубликовано сообщение о дальнейших планах злоумышленников разместить в открытом доступе украденные из Essendant данные. В результате такой атаки могут быть нарушены доверительные отношения с поставщиками, клиентами, реселлерами и грузоперевозчиками.

Более чем в половине успешных атак на ритейл-компании (58%) в 2023 году для достижения своих целей злоумышленники использовали вредоносное программное обеспечение (ВПО), что на 7 процентов выше, чем в предыдущем году. По мнению экспертов Trend Micro, в первом полугодии 2023 года торговля вошла в топ-3 отрасли, которые подвергались атакам шифровальщиков и программ-вымогателей.

По нашим данным, среди всех типов ВПО наиболее активно в атаках на компании сферы розничной торговли использовались шифровальщики и программы-вымогатели (68%). В исследовании Sophos отмечается, что 71% успешных атак с применением ВПО привели к шифрованию данных и только в 26% случаев удалось остановить развитие атаки до того момента, как системы были бы заблокированы, а данные зашифрованы.

Чаще других в атаках на зарубежные ритейл-компании использовалась программа-вымогатель LockBit. В феврале 2023-го крупнейшая сеть книжных магазинов в Канаде Indigo Books & Music подверглась кибератаке LockBit, в результате которой были похищены данные бывших и текущих сотрудников компании: имена, домашние адреса, электронная почта, номера социального страхования и банковская информация. На своей странице LockBit разместили сообщение о публикации украденных данных в открытом доступе, поскольку Indigo Books & Music отказались платить выкуп.

Ритейл-компании также стали жертвами новых хакерских группировок. Группа вымогателей Money Message, которая впервые была замечена в начале 2023 года, осуществила атаку на крупного фармацевтического ритейлера США PharMerica, о чем мы рассказывали в начале нашего исследования. Для проникновения в инфраструктуру злоумышленники могут использовать скомпрометированные учетные данные для доступа к отдельным сервисам, продаваемые на теневых рынках, либо организовать атаку методом социальной инженерии. Группировка использует технику двойного вымогательства, которая включает в себя кражу данных и их последующее шифрование. Если выкуп не выплачивается, данные размещаются в открытом доступе.

Помимо шифровальщиков и программ-вымогателей, в атаках на ритейл злоумышленники активно применяли шпионское ПО: каждая четвертая атака была реализована с его применением. Общий рост интереса злоумышленников к шпионскому ПО уже ранее отмечался нами в итогах 2023 года, и мы также ожидаем дальнейший рост атак в этом направлении в 2024 году.

В 2023 году в сфере электронной коммерции наиболее популярными оставались атаки типа MageCart MageCart — тип кибератаки, которая включает в себя кражу данных платежных карт с веб-сайтов электронной коммерции.. Компрометация сайта, как правило, происходит из-за наличия уязвимостей в CMS-системах, таких как Magento, OpenCart и WordPress. Их эксплуатация позволяет получить доступ к веб-ресурсу и внедрить скиммер для кражи конфиденциальных данных клиентов: платежных реквизитов, учетных данных и личной информации. Код скиммера часто подвергается обфускации Обфускация — приведение кода к виду, сохраняющему его функциональность, но затрудняющему его анализ и понимание алгоритмов работы. для затруднения его обнаружения средствами защиты информации или маскируется под популярные сторонние сервисы.

Чаще всего скиммеры внедряются в таблицы баз данных CMS или в виде вредоносных плагинов, например для WordPress. Однако известны изощренные варианты атаки MageCart, когда вредоносный код внедрялся в виде скрытого пикселя на странице оформления заказа или на страницу ошибки 404. Кроме того, появились сервисы для генерации кода скиммеров, например mr.SNIFFA. Этот сервис генерирует скрипты MageCart, которые злоумышленники могут затем использовать для внедрения на сайты интернет-магазинов и кражи данных пользователей, оплачивающих покупки на сайтах.

В ряде успешных кибератак в качестве шпионского ПО для кражи данных из скомпрометированных систем ритейлеров злоумышленники использовали вредоносные программы (стилеры) Vidar и Agent Raccoon. ВПО позволяет извлечь из атакуемой системы список установленного программного обеспечения, последние загруженные файлы, учетные данные для входа в ОС, файлы cookie браузера, скриншоты активного экрана Windows и многое другое. Vidar отличается способом взаимодействия с инфраструктурой управления и контроля: как правило, вредоносная программа внедряется через страницы в социальных сетях, таких как Telegram и Mastodon. Agent Raccoon же чаще всего маскируется под Google Update или Microsoft OneDrive Updater и использует протокол DNS для создания скрытого канала связи с управляющей инфраструктурой злоумышленника. Кроме этого, хакеры использовали модифицированную версию утилиты Mimikatz под названием Mimilite и DLL-похититель учетных данных, который имитировал модуль Windows Network Provider — Ntospy в своих атаках.

Способы доставки ВПО

Основными целями атак на компании сферы электронной коммерции и розничной торговли являются их клиенты и сотрудники: 39% успешных атак были реализованы с использованием методов социальной инженерии. Ритейлеры в целом и в особенности онлайн-магазины стараются как можно больше взаимодействовать с потенциальными покупателями и клиентами. Отсюда — много возможностей для фишинга и социальной инженерии: вымышленные акции, скидки, розыгрыши, все эти приемы используются злоумышленниками.

Более чем в половине атак (57%) ВПО проникало в системы ритейлеров через вложения электронных писем. В некоторых атаках вредоносные вложения намеренно увеличивались злоумышленниками в размере, чтобы обойти ограничения, установленные антивирусными средствами. Например, чтобы доставить экземпляр стилера Vidar, в начало файла добавлялась строка из нулевых байтов для увеличения до 700 МБ.

Для распространения ВПО Vidar злоумышленники отправляли администраторам интернет-магазинов жалобы по электронной почте и через контактные формы веб-сайта. Электронные письма исходили якобы от клиента интернет-магазина, с банковского счета которого было списано 550 $ после того, как предполагаемый заказ не прошел и завершился ошибкой. При нажатии на URL-адрес, указанный в письме, открывается веб-сайт, маскирующийся под сервис Google Drive. Фишинговый сайт предлагает загрузить себе на компьютер банковскую выписку по образцу Commerce Bank и затем открыть файл.

Компрометация серверов, компьютеров и сетевого оборудования ритейл-компаний стала причиной проникновения ВПО в 29% атак, реализованных с применением вредоносного кода. Компрометация и проникновение злоумышленника в инфраструктуру компании, помимо социальной инженерии и фишинга, чаще всего происходит одним из следующих способов: с помощью эксплуатации уязвимостей на внешнем сетевом периметре, брутфорса учетных записей или использования дефолтных учетных данных на открытых сервисах, а также компрометации цепочки поставок и инфраструктуры доверенных сторон (third-party).

Как показывает практика, компании торгового сектора и других отраслей постоянно сталкиваются с кибератаками и несут финансовые и репутационные потери. Злоумышленники скрывают следы применения ВПО от межсетевых экранов и антивирусных средств, из-за чего многие атаки остаются необнаруженными вплоть до того момента, как компанию настигают ощутимые последствия. Эта тенденция приводит к потребности в использовании систем поведенческого анализа трафика (network traffic analysis, NTA). Решения класса NTA способны на ранних этапах атаки выявить подозрительную сетевую активность, попытки запуска ВПО и эксплуатации уязвимостей на периметре и внутри инфраструктуры. Для раннего выявления ВПО, попадающего в инфраструктуру через фишинговые письма и посещаемые сотрудниками вредоносные сайты, рекомендуется использовать системы NTA в связке с решениями, обеспечивающими изолированную среду для запуска подозрительных файлов («песочницами»).

Почти половина (42%) успешных атак на компании торговой отрасли была реализована путем эксплуатации уязвимостей. Наличие возможностей по эксплуатации уязвимостей в компаниях розничной торговли может объясняться разными причинами. Однако основным фактором выступает недостаток внимания к процессу управления уязвимостями. Говоря об утечках информации, мы уже упоминали о проблеме инвентаризации и классификации источников данных. Эта проблема относится и к выявлению и анализу уязвимостей: многие компании не знают, какие ресурсы в корпоративной сети являются наиболее важными, как приоритизировать уязвимости, определить сроки их устранения и проверить результативность кибербезопасности всего мероприятия. Кроме того, постоянно появляются новые уязвимости, в том числе уязвимости нулевого дня (0-day), и если компании не имеют инструментов и каналов для своевременного получения информации о таких уязвимостях и мерах противодействия их эксплуатации, они теряют драгоценное время и в результате рискуют стать объектами атак. В этих задачах компаниям могут помочь мониторинг событий ИБ и управления инцидентами (security information & incident management), а также выстраивание процессов управления уязвимостями (vulnerability management).

Уязвимости CMS-систем интернет-магазинов

Уязвимости в CMS-системах, используемых интернет-магазинами, чаще других попадают во внимание злоумышленников и приводят к краже платежных данных клиента и к проникновению в инфраструктуру компании.

В марте 2023 года была обнаружена уязвимость в одном из плагинов WordPress — WooCommerce Payments, предназначенном для оплаты товаров банковскими картами в интернет-магазинах. Эксплуатация уязвимости в плагине WooCommerce Payments позволяла неавторизованному лицу получить привилегии любых пользователей, включая административный доступ. Уязвимость CVE-2023-28121 оценивается по шкале CVSS в 9,8 баллов и является критически опасной. Масштабные атаки на пользователей WordPress начались в июле 2023 года (о чем мы уже рассказывали в исследовании по итогам 3-го квартала), по имеющимся данным было зафиксировано более 1,3 миллиона атак, затронувших не менее 157 000 сайтов.

В веб-ресурсах нескольких российских ритейлеров, пострадавших от кибератак в 2023 году, злоумышленниками были проэксплуатированы уязвимости российской CMS-системы «1С-Битрикс». В их числе могли быть известные к моменту атак критически опасные уязвимости, такие как BDU:2023-05566 (уязвимость обхода аутентификации с оценкой CVSS в 9,8 баллов, позволяющая нарушителю получить доступ к конфиденциальной информации), а также уязвимость BDU:2023-05565 (с оценкой 9,6 баллов, позволяющая нарушителю провести внедрение вредоносного кода).

Часто злоумышленники эксплуатируют уязвимости в устаревших версиях программного обеспечения, которое по разным причинам продолжает использоваться в компании. Например, в октябре 2023 года один ритейлер стал жертвой кражи данных платежных карт и мошенничества, так как его магазин работал на CMS OpenCart 1.5.5.1 — версии, выпущенной более десяти лет назад и содержащей множество уязвимостей, в частности уязвимость обхода аутентификации.

Уязвимость MOVEit Transfer

В 2023 году большое число атак на торговые компании было связано с эксплуатацией критически опасной уязвимости в ПО для управления безопасной передачей файлов MOVEit Transfer (CVE-2023-34362). Уязвимость предоставляет возможность внедрения произвольного SQL-кода и наиболее активно эксплуатируется группой вымогателей Cl0p, о чем мы рассказывали в нашем квартальном исследовании (Q2 2023).

В июле 2023 года от атаки с эксплуатацией уязвимости в MOVEit Transfer пострадал известный косметический бренд Estée Lauder. В результате атаки произошла утечка 131 ГБ данных, о чем стало известно после того, как группа вымогателей Cl0p внесла компанию в список на своем сайте утечек.

Среди жертв атак Cl0p также оказался ведущий розничный продавец и дистрибьютор автомобильных запасных частей и аксессуаров в США AutoZone. Компания AutoZone сообщила, что в результате атаки произошла утечка данных 184 000 сотрудников компании, включая имена, адреса электронной почты, сведения о поставках запчастей, налоговую информацию, платежные документы, файлы базы данных Oracle, данные о магазинах, информацию о производстве и продажах.

Наличие уязвимостей в используемом ПО позволяет злоумышленнику получить удаленный доступ и развивать сложные атаки, направленные на кражу крупных баз данных и дестабилизацию работы компании через удаление критически важных файлов и приложений, а также через шифрование данных. Поэтому важно правильно организовывать процесс управления уязвимостями ПО, в том числе устанавливать обновления для CMS-систем, их плагинов и других сторонних компонентов.

Игра на опережение: bug bounty и эффективное управление уязвимостями

Современный бизнес розничной торговли расширяет географию продаж за счет использования веб-ресурсов — интернет-магазинов и e-commerce-платформ. Эти системы имеют открытые интерфейсы и постоянно находятся в доступе для своих клиентов и сотрудников, что создает благоприятные условия для злоумышленников. Статистика утечек данных за последние несколько лет говорит сама за себя. У многих компаний часто не хватает технических и человеческих ресурсов, чтобы своевременно внедрять все необходимые меры безопасности для предотвращения возможных атак.

Однако не всегда злоумышленники первыми находят слабости в системе защиты торговых площадок компаний. Некоторые специалисты — их называют «белыми хакерами» или «багхантерами» — находят уязвимости, векторы атак и сообщают об этом владельцам систем. Так, например, американский исследователь Итон Звеаре в июне 2023 года обнаружил ошибку в API платформы электронной коммерции Honda, эта ошибка позволяла любому пользователю запросить сброс пароля для любой учетной записи без токена или предыдущего пароля, требуя только действительный адрес почты. Путем сброса пароля злоумышленник мог получить административный доступ к системам компании. Если бы эта ошибка была обнаружена киберпреступником, то привела бы к крупномасштабной утечке данных: исследователю удалось получить доступ к более чем 20 000 заказов клиентов во всех дилерских центрах Honda с 2016 по 2023 год (включая имя клиента, адрес, номер телефона и заказанные товары), к 11 000 электронных писем клиентов и дилеров, к более чем 3000 учетных записей, а также к внутренним финансовым отчетам.

Для того чтобы «белые хакеры» имели интерес к изучению открытых веб-ресурсов компаний и сообщали владельцам систем о выявленных уязвимостях, существуют специализированные площадки — платформы bug bounty, которые позволяют исследователям законно проводить анализ систем и их тестирование на проникновение, а также получать за это денежное вознаграждение. Участие компаний в программах bug bounty повышает их шансы своевременно обнаружить уязвимости до того, как их найдут реальные злоумышленники.

Основная же стратегия по предотвращению атак, связанных с эксплуатацией уязвимостей, заключается в выстраивании зрелого процесса управления уязвимостями. В первую очередь компаниям необходимо понимать, какие бизнес-риски являются наиболее нежелательными для них и какие компоненты инфраструктуры участвуют в критически важных бизнес-процессах: это поможет не оставлять без внимания действительно важные ресурсы. Уже в процессе выявления, анализа и устранения уязвимостей важно иметь в арсенале подходящие для этого инструменты класса vulnerability management (VM), которые не только автоматизируют процесс сканирования, но и помогают в задачах инвентаризации и классификации активов и, что самое главное, в оперативном получении информации о новых и трендовых уязвимостях.

Анализ объявлений на теневых площадках показал, что наибольший интерес для злоумышленников представляют торговые компании Северной Америки (28%), Европы (26%), России и стран СНГ (20%). Причем в рейтинге отдельных стран лидерами стали США (на их долю приходится 27% всех объявлений) и Россия (16%).

Большая доля объявлений о продаже баз данных и доступов к ритейлерам США может объясняться значительным капиталом этих компаний и наличием филиалов в других странах, что характерно, например, для дистрибьюторов автозапчастей, книжных сетей и косметических брендов. Сравнительно высокий интерес к российским ритейлерам, вероятно, связан с возросшей в последние пару лет активностью хактивистов на фоне конфликта в Украине. Так, 80% объявлений о российских торговых компаниях на теневых рынках предлагают бесплатную раздачу украденных баз данных.

На теневых площадках злоумышленники ведут торговлю и обмен доступами к сетям организаций, украденными данными, инструментами и услугами для проведения атак. Более чем в половине объявлений (53%) речь шла о продаже доступа к инфраструктуре скомпрометированных ритейл-компаний.

Большая доля объявлений о продаже первоначального доступа к инфраструктуре ритейл-компаний и e-commerce может иметь несколько причин. Во-первых, базы данных устаревают, а доступ к системе позволяет злоумышленникам постоянно получать более свежие и разнообразные данные, самим выбирать, какие сведения красть и каких целей достигать. Во-вторых, теневой рынок постоянно развивается, на арену выходят новые игроки, в том числе еще недостаточно опытные злоумышленники, которые специализируются в основном на получении первоначального доступа и затем продают его более опытным хакерам. Ранее мы изучали динамику развития этого тренда и поделились результатами в нашем аналитическом исследовании.

В странах Африки и Латинской Америки стоимость доступов в объявлениях о продаже варьируется от 50 $ до нескольких тысяч долларов (за доступ с высокими привилегиями к крупным международным компаниям торговой отрасли). К примеру, в декабре было опубликовано объявление о продаже доступа к инфраструктуре ритейлера из Чили, которое, несмотря на предложение получить права доменного администратора, было оценено всего в 100–300 $.

А вот административный доступ по RDP к системе американской торговой компании уже оценивается на порядок выше.

В среднем стоимость каждого второго объявления за 2023 год не превышала 1000 $, а наиболее дорогостоящие доступы (от 4000 $) составили всего 5% от общего числа предложений на рынке.

В объявлениях можно встретить разные способы доступа к скомпрометированным компаниям. Наиболее часто встречаются предложения о продаже доступа по RDP (46%), так как такой доступ, как правило, позволяет выполнять команды ОС на атакованном узле, находящемся во внутренней инфраструктуре организации.

Также существенную долю составляют объявления с доступом к системам через взломанное веб-приложение (20%), например CMS-систему или другой сервис вроде Office 365 или AWS. Такой доступ предоставляет злоумышленнику контроль над сервером на внешнем периметре сети, который с точки зрения безопасности должен иметь ограниченный перечень сетевых маршрутов к наиболее важной части инфраструктуры; это делает атаку технически более сложной. Тем не менее это не означает, что доступ злоумышленника к веб-сервисам является менее опасным. К примеру, в первом полугодии 2023 года американский ритейлер одежды Hot Topic столкнулся с серией успешных кибератак на веб-сайт и мобильное приложение, в результате которых произошла утечка данных клиентов. Владелец торгового бренда сообщил, что в ходе расследования этого инцидента удалось установить, что атаки совершались с действительных учетных записей, полученных преступниками из неизвестного стороннего источника.

Для выстраивания защищенного периметра информационной инфраструктуры торговых компаний, включающего в себя во многом веб-ресурсы, рекомендуется внедрять решения классов web application firewall (WAF) и next generation firewall (NGFW). Ранее мы уже изучали вопрос о том, какие задачи должен решать NGFW и против каких угроз веб-приложений эффективен WAF, и поделились результатами в наших исследованиях.

В сфере ИБ 2023 год был отмечен рядом значительных инцидентов, которые подчеркнули уязвимость ритейлеров и e-commerce перед лицом киберугроз. Атаки на торговый сектор приводили к серьезным последствиям, в том числе к утечке конфиденциальной информации, нарушению работы компаний, финансовым потерям и ущербу для репутации.

Действия злоумышленников становятся более сложными и изощренными, что требует от компаний постоянного внимания и контроля состояния безопасности информационной инфраструктуры.. Атаки могут быть направлены на кражу личных данных клиентов, финансовое мошенничество, нарушение работы систем. Нарушители успешно реализовывают атаки за счет недостаточной защиты сетевого периметра, слабых паролей, уязвимостей в ПО и слабой осведомленности сотрудников по вопросам кибербезопасности.

Это подчеркивает необходимость для ритейлеров и e-commerce усилить меры защиты информации и обеспечить результативную кибербезопасность. Внедрение современных технологий и постоянное совершенствование стратегий безопасности необходимы компаниям для защиты бизнеса. Применение решений класса NGFW, WAF и VM позволяет выстраивать защищенный от кибератак периметр сети, а внедрение решений NTA и «песочниц» — выявить на ранних стадиях проникновение злоумышленника в инфраструктуру, предотвратить утечки данных и риски нарушения бизнес-процессов. Построение эффективной системы информационной безопасности требует инвестиций и усилий, но результаты этих усилий могут значительно повысить устойчивость и конкурентоспособность ритейл-компаний и стать ключевым фактором их успешного функционирования в 2024 году.

В заключение представим дополненный перечень рекомендаций, направленных на повышение кибербезопасности компаний торгового сектора.

Безопасность веб-приложений

• Регулярное обновление ПО веб-сайта: фреймворков, CMS-систем, плагинов, тем и других компонентов
• Установка ПО только из доверенных источников
• Внедрение политики надежных паролей для учетных данных и строгой системы разграничения прав доступа
• Внедрение многофакторной аутентификации
• Ограничение доступа к веб-интерфейсам администрирования
• Использование межсетевого экрана уровня веб-приложений (WAF)
• Внедрение межсетевого экрана нового поколения (NGFW)
• Участие в программах bug bounty

Защита внутреннего периметра сетевой инфраструктуры

• Сегментация сетей
• Контроль конфигураций сетевого и коммутационного оборудования
• Управление уязвимостями: анализ, приоритизиция и устранение (VM)
• Мониторинг инфраструктуры: поиск аномалий и потенциальных угроз безопасности (SIEM)
• Анализ сетевого трафика для выявления вредоносной активности (NTA)
• Внедрение среды изолированного запуска подозрительных файлов («песочница» —Sandbox)

Защита пользователей от фишинга и социальной инженерии

• Тренинги персонала по повышению осведомленности в киберпространстве
• Применение средств антивирусной защиты и конфигурация фильтров спама
• Внедрение многофакторной аутентификации
• Внедрение политики надежных паролей
• Блокирование и уничтожение учетных записей бывших сотрудников
• Использование решений для защиты конечных точек (EDR)

Защита данных

• Инвентаризация и классификация данных
• Определение границ инфраструктуры данных
• Определение минимально необходимых прав доступа и их регулярная верификация
• Мониторинг обращения к данным, блокировка вредоносных действий
• Внедрение решений, реализующих data-centric-концепцию (data security)

Отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников.

По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских группировок.

В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.