В России фиксируется рост числа DDoS-атак на государственную и частную ИТ-инфраструктуру. Больше всего хакеров интересуют финансовые учреждения, электронная коммерция, образовательные и игровые платформы. Самые тяжёлые и подготовленные атаки приходятся на транспортную инфраструктуру, госсектор и даже российские СМИ. По мнению экспертов, в условиях сложной геополитической обстановки российские компании и госучреждения в 2024 году столкнутся с новыми мощными кибератаками со стороны групп двойного назначения – хактивистов и банд вымогателей. Это может привести к разрушению инфраструктуры, крупному материальному ущербу и новым утечкам данных.
Как следует из отчёта компании Qrator Labs, специализирующейся на обеспечении доступности интернет-ресурсов и нейтрализации DDoS-атак, 2023 год отметился ростом активности хакерских группировок, организующих атаки на сетевую инфраструктуру.
«В 2023 году злоумышленники чаще всего атаковали сектор финансовых технологий – 36,8 процента от всех отраслей. На уровне микросегментов основной целью злоумышленников были банки, электронные доски объявлений, образовательные платформы, онлайн-магазины и платёжные системы. Попадание этих категорий в топ рейтинга самых атакуемых сегментов 2023 года неудивительно. Развитие электронной коммерции в последние годы очень велико, большинство товаров и услуг можно получить онлайн. Расширение каналов связи, переход на новые протоколы для оптимизации работы удалённых офисов, лёгкость и низкая стоимость организации DDoS-атак привели к возобновлению тренда на коммерческие атаки с целью нанесения материального ущерба владельцам площадок», – поясняет генеральный директор Qrator Labs Дмитрий Ткачёв.
По мнению главного эксперта блока анализа защищённости ГК Softline Алексея Гришина, онлайн-гейминг и образовательные платформы –привлекательные цели для DDoS-атак по нескольким причинам. В случае игровых платформ атаки могут быть направлены на создание проблем для игроков, что повлияет на игровую экономику, или просто из-за конкуренции между игровыми компаниями. На образовательные платформы атаки проводятся для нарушения процесса обучения, доступа к учебным материалам, вымогательства или устрашения.
Однако самой продолжительной и непрерывной по итогам 2023 года стала мультивекторная (по разным направлениям) атака на сегмент аэропортов. Она длилась почти три дня – с 24 по 27 августа в общей сложности 71,5 часа.
Самые продолжительные хакерские действия на банковский сегмент – 42 часа. Страдали и российские медиа. По наблюдениям Qrator Labs, самая длительная атака на интернет-СМИ длилась более 20 часов. Отметим, что в 2024 году мощная DDoS-атака организовывалась и на «Октагон».
– За большинством DDoS-атак и публикацией скомпрометированных баз данных российских компаний в 2023 году стояли проукраинские хактивисты, но при этом кибершпионажем в России и СНГ по-прежнему занимаются страны, прямо не участвующие в конфликте на Украине, например Китай или Северная Корея, – поясняют «Октагону» в компании F.A.C.C.T.
Согласно ежегодному исследованию F.A.C.C.T. Threat Intelligence, на хакерском рынке присутствуют 14 прогосударственных групп, активно работавших в 2023 году на территории России и стран СНГ. «Чаще всего прогосударственные хакерские группы атаковали Россию, Азербайджан, Беларусь, Киргизию и Казахстан. Целями являлись госучреждения, организации, связанные с критически важной инфраструктурой, военные учреждения и предприятия оборонно-промышленного комплекса», – отмечается в материалах отчёта.
В 2023 году были зафиксированы и случаи компрометации инфраструктуры российских компаний с участием бывших сотрудников.
Многие из них совершали противоправные действия, находясь за пределами России, из желания отомстить или заработать.
Кроме DDoS-атак, которые хоть и неприятны, но не сопряжены со значительной потерей средств, в 2023 году активизировались другие киберугрозы. Количество атак программ-вымогателей для получения выкупа, по данным F.A.C.C.T., выросло на 160 процентов, а средняя сумма первоначального выкупа по итогам 2023 года составила 53 млн рублей.
«Обнаруженный преступный синдикат Comet (Shadow) – Twelve стал “открытием года”, поскольку продемонстрировал новую тенденцию: появление групп “двойного назначения”, которые преследуют как финансовые, так и политические цели. Одной из новых тактик злоумышленников стала кража учётных записей в Telegram на устройствах жертв, что уже после проведения атаки позволяло шпионить за сотрудниками атакованной компании. Кроме того, впервые в России некоторые группировки вымогателей, например Shadow и Werewolves, стали выкладывать данные об атакованных российских компаниях на собственные ресурсы. Публичное сообщение об атаке и угроза публикации украденных данных – это дополнительный инструмент давления на жертву, который уже давно и успешно применялся за пределами России», – отмечают в компании.
Ещё одним интересным новшеством стало географическое распределение источников атак. Теперь они располагаются ближе к атакуемым объектам.
– Есть тренд на использование российских IP-адресов. Это делается, чтобы скрыть реальное местоположение атакующего и создать ложный след. Также причиной может быть обход географических ограничений, когда какие-либо сервисы закрывают доступ с иностранных IP-адресов,– отмечает директор по информационной безопасности компании Proscom Андрей Слободчиков.
Зачастую, уверяют в Qrator Labs, в качестве прокси-серверов, применяемых для атак, используется взломанное сетевое оборудование домашнего интернета и хостингов в России, уязвимые устройства IOT (такие как системы умного дома) и мобильные гаджеты. Это значит, что закрытие российского сегмента интернета от входа из-за границы защитить от атак больше не может.
Как считают эксперты, в текущем 2024 году российской ИТ-инфраструктуре нужно готовиться к новым вызовам. В условиях существующей геополитической ситуации российские компании и госучреждения подвержены рискам более мощных кибератак со стороны групп «двойного назначения» – хакеров и банд вымогателей.
Итогом подобных атак могут стать разрушение инфраструктуры, крупный материальный ущерб и появление очередных утечек – похищенных баз данных компаний на андеграундных форумах и в тематических Telegram-каналах.
– Для эффективного предупреждения кибератак ещё на этапе их подготовки мы настоятельно советуем использовать комплексные решения для защиты от сложных и неизвестных киберугроз: атак периметра, электронной почты, поиска уязвимостей и теневых активов организации, – заключает гендиректор компании F.A.C.C.T. Валерий Баулин.