С черного подхода: хакеры вчетверо усилили атаки на Россию

В 2024 году хакеры атаковали российскую инфраструктуру в четыре раза чаще, чем годом ранее, сообщили в компаниях по кибербезопасности. Их целью становились не только официальные сайты компаний, но и корпоративные порталы для сотрудников, тестовые страницы и веб-приложения. Кроме того, среди популярных методов атак оказались сканеры, то есть попытки автоматизированного поиска уязвимостей в веб-приложениях и бот-активности. Всё активнее используют и программы-стилеры, которыми пытаются заразить максимальное число компьютеров российских пользователей. О том, какие еще уловки использовали злоумышленники, — в материале «Известий».

Как хакеры атаковали страну

Хакеры в 2024 году в четыре раза чаще в сравнении с 2023-м атаковали веб-ресурсы российских компаний, сообщили «Известиям» в компаниях по кибербезопасности. За прошлый год среднее количество веб-атак на российские домены выросло с 15 млн до 65 млн событий в месяц, следует из данных аналитического отчета сервиса WAF группы компаний «Солар», с которым ознакомились «Известия».

Эксперты проанализировали статистику веб-атак на онлайн-ресурсы различных отраслей, включая госсектор, IT, почтовые сервисы, ритейл, банки, промышленность, телеком и другие. Согласно их выводам, хакеры стали чаще атаковать не только главные сайты компаний, но и корпоративные порталы для сотрудников с доступом в интернет, тестовые сайты, а также различные веб-приложения.

«Средняя доля событий информационной безопасности, зафиксированных на API (программный интерфейс для обмена информации между сервисами, веб-приложениями и ПО), OWA (web-клиент почтового клиента Microsoft Outlook), Jira (сервис для управления проектами) и Confluence (онлайн-система для совместной работы с документами) в 2024 году выросла более чем в два раза — до 7%», — следует из доклада.

А число атак на API российских компаний в целом в 2024 году выросло более чем в четыре раза, с 9 млн до 39 млн. Основные всплески пришлись на март и август. Мощность крупнейшей веб-атаки составила 1,5 млн запросов в секунду — это в пять раз больше показателя 2023-го.

Одним из главных трендов прошлого года стал существенный рост доли событий, связанных со сканерами, — попытками автоматизированного поиска уязвимостей в веб-приложениях и бот-активности, отметили в «Солар». Так, доля сканеров в среднем выросла с 26 до 51%. При этом в декабре этот показатель составил 77%, особенный всплеск наблюдался в отрасли ритейла. По мнению экспертов, рост означает, что хакеры смогли поставить на поток атаки с помощью автоматизированных сканеров, а это может привести к приостановке работы онлайн-ресурсов и утечке данных.

С КИИ — бди: большинство кибератак приходится на критическую инфраструктуру

Помогает ли переход российских предприятий на отечественное ПО противостоять хакерам

В топ наиболее атакуемых отраслей попали почтовые сервисы, грузопассажирские перевозки и ритейл. По словам основателя сервиса разведки утечек данных и мониторинга даркнета DLBI Ашота Оганесяна, чаще всего атаковали компании из сектора электронной коммерции, что связано с их широкой представленностью в Сети, но при этом минимальными инвестициями в информационную безопасность.

А аналитический центр компании StormWall установил, что телекоммуникационная отрасль стала главной мишенью злоумышленников в России в 2024 году. Доля атак на телеком-сферу составила 31% от общего числа. Для сравнения: в 2023 году атаки на эту отрасль занимали только 14%. В организации массовых атак на телеком-компании приняли участие политически мотивированные «хактивисты», которые стремились навредить российскому бизнесу.

Среди важнейших целей хакеров в прошлом году был также государственный сектор (17% от общего числа атак). Массовые атаки на эту сферу были запущены «хактивистами» на фоне сложной геополитической ситуации. Злоумышленники активно атаковали госсектор, поскольку атаки на эту отрасль были довольно успешными, отметили аналитики. По итогам 2024 года эффективность атак на государственные компании составила 42%.

По данным Kaspersky DDoS Protection, в России наиболее атакуемыми отраслями становятся финансовые организации, госсектор, операторы связи, ритейл. За 2024 год общее количество DDoS-инцидентов в стране увеличилось на 37%.

Так, в июне 2024 года ритейлер «Верный» подвергся хакерской атаке, в результате чего несколько дней почти 1 тыс. магазинов сети не принимали оплату банковскими картами. Недоступными оказались и онлайн-заказы, поскольку не работали сайт и приложение. Затем в результате нападения хакеров на Национальную систему платежных карт (НСПК) в течение нескольких часов 20 июня 2024 года часть платежей по картам в интернете и переводов через СБП не проходила или удавалась не с первого раза.

А в сентябре 2024 года хакеры атаковали сайты УЦ «Основание», который выдает электронные подписи более чем в 60 регионах России. В результате кибератаки процесс выдачи электронных подписей был остановлен. Месяцем позже государственный сервис ГАС «Правосудие» и официальный сайт Федеральных арбитражных судов РФ подверглись атаке со стороны проукраинских хакеров.

Впрочем, Ашот Оганесян резкий рост в объеме атак на российские ресурсы не подтвердил.

— По нашим оценкам, число попыток взлома находится в целом на уровне 2023 года, — отметил он. — Появление такого рода тренда может быть, скорее, следствием усиления контроля российских компаний над своей инфраструктурой, в результате чего они обнаружили атаки, которых раньше просто не замечали.

Какие схемы использовали преступники

В поведении хакеров можно выделить постепенный отход от повсеместного использования уязвимостей в пользу password reuse атак, сказал Ашот Оганесян. Для этого они не только собирают все возможные утечки паролей, но и всё активнее используют программы-стилеры, которыми пытаются заразить максимальное число компьютеров российских пользователей.

Прошедший год показал, что хакеры намерены нанести максимальный вред пользователям, которые ежедневно обращаются к различным интернет-сервисам, а также — репутационный ущерб компаниям и лишить бизнес прибыли, — отметил руководитель направления WAF «Солар» Алексей Пашков.

— Мы предполагаем, что этот тренд может продолжиться и в 2025 году, — сказал он.

Простои могут привести к серьезным последствиям для бизнеса, отметили аналитики компании «Монк Диджитал Лаб». Среди главных последствий сбоев 65% организаций отметили потерю доверия со стороны потребителей, 57% сообщили об ущербе для репутации бренда, а около 60% компаний зафиксировали прямые финансовые потери. В денежном выражении один значимый инцидент простоя обошелся российским организациям в среднем в 2 млн рублей.

Основной причиной роста сбоев по-прежнему остается использование устаревшего оборудования и ПО без должной поддержки и обновлений, отметили эксперты. Уход зарубежных вендоров с российского рынка оставил российские компании без регулярных апдейтов и технической помощи, а попытки заменить иностранные продукты самописными инструментами или непроверенными системами создали много новых проблем.

Как правило, атаки хакеров нацелены на определенные секторы и значимые объекты — критическую инфраструктуру, крупные компании и предприятия, и в большинстве случаев задействуют вредоносное программное обеспечение, напомнил аналитик данных Координационного центра доменов .RU/.РФ Евгений Панков.

— Довольно часто ВПО и фишинг становятся частью единой мошеннической схемы: фишинг позволяет получить доступ к учетным данным, а затем скомпрометированные системы заражаются вредоносным ПО, что приводит к масштабным утечкам или управляемым кибератакам. Но и число обращений по фишингу в российских доменных зонах по итогам года снизилось на 5,3%, — отметил он.

Опасная данность: хакеры стали атаковать российские компании на 60% чаще

С чем связан рост и сколько персональных данных утекло в Сеть

Тем не менее каждый взлом корпоративных систем может нанести серьезный ущерб, поэтому компаниям следует не только усиливать технические меры защиты, но и повышать киберграмотность сотрудников, особенно обладающих расширенными правами доступа: системных администраторов и IT-специалистов.

— Помимо стандартных мер, таких как своевременное обновление ПО, установка антивирусных средств и контроль сетевого периметра, сегодня важно уделять внимание утечкам паролей клиентов и сотрудников компании, с помощью которых хакеры могут попасть в корпоративную инфраструктуру, — подчеркнул Ашот Оганесян. — Для этого существуют специализированные сервисы, позволяющие в автоматическом режиме выявлять скомпрометированные учетные записи.

По словам эксперта Kaspersky DDoS Protection Вячеслава Кириллова, для обеспечения защиты компаниям необходимо, в первую очередь, провести аудит сервисов в периметре организации и регулярно сканировать инфраструктуру.

— Кроме того, важно определить, какие сервисы требуют защиты от DDoS: тренды показывают, что на доступность всей организации может повлиять атака на тестовый контур, — пояснил он. — Однако на данный момент многие предприятия защищают основные сервисы, не всегда уделяя внимание тестовым. После определения списка сервисов для защиты от DDoS-атак следует обратиться к провайдеру, чтобы с его помощью выстроить эффективную работу в части информационной безопасности.

Не менее важно оптимизировать процессы внутри организации, чтобы специалисты по кибербезопасности и IT-департамент эффективно взаимодействовали между собой и с клиентом. Наконец, компаниям следует ежегодно проводить тестовые атаки для контроля качества внедренного решения и эффективности работы команд, отметил он.