Хакеры сменили фокус

Хакеры сменили фокус атак, переключившись с прямой кражи денег на получение контроля над инфраструктурой компаний, следует из отчета «Ростелеком-Солара». Это объясняется ростом защищенности банков, откуда до этого крали деньги, и увеличением спроса на промышленный шпионаж на черном рынке. Впрочем, на фоне пандемии активность подобных хакерских группировок начала спадать, утверждают эксперты.

Хакеры в России сменили приоритеты: по итогам 2019 года на 40% выросло количество атак, направленных на получение контроля над инфраструктурой компаний и организаций, при этом атаки ради кражи денежных средств стали происходить на 15% реже, следует из отчета компании «Ростелеком-Солар» (есть у “Ъ”). Отчет основывается на данных более 100 организаций со средним числом сотрудников от 1 тыс. человек, проанализированных центром мониторинга и реагирования на киберугрозы Solar JSOC.

Тенденцию в «Ростелеком-Соларе» связывают с тем, что средний уровень защищенности банков существенно вырос, что заставляет хакеров искать более уязвимые цели. Длительное и незаметное присутствие в инфраструктуре организации позволяет злоумышленникам детально исследовать ее внутренние процессы, получить более глубокий доступ к IT-системам и контроль над ними, рассказывает директор Solar JSOC Владимир Дрюков. Он отмечает, что хакеры монетизируют эти точки присутствия, продавая их на черном рынке, шантажируя организацию-жертву или занимаясь конкурентной разведкой. Кроме того, в последние годы атаки все чаще направлены на промышленные и энергетические объекты, а также органы власти, контроль над инфраструктурой которых критичен для страны в целом, добавляет эксперт.

Атак на корпоративную инфраструктуру, в том числе госсектора, становится больше, соглашается старший антивирусный эксперт «Лаборатории Касперского» Денис Легезо. По его словам, жертвами охотников за данными часто становятся, в частности, дипломатические ведомства, что может быть связано с проходящими через них документами. В «Лаборатории Касперского» сейчас наблюдают порядка 200 групп и компаний, занимающихся кибершпионажем. Год от года их число растет, но сейчас во время пандемии заметен спад активности, отмечает господин Легезо. Атакующие Россию группировки находятся в самых разных регионах, география расширяется, что может быть связано с технологическим ростом в мире, предполагает эксперт. Он отмечает также, что качество кода, которым написаны целевые «вредоносы» для кибершпионажа, в целом повышается, что говорит о том, что злоумышленники рассчитывают пользоваться этим софтом долгое время, не будучи замеченными.

Есть немало примеров, когда компании не подозревали об активности хакеров в своей инфраструктуре долгие месяцы и даже годы, подтверждает руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. Например, в 2019 году хакеры на протяжении девяти месяцев «хозяйничали» на внутренних ресурсах сети магазинов и АЗС в США Wawa, украв данные более 30 млн платежных карт покупателей, напоминает он. Промышленным шпионажем, по словам господина Арсентьева, хакеры занимаются обычно по заказу, в том числе «охотятся за различными ноу-хау, планами развития бизнеса, графиками ценообразований».

Злоумышленники могут монетизировать атаки не только за счет хищения средств, но и продавая уже настроенные подключения в локальную сеть жертвы другим преступникам, отмечает руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин. Такая модель «доступа как услуги» сегодня набирает обороты, что объясняет рост числа подобных атак, полагает эксперт. По данным Positive Technologies, доля кампаний, направленных на получение данных, в 2019 году составила 60% и 57% в атаках против юридических и частных лиц соответственно. Господин Гнедин указывает, что их росту способствовала модернизация вредоносного программного обеспечения и способов его доставки.