Российские компании готовы к киберугрозам

Компания Acronis опубликовала доклад Acronis, основанный на опросе специалистов из 3400 транснациональных компаний, а также сотрудников, работающих в дистанционном режиме из-за пандемии COVID-19. Отчет показывает, что 92% обследованных компаний для обеспечения дистанционной работы используют различные новые технологии, включая инструменты совместной работы и решения для обеспечения конфиденциальности и кибербезопасности. При этом, значимой проблемой для организаций становится управление защитой на новых устройствах и требует использование целого ряда различных решений, что требует больших затрат, отнимает много времени и характеризуется немалой сложностью. Кроме того, недостаточная интеграция создает слабые места в защите, которые активно используют киберпреступники. В исследовании Acronis отмечено, что, нацеливаясь на дистанционных работников, хакеры чаще всего используют фишинг, DDoS-атаки и атаки на видеоконференции. Атаки на видеоконференции за последние три месяца пережили 39% компаний, сотрудники которых использовали приложения типа Zoom, Cisco Webex и Microsoft Teams. Специалисты Cisco недавно обнаружили в своем приложении Webex уязвимость, которая может позволить злоумышленникам получать доступ к потенциально ценному или дискредитирующему контенту. По данным исследования, количество атак с использованием вредоносного ПО (например, программ-вымогателей) во время пандемии также выросло: представители 31% компаний сообщили о ежедневных кибератаках, а 50% подвергались им как минимум раз в неделю. Большую известность получила кибератака в июле, когда ведущий производитель GPS-технологий по неподтвержденной информации выплатил 10 млн долларов вымогателям, использовавшим программу WastedLocker. Созданные компанией Acronis Операционные центры киберзащиты (Cyber Protection Operating Centers, CPOC) обнаружили, что 35% клиентских оконечных устройств были подвержены атакам с использованием вредоносного ПО, которые начались до внедрения Acronis Cyber Protect. Как сообщается в исследовании, фишинговые атаки достигли как никогда высокого уровня, что совершенно не удивительно, так как, по данным рассматриваемого доклада, лишь 2% компаний используют URL-фильтрацию при оценке решений в сфере кибербезопасности. Это упущение делает дистанционных работников уязвимыми к воздействию фишинга – специалисты операционных центров Acronis установили, что в мае, июне и июле на вредоносные сайты заходило примерно 10% пользователей . "Ландшафт киберугроз очень сильно изменился за последние несколько лет и особенно за последние шесть месяцев", - говорит основатель и генеральный директор компании Acronis Сергей Белоусов. По его словам, традиционные автономные антивирусы и решения для резервного копирования неспособны защитить от современных киберугроз. Сергей Белоусов считает, что организации, использующие комплексные системы защиты данных и кибербезопасности не только повышают свою безопасность, но и снижают расходы и увеличивают эффективность работы. "Россия, как и другие страны, в полной мере была подвержена последствиям пандемии, предпринимала схожие ограничительные меры в этот период, поэтому тренды в информационной безопасности, связанные с переходом на "удаленку" равно применимы и к России, а киберпреступность, как известно, не имеет границ", - рассказывает исполнительный директор компании "Акронис Инфозащита" Елена Бочерова. По ее оценке, вопрос готовности к безопасной удаленной работе в текущих условиях — это прямой вопрос конкурентоспособности бизнеса. "В большинстве отраслей российские компании находятся в положении прямой конкуренции с зарубежными, поэтому уменьшение расходов на информационную безопасность, защиту собственной ит-инфраструктуры, может означать потерю рынка. Компании, нацеленные на то, чтобы пережить кризис, вынуждены вкладывать в эти направления наравне с зарубежными. Нужно сказать, что в выигрышном положении оказались те, кто позаботился о защите своей инфраструктуры заранее, и для кого практика удаленной работы не оказалась новой. В трудной ситуации оказались государственные учреждения и крупные госкомпании, в которых трансформация ИТ-инфраструктуры обладает вынужденной инерцией", - объясняет Елена Бочерова. Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев, комментируя исследование, говорит, что все три выявленные в исследование тенденции характерны и для России. Однако, по его словам, в меньшей степени это касается распространения вирусов-шифровальщиков: отечественные компании пока не так часто страдают от них, как организации в США и ряде других стран Запада. "Кроме того, распространение шифровальщиков напрямую не связано с пандемией – активность операторов этого типа вредоносного ПО после долгого перерыва начала нарастать еще в прошлом году. В то же время резкий рост числа атак на видеоконференции и фишинговое воздействие на дистанционных сотрудников – это логичные действия хакеров на фоне изменившихся условий работы и перестройки системы корпоративных коммуникаций", - сообщает Андрей Арсентьев. По его мнению, пандемия стала триггером для калейдоскопического изменения карты угроз, но нельзя говорить о том, что сложившийся в 2020 году ландшафт сохранится надолго. "Многое может измениться за считанные месяцы. Но очевидно, что компании по всему миру теперь будут уделять повышенное внимание защите систем видеоконференций и обеспечению безопасности сотрудников на удаленной работе", - утверждает Андрей Арсентьев. "Сложно сказать, что именно пандемия изменила ландшафт киберугроз или внесла что-то принципиально новое", - отмечает глава представительства компании Avast в России и СНГ Алексей Федоров. Он пологает, что скорее можно говорить об адаптации старых методов под новые условия, использование самой темы коронавируса. Пандемия и переход на "удаленку" просто подчеркнули все существующие проблемы, сделали их более явными. "Ситуация с пандемией вынудила большое количество людей работать удаленно. К домашним сетям сразу подключалось гораздо больше устройств, чем раньше, в том числе и те, с которых люди работали, заходили в корпоративную сеть. Если многие по-прежнему будут работать из дома, то злоумышленники будут целиться на роутеры. С роутеров начинается безопасность дома. И часто именно они защищены меньше всего. Несколько лет назад, когда всем массово подключали интернет в квартирах, часто роутеры предоставляли бесплатно. И, как правило, это были не самые качественные и надежные устройства", - предупреждает Алексей Федоров. По его словам, если злоумышленники получат доступ к роутеру, то они смогут совершать множество действий, например, перехватывать DNS, менять их настройки. "Это позволит злоумышленникам перенаправлять пользователей с оригинальных веб-сайтов на фишинговые сайты. Теоретически, после того, как хакер получит доступ к роутеру, он сможет совершить еще более сложные атаки. Как минимум - может попытаться просканировать домашнюю сеть, чтобы попытаться заразить другие устройства", - объясняет Алексей Федоров. По оценке экспертов "Лаборатории Касперского" атаки на видеоконференции за последние три месяца пережили 39% компаний. "На самом пике пандемии (в апреле 20120 года) "Лаборатория Касперского" обнаружила около 1300 файлов с нежелательными приложениями и даже вредоносным кодом, в которых использовались названия популярных сервисов для онлайн-конференций. Злоумышленники эксплуатировали названия Zoom, Webex, Slack и других сервисов. Таким образом, распространялось 200 видов угроз, в основном рекламные приложения DealPly и DownloadSponsor. Оба семейства являются установщиками, которые показывают рекламу или загружают рекламные модули", - рассказали корреспонденту ComNedws в пресс-службе "Лаборатории Касперского". Согласно оценке экспертоы "Лаборатории Касперского", со времени начала пандемии ландшафт киберугроз существенно изменился. Как рассказал Сергей Голованов, ведущий антивирусный эксперт "Лаборатории Касперского", в условиях пандемии и самоизоляции злоумышленники не прекращали свою деятельность. Текущая новостная повестка активно используется злоумышленниками для фишинга, а также при проведении целевых атак. Однако в целом количество атак вредоносного ПО уменьшается. По данным "Лаборатории Касперского", в мире в 2019 году такие программы были зафиксированы на устройствах каждого пятого пользователя, что на 10% меньше, чем в 2018 году. Также в два раза сократилось количество уникальных вредоносных ресурсов, где были заблокированы попытки заражения, и количество таких атак. Но одновременно с этим растёт количество уникальных вредоносных программ — их число увеличилось на 13%. Руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева считает, что с ростом числа пользователей платформ для видеосвязи интерес к ним растет и со стороны злоумышленников. "Так, в течение I квартала 2020 года было зарегистрировано более 1700 фишинговых доменов, связанных с названием популярной платформы Zoom . Помимо этого, были зафиксированы инциденты, связанные с вторжением в онлайн-конференции через Zoom. Записи тысяч видеозвонков оказались размещены на YouTube и Vimeo. В свободный доступ попали частные видеозвонки, записи бизнес-собраний, сеансы у врачей, занятия в учебных заведениях. Во II квартале на фоне пандемии также наблюдались атаки, направленные на кражу учетных данных для подключения к системам аудио- и видеосвязи. Например, в ходе фишинговой кампании, направленной на удаленных сотрудников, использующих Skype, злоумышленники рассылали письма с фейковыми уведомлениями от сервиса. Получатель, перейдя по ссылке из письма, попадал на поддельную форму аутентификации, где его просили ввести логин и пароль от Skype. Зафиксированы также подобные атаки на пользователей платформ Webex и Zoom", - рассказывает Екатерина Килюшева. По ее словам, вредоносное ПО используется в большинстве кибератак, к примеру, во втором квартале ВПО применялось в 62% атак на организации. "Наибольшее число атак на корпоративную инфраструктуру с использованием ВПО пришлось на долю троянов-шифровальщиков (39%) и шпионского ПО (34%). Частные лица больше всего подвергались атакам с использованием инфостилеров (40%) и банковских троянов (28%). Любые громкие события в мире дают почву для проведения атак методами социальной инженерии и, конечно, пандемия сыграла на руку преступникам - они активно эксплуатировали тему коронавируса. Во II квартале тема COVID-19 была затронута в 16% фишинговых атак. Помимо тем для вредоносных писем, злоумышленники использовали пандемию для создания тематических сайтов, на которых под видом полезной информации скрывается вредоносное ПО, для кражи денег в ходе атак типа business email compromise, для распространения вредоносных мобильных приложений", - объясняет Екатерина Килюшева. Екатерина Килюшева отмечает, что для многих компаний удаленная работа оказалась не просто кратковременной необходимостью: пандемия заставила полностью пересмотреть существующие бизнес-процессы, а для киберпреступников это означает появление новых возможностей для атак на организации. "Многие предприятия, переводя сотрудников на дистанционную работу, сделали часть сервисов доступными из интернета. Например, в первом квартале мы отмечали, что выросло число узлов российских компаний, доступных для подключения по протоколу RDP. И уже во втором квартале увидели рост числа атак, направленных на подбор учетных данных для доступа по RDP, на эксплуатацию уязвимостей в корпоративных сервисах, доступных извне, в первую очередь систем удаленного доступа. В связи с полным или частичным переходом на удаленную работу увеличилось количество атак не только на системы удаленного доступа, но и на платформы для проведения видеоконференций, и эти тренды могут надолго остаться с нами", - объясняет Екатерина Килюшева.