В прошлом году киберпреступность продолжила атаковать вступившие на путь ускоренной цифровизации компании. Этому поспособствовала пандемия, которая вызвала массовый переход на удалённую работу и массовый же переход к использованию облачных сервисов. Сжатые сроки и недостаток квалифицированных ИТ-сотрудников привели к появлению у киберпреступников множества новых возможностей для атак. И те, конечно, с готовностью воспользовались ими: в 2021 году систему обнаружения Trend Micro зафиксировали, что количество вредоносных писем выросло почти на 20% с 57  млрд до почти 70 млрд, причём более 122 млн из них пришлись на страны Центральной Азии (Республика Казахстан на втором месте по количеству таких писем). В этой статье мы поделимся самыми важными наблюдениями из нашего доклада Navigating New Frontiers. Trend Micro 2021 Annual Cybersecurity Report.

Киберпреступные итоги отчета кратко:

Защитные системы Trend Micro в 2021 году заблокировали более 94 млрд различных угроз по всему миру. В их числе:

• угрозы, связанные с электронной почтой: 69 869 979 425 — рост почти на 20% по сравнению с 2020 годом; 

• вредоносные сайты 3 468 559 504 — рост на 52% к 2020 году;

• вредоносные файлы: 17 834 808 438 — пятикратный рост по сравнению с показателями 2020 года. 

Старые уязвимости всё ещё актуальны, поскольку злоумышленники делают ставку на организации, использующие устаревшее и необновлённое ПО.

Дополнительный рост числа угроз, связанных с электронной почтой, был вызван массовым переходом на удалённую работу: 

• решение Trend Micro Cloud App Security смогло обнаружить и блокировать 25,7 млн угроз электронной почты, что на 50% больше, чем 16,7 млн угроз, обнаруженных в 2020 году. 

• количество обнаруженных и заблокированных попыток фишинга увеличилось на 7,2% по сравнению с позапрошлым годом;

• в 2021 году было обнаружено менее 8 млн угроз, связанных с COVID-19, что на 48,7% меньше, чем в 2020 году; в подавляющем большинстве этих атак использовалась электронная почта.

А теперь перейдём к наиболее важным тенденциям прошлого года.

Рост количества вымогательских атак

Пожалуй, самым заметным явлением 2021 года были вымогательские кибератаки. Увеличилось количество преступных группировок, они стали атаковать чаще, причём их амбиции сильно выросли: они перестали довольствоваться небольшими выкупами, поэтому от массированных кампаний на всех подряд перешли к тщательному выбору жертв. 

Ещё киберпреступники отказались от автоматизированных атак и стали проводить их вручную, внимательно изучая особенности инфраструктуры каждой жертвы и подстраиваясь под них. Именно так были организованы вымогательские кампании группировок REvil и Conti. Они выбирали самых богатые организации из критически важных секторов экономики и общественной жизни, чтобы увеличить вероятность выплаты выкупа. В частности, от вымогательских атак пострадали медицинские учреждения, принявшие на себя удар пандемии COVID-19, — они вошли в тройку самых атакуемых отраслей 2021 года, сместив с третьего места производственные предприятия, занимавшие его в 2020 году. 

Топ 3 отраслей, компании которых подвергались атакам вымогателей в 2020–2021 годах. Источник: Trend Micro Smart Protection Network

Ещё одной причиной возросшей «популярности» медицинских организаций среди кибервымогателей стал, очевидно, низкий уровень информационной безопасности в отрасли. Анализ киберинцидентов, связанных с вымогательством, показал, что медицинские организации реже, чем предприятия из других секторов, создают резервные копии важных данных и подолгу не устанавливают обновления безопасности для операционных систем, оборудования и ПО. Вполне закономерно, что они чаще оказываются вынуждены платить выкуп за восстановление доступа к важной информации, в том числе к персональным данным пациентов. 

Примечательно, что многие вымогательские группировки построили настоящие ИТ-компании с несколькими подразделениями и даже службой поддержки клиентов, в роли которых выступали жертвы, лишённые доступа к файлам после атаки шифровальщика. Вымогатели связывались с «клиентами» и предлагали им техническую поддержку в части покупки криптовалюты для выплаты выкупа и восстановления доступа к зашифрованным данным.

Переход к целевым атакам и разделение труда

Более тщательный выбор жертв стали производить не только вымогатели, но и другие группировки. По данным нашего исследования количество целевых атак в 2021 году выросло во всех сферах киберпреступной деятельности.

Хакеры обновили инструментарий и повысили результативность своих действий. Атаки группировок Void Balaur и Tropic Trooper показали, что киберпреступники способны не только разрабатывать специализированные утилиты, но и отлично работать в команде, используя разделение труда в соответствии с профессиональной специализацией участников группировок. 

Основные векторы атак — фишинг и уязвимости

Чаще всего на первом этапе атак в 2021 году использовался фишинг. Это самый простой и недорогой в реализации метод зарекомендовал себя как отличное средство преодоления защитных систем. Воздействуя на людей с помощью социальной инженерии, хакеры убеждали сотрудников компаний ввести логин и пароль на мошенническом сайте, скачать и запустить вредоносное ПО, замаскированное под «обновление безопасности» или просто разрешить выполнение макросов в документе. Успех фишинговых кампаний обеспечила обстановка в мире, в том числе бесконечный поток разнообразных новостей, связанных с пандемией COVID-19. 

По данным защитных систем Trend Micro, в 2021 году 92% вредоносных программ, в особенности программ-вымогателей, были доставлены по электронной почте в рамках фишинговых кампаний. Помимо этого, фишинговые письма в 2021 году стали причиной 90% случаев утечек данных.

Лидером по количеству обнаруженных и заблокированных вредоносных писем среди стран Центральной Азии стал Узбекистан — в 2021 году его жители получили более 60 млн фишинговых посланий. На втором месте оказался Казахстан, где было обнаружено более 53 млн потенциально опасных писем. Третье место досталось Кыргызстану: сотрудники организаций республики получили более 7 млн фишинговых писем. 

Другим популярным способом проникновения в сети компаний в 2021 году стали многочисленные критические уязвимости, выявленные в течение года. И хотя любая брешь в системах организации может оказаться губительной, рост количества атак с использованием именно критических ошибок в операционных системах и ПО демонстрирует заинтересованность преступных групп в эффективных способах взлома. 

Это показывает значительный рост спроса на способы эксплуатации уязвимостей (эксплойты) на хакерских форумах. Примечательно, что успешно продаются не только новые, но и старые уязвимости. Причиной такой популярности является присутствие большого количества необновлённых систем в организациях по всему миру. 

Атаки на облачные сервисы

Многим организациям поспешный переход в облака принёс ряд неприятных сюрпризов, связанных с небезопасной конфигурацией облачных сервисов. Этим воспользовались, например, участники группировки TeamTNT для компрометации учётных записей репозитория образов контейнеров Docker Hub. Группировка TeamTNT одной из первых сосредоточилась в первую очередь на поставщиках облачных услуг.

Краткие рекомендации по обеспечению кибербезопасности в 2022

Защитить данные, работников, клиентов и бизнес-процессы организацием поможет реализация следующих мер:

• непрерывное обучение и повышения осведомлённости сотрудников и партнёров организации для защиты от фишинговых атак;

• внедрение многоуровневых решений по обнаружению угрозы и реагированию на них;

• внедрение наиболее эффективных методов обеспечения безопасности облачной инфраструктуры;

• создание команд и алгоритмов для предотвращения кибератак, реагирования на инциденты и восстановления после них;

• оперативное управление обновлениями ПО, которое позволит предотвратить атаки с помощью известных уязвимостей;

• проведение тренировочных имитированных атак для выработки навыков безопасного поведения работников.