Кибернаступление: жаркое лето 2022
Закладки в open source
Одна из самых заметных «новинок» в кибервойне сегодня – значительный рост закладок зловредов в open-source-продуктах, используемых компаниями и частными пользователями. Работает это так: при скачивании обновления какой-нибудь библиотеки, новой версии системного или прикладного ПО происходит идентификация пользователя по IP-адресу с привязкой к региону, и вместо безопасного рабочего кода он получает зараженный.
Самый яркий пример: автор популярной библиотеки node-ipc недавно добавил в обновление вирус-шифровальщик, обнуляющий всю файловую систему при установке. Пользователи просто остаются безо всех данных, и, если не было бэкапа, а информация носила критичный характер, у бизнеса проблемы. Число таких инцидентов будет расти, поскольку при массовом исходе западных вендоров ПО и «железа» open source является логичной альтернативой.
Против такого рода рисков нужно принимать необходимый минимум профилактических мер: отслеживание информации о выявлении новых подобных угроз, тестирование обновлений в безопасной изолированной среде и т. д.
DDoS-рост
Второй заметный тренд – рост DDoS-атак. Причем изменения здесь проявляются не только в повышении количества, но и в расширении спектра «мишеней» хакеров.
Почему произошел такой сдвиг в акцентах? Многие компании, не интересовавшие киберпреступников ранее, попадают под общую волну, которая мотивирована политическими соображениями. Открытые телеграм-каналы «кидают клич», публикуют список целей в РФ и инструкции к действиям, и всё – DDoS-волна запущена. В частности, киберпреступники недавно обратили внимание на страховые компании. Первой жертвой в июне стала компания «Альфа-Страхование-Жизнь»: массовый DDoS-навал привел к существенным сбоям в работе портала и клиентских сервисов компании. До февраля текущего года такие компании в сравнении с банками или госструктурами атаковались крайне редко.
Хорошие новости здесь только в том, что «дудосеров»-волонтеров хватает ненадолго. Однако при современных требованиях к доступности ИТ-систем даже часовой простой воспринимается как довольно серьезный инцидент. Еще одна опасность здесь: атака одного сервиса компании маскирует кибернападение на другой, когда все силы будут брошены на локализацию первой атаки.
В качестве базового шага защиты имеет смысл усилить ИБ-периметр собственной инфраструктуры, а также прибегнуть к готовым инструментам защиты критических приложений от провайдеров.
Вечный фишинг
Другая обострившаяся цифровая напасть – фишинг, одна из самых старых, популярных и эффективных техник киберпреступников. При таких атаках на бизнес целью чаще всего является похищение данных учетных записей корпоративных ИТ-систем, заражение ресурсов компании вредоносными программами и пр. Злоумышленники используют различные каналы связи, включая телефонные звонки, SMS, мессенджеры, электронную почту, чаты web-ресурсов, а также внешние носители. Пользователю предлагается пройти по ссылке на подставной сайт, где установлен скрипт, который и выполняет всю «работу».
Проблема привлекла внимание Минцифры: до конца лета запланирован запуск централизованной системы борьбы с фишингом. Базы фишинговых ресурсов будут пополняться в рамках скоординированного взаимодействия российского бизнеса, ИБ-компаний и органов безопасности. Срок блокировки таких ресурсов снизится до одного дня.
С одной стороны, взаимодействие нескольких структур под эгидой министерства –шаг вперед, с другой – злоумышленники будут мониторить свой домен и при попадании в реестр просто поменяют его на другой. Фишинговые сайты имеют ограниченный жизненный цикл в принципе. Будут возникать вопросы к актуальности реестра. В этой ситуации важно проводить ликбез среди сотрудников компаний, поскольку человеческий фактор при таком типе атак играет определяющую роль. Нужно объяснять, как выглядит типичная фишинговая атака. Строгий запрет на открытие подозрительных писем и сообщений может резко снизить риски.
Ботнет вернулся
Наконец, проснулось еще одно старое киберзло: ботнет Emotet возобновил работу после закрытия своей инфраструктуры в январе 2021 года.
Emotet впервые проявился на ИБ-горизонте в 2014 году как типичный банковский троянский червь. Сейчас это мощный ботнет второго уровня, который доставляет разнообразные вредоносные программы и помимо платежных данных может похищать любые данные жертв, а также проводить разведку в корпоративных сетях.
Схема такова: как только троян попал в систему, он может воровать любые данные из любого программного обеспечения, установленного на компьютере. Особенно он заточен на кражу информации из браузера Chrome из-за его популярности. Кроме того, ботнет может рассылать от имени пользователя спам с вложенным вредоносным макросом Microsoft Office: он позволяет установить Emotet на компьютере получателя и расширить масштабы влияния – электронной паразит размножается.
Что делать? Прежде всего имеет смысл потратиться на качественное антивирусное решение с учетом специфики ИТ-периметра и его потенциально узких мест, а также настроить автоматическое обновление всех сторонних программ. Как и в отношении других угроз, требуется сохранять осторожность при переходе по ссылкам, загрузке программ и открытии файлов.
Выводы
Современные проблемы требуют современных решений, и в отношении ИБ эта максима применима как никогда. Лучшая базовая стратегия: повысить внимание ко всему, что связано с киберугрозами, начав с тщательного мониторинга информационного пространства, а также создать или усилить координацию работы бизнес-подразделений с ИБ-департаментом.
Мир стремительно меняется, и отношение «настроили ИБ-системы – и пусть себе дальше работают» сегодня может обойтись бизнесу неприемлемым ущербом.
Опубликовано 15.08.2022
