Привет! В эфир снова врывается департамент аналитики Positive Technologies. Расскажем, какие отрасли чаще всего атаковали злоумышленники в 2023 году. Государственные учреждения, как и прошлом году, заняли первое место, причем атаки с разрушительными последствиями стали трендом. Вредоносное ПО в этой сфере проникало в организации преимущественно через электронную почту. Мы также затронем неприятности, произошедшие с фондом «Сколково», курортом «Роза Хутор» и другими компаниями.
На государственные организации было направлено 15% от всех реализованных успешных атак на различные отрасли за первые три квартала 2023 года.
Вредоносное ПО использовалось в каждой второй атаке, наиболее популярными инструментами были шифровальщики (51%) и шпионское ПО (27%). В основном злоумышленники распростораняли вредоносы через электронную почту (66%) и при компрометации компьютеров, серверов и сетевого оборудования (26%). Социальная инженерия как метод атаки применялась в 42% случаев, а в 24% инцидентов эксплуатировались уязвимости на внешнем сетевом периметре.
Основным последствием атак на государственный сектор в 2023 году стало нарушение основной деятельности, что было менее характерно для 2022-го. Так, городской совет муниципалитета Дуранго (Испания) был полностью парализован на несколько недель . В США атаки вымогателей на администрации городов Окленд и Модесто (США) вызвали масштабные сбои в работе систем государственных учреждений. В результате инцидентов службы были отключены от интернета и телефонии, а полиция была вынуждена работать по старинке, используя во время патрулирования портативные радиостанции, ручку и бумагу. В России кибератака на Единую информационную систему таможенных органов России на некоторое время привела к частичному переходу сотрудников ФТС на бумажный документооборот, а также к скоплению вагонов на некоторых железнодорожных станциях в результате затруднений при выполнении таможенных операций.
По нашим прогнозам, в 2024 году атаки на госсектор будут иметь более разрушительные последствия, которые могут сказаться на критически важных государственных услугах. Государственные организации России столкнутся с увеличением количества высококвалифицированных целевых атак со стороны APT-группировок. Хактивизм продолжит набирать обороты, и основными мотивами злоумышленников останутся вымогательство и нарушение основной деятельности организаций этой отрасли.
В сфере здравоохранения тоже вспомнили о бумажных носителях
Медицинские организации вышли на второе место в приоритетах киберпреступников — 11% от всех успешных атак, что на 2 процентных пункта выше, чем в прошлом году. В 2023 году 96% атак были целевыми, и год в целом ознаменовался для медицины повышением активности вымогателей. Так, больницы Айдахо-Фолс и Маунтин-Вью (США), а также их клиники-партнеры подверглись атаке шифровальщика , из-за которой некоторые учреждения были закрыты. Клиенты российской медицинской лаборатории «Хеликс» несколько дней не могли получить результаты своих анализов из-за серьезной кибератаки , которая вывела из строя системы компании. Согласно заявлению лаборатории, хакеры пытались заразить системы компании вирусом-вымогателем.
Отключение критически важных систем и отсутствие доступа к медицинским файлам стали результатом киберинцидента с вымогательским ПО в госпитале Ross Memorial (Канада). В учреждении был объявлен серый код, что означает невозможность проведения операций и процедур. Американскую медицинскую компанию Prospect Medical Holdings в августе атаковали вымогатели из группировки Rhysida. Больницам пришлось отключать IT-сети для предотвращения распространения атаки, возвращаться к бумажным картам и останавливать предоставление ряда услуг (например, прием анализов).
В «Сколково» взломали файлообменник
В организациях из сферы науки и образования наблюдался рост количества инцидентов по сравнению с показателями 2022 года, что привело к перемещению позиции отрасли в рейтинге успешных атак — с пятого места на третье (10% от общего количества успешных атак по данным за первые три квартала 2023). В свободный доступ был выложен дамп базы PostgreSQL с данными пользователей государственной образовательной платформы «Российская электронная школа». В таблице пользователей более 9 млн записей, включающие Ф. И. О., адреса электронной почты, номера телефонов, хешированные (с солью) пароли, пол, даты рождения, типы пользователя, идентификаторы соцсетей, названия учебных заведений, идентификаторы в ЕСИА и на Госуслугах, даты регистрации и последнего входа.
Кроме того, инфраструктура фонда «Сколково» подверглась хакерской атаке , в результате чего ряд его сервисов стал недоступен, а часть данных была скомпрометирована. Представители уточнили, что взлому, в частности, подвергся файлообменник, расположенный на физических мощностях фонда. Хакеры, представившиеся «украинским киберфронтом», также выложили в сеть скриншоты внутренних информационных ресурсов и отдельные документы.
Атаки на «Золотую корону» и внимание к уязвимостям
За первые девять месяцев 2023 года доля атак на финансовые учреждения составила 9% от общего количества успешных атак на организации. Стоит также отметить, что в третьем квартале этого года мы зафиксировали вдвое больше уникальных киберинцидентов, чем за аналогичный период годом ранее. Это говорит о пристальном внимании преступников к отрасли.
Нельзя не отметить, что в 2023 году российские организации продолжали подвергаться мощным DDoS-атакам , которые были направлены на временное нарушение работы цифровых сервисов. Хакеры провели DDoS-атаку на систему денежных переводов «Золотая корона», которая стала особенно востребованной на фоне осложнения отправки средств из России за рубеж и обратно. Эксперты по кибербезопасности отмечают, что атака на ресурсы компании координировалась на теневых форумах, при этом простои грозят платежной системе прямыми и невосполнимыми финансовыми потерями.
Наблюдается значительное увеличение числа инцидентов, в которых использовались уязвимости ПО. В частности, значимый вклад в эту категорию внесли атаки с эксплуатацией уязвимости приложения для безопасной передачи данных MOVEit Transfer (CVE-2023-34362). Группировка Cl0p активно эксплуатировала ее еще в начале года, а патч для закрытия бреши был выпущен только в мае. Большое количество инцидентов пришлось на второй и третий кварталы, когда эксплойт взяли в оборот и другие преступники.
Шпионаж и остановки производств в промышленности
Утечка информации в промышленной сфере произошла в ходе 69% атак на организации из этой отрасли. Группировка «ИТ-армия Украины» утверждает, что в конце января получила доступ к архиву файлов размером 1,5 Гбайт, принадлежащему энергетическому гиганту «Газпром». В архиве находится более 6000 дел по финансово-хозяйственной деятельности, а именно отчеты по испытаниям и бурению, внедрению и наладке автоматизированных систем на Ковыктинской скважине (Иркутская область).
Не покладая рук трудились вымогатели. Так, вымогатели LockBit взяли на себя ответственность за компрометацию систем Maximum Industries , технологического подрядчика SpaceX. Преступникам удалось похитить около 3000 чертежей деталей. Злоумышленники пообещали устроить аукцион для желающих приобрести технологические наработки конкурента в случае неуплаты выкупа. Кроме того, LockBit потребовали от компании TSMC, самой дорогой компании в Азии и одного из крупнейших в мире производителей полупроводников, выкуп в размере 70 млн долларов за непубликацию украденных данных. Утечка данных произошла с неправильно настроенного сервера поставщика IT-оборудования Kinmax Technologies.
Кроме того, Lorenzi, итальянский производитель деталей и элементов для обувной промышленности, был парализован атакой шифровальщика . Британская компания Morgan Advanced Materials, производящая керамические и углеродные детали, используемые в производстве полупроводников, стала жертвой аналогичной атаки .
В 2023 году с кибератаками столкнулись компании и организации из всех отраслей, в том числе транспорта, торговли, сферы услуг, телекома. Например, в открытом доступе оказался архив «Розы Хутор» , в котором содержится более 522 000 строк с Ф. И. О., адресами электронной почты, номерами телефонов, зашифрованными паролями и датами последнего входа. Оператор T-Mobile раскрыл утечку данных , после того как злоумышленник украл личную информацию из 37 млн текущих учетных записей клиентов через один из ее API-интерфейсов.
Другие резонансные инциденты, а также тенденции, прогнозы и рекомендации для этих отраслей ищите здесь .
О том, как изменился рынок ИБ в России за год, какие технологии его стали драйвить, а главное чего нам ждать от этого в наступающем году, читайте в наших следующих статьях
