Кампании операторов программ-вымогателей (шифровальщиков), атаки APT-группировок на промышленные сети (АСУ ТП) и государственные учреждения. Крупные утечки конфиденциальной информации и рекордные суммы выкупов, а также продолжение истории с «удалёнкой» и связанными с ней киберрисками. Чем отметился 2021 год для информационной безопасности?
- Введение
- Зарубежные инциденты в информационной безопасности
- Российские инциденты в информационной безопасности
- 3.1. Атака MoneyTaker на банк, ущерб 500 млн долларов
- 3.2. Мошенничество с 3-D Secure, хищение 400 млн рублей
- 3.3. Атака на Wildberries, ущерб 385 млн рублей
- 3.4. Утечка базы автомобилистов Москвы и Подмосковья, 50 млн наборов персональных данных
- 3.5. Утечка из Hyundai, 1,3 млн наборов персональных данных
- 3.6. Компрометация ящиков «Яндекса», утечка данных 5 тыс. ящиков
- 3.7. Взлом РЖД, без ущерба
- 3.8. Видеокамеры в открытом доступе, без ущерба
- 3.9. Атака на «Госуслуги», ущерб неизвестен
- 3.10. Утечка в «ДОМ.РФ», количество данных пользователей неизвестно
- Выводы
Введение
2021 год, так же как и предыдущие года, не был спокойным для корпораций и специалистов по кибербезопасности: утечки информации, непреднамеренные сливы данных, шифровальщики, атаки APT-группировок… Очень трудно назвать отрасли, которые не тронули бы киберпреступники: страдали крупные ИТ- и ИБ-компании, банки, автодилеры, геймерские сообщества, онлайн-магазины и многие другие организации и предприятия.
Под самый конец года всё информационное сообщество всколыхнула новость о критической уязвимости Log4Shell (CVE-2021-44228) в библиотеке Apache log4j. Опасность заключается не только в том, что брешь позволяет удалённо выполнить произвольный код и легко эксплуатируется, но также и в том, что уязвимую библиотеку можно встретить в системах и продуктах таких производителей, как Apple, Amazon, Cloudflare, Google, LinkedIn и т. д.
Чуть позже выяснилось, что есть и второй изъян (CVE-2021-45046), и третий. Само собой, киберпреступники оперативно начали эксплуатировать баги. Например, соответствующие эксплойты фигурировали в атаках шифровальщиков и майнеров. И хотя информации о крупных инцидентах с их участием пока нет, весьма вероятно, что скоро она появится.
Зарубежные инциденты в информационной безопасности
Информация о киберинцидентах за рубежом поступала весьма часто. Причин этому несколько: зарубежные компании с большей готовностью публикуют сведения о происшествиях и к тому же более привлекательны для преступников с финансовой точки зрения.
Инциденты в производственном сегменте
Атаки на производственные компании в очередной раз показали, насколько сильно современное предприятие зависит от информационных технологий и насколько тщательно необходимо защищать объекты критической инфраструктуры.
Атака на Colonial Pipeline, ущерб 4,5 млн долларов
Атака на крупнейшего американского оператора трубопроводов привела к остановке системы на пять дней. Это повлекло за собой цепочку последствий: на юго-востоке США начался дефицит бензина и дизельного топлива, розничные цены на бензин достигли десятилетнего максимума, и даже некоторые авиакомпании были вынуждены временно изменить свои рейсы. Президенту США пришлось объявить чрезвычайное положение по всей стране.
Сумма, которую получили киберпреступники в качестве выкупа, составила около 4,5 млн долларов (часть из которых, впрочем, удалось вернуть), однако она несопоставима с суммой ущерба понесённого экономикой США и другими американскими компаниями.
Атака на JBS USA, ущерб 11 млн долларов
Атака на крупнейшего производителя мяса в мире произошла 30 мая. В результате атаки было временно остановлено производство говядины в США. JBS на некоторое время отправили в отпуск около 7000 сотрудников в Австралии. Компания выплатила хакерам выкуп в размере 11 млн долларов.
Атака на водоочистные сооружения, без ущерба и пострадавших
Ещё одно событие из США. Злоумышленники смогли проникнуть в компьютерные системы, управляющие водоочистными сооружениями в одном из городов штата Флорида. В результате доступа к системам хакеры могли регулировать химический состав воды, меняя таким образом её кислотность. Необходимо отметить, что в результате атаки никто не пострадал.
Атаки на банки и ретейл
В основном инциденты 2021 г. в банковской сфере касались утечек данных — например, клиентов украинского «Приватбанка», пользователей криптобирж и форекс-рынка.
Исключением явилась атака на национальный банк Дании. Хакерам удалось взломать системы банка и закрепиться в его инфраструктуре. Наличие вредоносной программы в сети было обнаружено лишь спустя семь месяцев. По оценке специалистов, далее взлома и исследования активов банка хакеры не продвинулись.
Что касается ретейла, то особняком стоит инцидент с известной немецкой сетью MediaMarkt, занимающейся реализацией электроники и бытовой техники. Компания стала жертвой операторов программы-вымогателя Hive. В результате атаки злоумышленникам удалось зашифровать серверы и рабочие станции, что привело ко временному прекращению продаж на территории Нидерландов и Германии.
Действия Hive затронули порядка 3100 серверов MediaMarkt. За расшифровку файлов вымогатели потребовали 240 млн долларов.
Атаки на ИТ- и ИБ-компании
ИТ- и ИБ-компании весьма интересны хакерам не только как потенциальные плательщики выкупа, но и в связи с тем, что получить доступ к инфраструктуре организаций проще, если та пользуется взломанными и модифицированными продуктами. Наиболее показательный пример этого — взлом SolarWinds в 2020 г.
Атаки на Acer, утечка 60 ГБ данных и требование 50 млн долларов
Атаки на тайваньского техногиганта — одни из самых ярких в ИТ-сегменте в 2021 году. Первый взлом случился весной, когда операторы REvil украли и зашифровали внутреннюю информацию корпорации и запросили 50 млн долларов.
На этом злоключения Acer не закончились, осенью у них украли 60 ГБ данных. Через неделю компанию взломали ещё раз — в качестве напоминания о том, что уязвимости надо закрывать.
Атака на Kaseya, требование 70 млн долларов
Kaseya — американская компания, которая занимается разработкой программ для управления сетями, системами и ИТ-инфраструктурами. Kaseya подверглась атаке шифровальщика в июле. Кибертеррористы запросили в качестве выкупа 70 млн долларов. Платила ли компания выкуп, остаётся неизвестным. По оценке экспертов, атака затронула тысячи компаний по всему миру.
Атака на SonicWall, ущерб неизвестен
Взлом защитных систем компании занимающейся информационной безопасностью — своего рода «вишенка на торте» для любого хакера. В 2021 году такой компанией стал известный производитель файрволов и VPN-продуктов SonicWall. Злоумышленники использовали уязвимость «нулевого дня» в VPN-решении этого производителя и проникли в инфраструктуру предприятия. Точная информация о том, с какой целью была осуществлена атака, в СМИ не появлялась.
Атаки на игровой сегмент
Игровая отрасль — одна из самых выигравших от пандемии. Неудивительно, что геймеры и компании производящие игровой контент стали одной из целей киберпреступников в 2021 г.
Атака на EA Games, утечка 750 ГБ исходного кода
Атака на одного из крупнейших производителей видеоигр позволила злоумышленникам украсть около 750 ГБ данных, включая исходный код некоторых игр (в том числе FIFA) и инструменты для отладки. По мнению EA, этот инцидент не приведёт ко значительным последствиям в разработке игр или ведении бизнеса. Информации о точном ущербе нет, однако, по информации от злоумышленников, за эти данные им предлагали около 28 млн долларов.
Атака на CD Projekt Red, утечка исходного кода игр
CD Projekt Red известна такими проектами, как «Ведьмак» и Cyberpunk 2077. В результате атаки были похищены исходные коды этих игр, а часть данных — зашифрована. По традиции хакеры потребовали выкуп, однако компания отказалась выплачивать его и обратилась в правоохранительные органы. Зашифрованные данные удалось восстановить из резервных копий. Позднее злоумышленники выставили исходные коды игр на аукционе и планировали получить за них 7 млн долларов.
Другие значимые утечки данных
Утечками данных пользователей и клиентов организаций уже никого не удивишь — они происходят из года в год. Увеличиваются лишь объёмы подобной информации.
COMB, 3,2 млрд логинов и паролей
В начале года на популярном хакерском форуме появилась крупнейшая база скомпрометированных данных, содержащая 3,2 млрд пар адресов электронной почты и паролей от них. В результате исследования было выявлено, что это — комбинированная база, включающая в себя опубликованные ранее утечки, с которыми столкнулись Netflix, Exploit.in, Bitcoin и другие. По оценкам специалистов, базы являются весьма старыми и датируются 2017 годом.
Alibaba, утечка 1 млрд наборов персональных данных
1 млрд имён пользователей и телефонных номеров — таков улов разработанного сторонней компанией поискового робота (краулера), собиравшего информацию с официального сайта сервиса Taobao, который принадлежит группе компаний Alibaba Group. Предположительно сбор данных производился с ноября 2019 г. по июль 2020 г., однако известно о нём стало только в этом году.
Данные пользователей Facebook, Instagram, LinkedIn, утечка данных 214 миллионов пользователей
Китайская компания Socialarks допустила утечку более 400 ГБ персональных данных, принадлежащих миллионам пользователей Facebook, Instagram и LinkedIn. В базе хранилась конфиденциальная информация 214 миллионов пользователей по всему миру.
Причина утечки банальна: незащищённый сервер ElasticSearch был доступен из интернета.
Российские инциденты в информационной безопасности
Информация об инцидентах в России появляется сравнительно редко: прежде всего сказываются менталитет и опасения за имидж компании. Однако и среди опубликованных встречаются весьма значимые события.
Атака MoneyTaker на банк, ущерб 500 млн долларов
В начале года известная группировка MoneyTaker осуществила вывод 500 млн рублей с корсчёта одного из российских банков. По сообщению исследователей, атака началась ещё летом 2020 года, когда группировке удалось проникнуть в сеть банка путём взлома одной из аффилированных компаний. После полугода исследования сети и ресурсов в ней злоумышленники в январе 2021 года подделали платёжные поручения и вывели деньги банка на свои счета.
Мошенничество с 3-D Secure, хищение 400 млн рублей
По данным Group-IB, злоумышленники освоили ещё один вид мошенничества, связанный с подделкой страниц для подтверждения платежей с банковской карты. Таким образом за первые 6 месяцев 2021 года было похищено порядка 400 млн рублей. Оценочно к концу года этот объём может составлять порядка миллиарда рублей.
Атака на Wildberries, ущерб 385 млн рублей
В результате ошибки при обработке платежей Wildberries потеряла 385 млн рублей. Схема оказалась весьма простой: злоумышленники регистрировались на площадке в качестве продавца и в роли покупателя пытались провести несуществующий платёж по заведомо некорректным реквизитам. Wildberries переводила деньги продавцу, но на свой счёт ничего не получала.
Утечка базы автомобилистов Москвы и Подмосковья, 50 млн наборов персональных данных
Один из форумов киберпреступной тематики пополнился новой базой данных, содержащей записи о столичных автовладельцах. В общей сложности исследователи насчитали в слитой базе 50 миллионов строк, касающихся водителей из Москвы и Подмосковья. Эту информацию собрали более чем за десять лет — с 2006 по 2019 год. Ценник злоумышленников зафиксировался на сумме 800 долларов.
Утечка из Hyundai, 1,3 млн наборов персональных данных
На форумах хакерской тематики в даркнете появились данные 1,3 миллионов российских владельцев автомобилей Hyundai. В теории преступники могут воспользоваться слитой информацией для угона машины жертвы или для рассылки спамерских сообщений. Среди опубликованных сведений можно найти физические адреса пользователей, а также данные о приобретённых автомобилях и заказе запчастей. Все пострадавшие владельцы машин зарегистрированы на сайте hyundai.ru. Стоимость слитой базы — 2 тыс. долларов.
Компрометация ящиков «Яндекса», утечка данных 5 тыс. ящиков
Человеческий фактор — одна из основных причин, из-за которых происходят киберинциденты. Очередным подтверждением этого тезиса стала компрометация почти 5 тысяч почтовых ящиков из-за недобросовестных действий одного из системных администраторов. Как долго и с какой целью производились эти действия, неизвестно. По факту инцидента «Яндекс» обратился в правоохранительные органы.
Взлом РЖД, без ущерба
В самом начале года один из исследователей смог взломать системы российского монополиста в сфере железнодорожных перевозок. Строго говоря, взламывать ничего и не требовалось: одно из сетевых устройств РЖД просто не имело пароля и позволяло проникнуть в сетевую инфраструктуру. Ущерба (кроме имиджевого) ведомство не понесло.
Видеокамеры в открытом доступе, без ущерба
Компания Avast выявила на территории России более 6 тысяч видеокамер в открытом доступе. Самое печальное — то, что эти камеры использовались не только в бытовых целях, но и на предприятиях КИИ. На камерах не была настроена элементарная авторизация, что позволяло злоумышленникам не только просматривать контент, но и использовать эти устройства в бот-сетях.
Атака на «Госуслуги», ущерб неизвестен
В ноябре 2021 г. сайт предоставления государственных услуг попал под мощную атаку хакеров. Атака преследовала две цели: затруднить работу с порталом (DDoS) и взломать чат-бота Макса. Обе цели оказались выполнены: наблюдались проблемы со входом на портал, а чат-бот вдруг начал заявлять, что коронавируса не существует, а факт существования болезни не доказан.
Утечка в «ДОМ.РФ», количество данных пользователей неизвестно
Жертвами утечки в банке стали граждане желающие взять кредит. База данных содержит информацию о россиянах, которые обращались в разное время в банк с заявкой на кредит. Полнота базы данных зависит от количества внесённой заявителем информации. Как минимум это — номера телефонов, адреса электронной почты и суммы желаемого кредита, максимум — паспортные данные, СНИЛС, ИНН, адрес проживания, доход и сведения о работе заявителя. База данных оценивается в 100 тыс. рублей.
Выводы
Согласно исследованиям специалистов “Ростелеком - Солар”, в 2021 году 92 % целевых атак были направлены против объектов критической информационной инфраструктуры. Всего же в 2021 г. в России было выявлено 300 таргетированных атак, что на 30 % превышает показатели прошлого года. Основной способ проникновения в сеть — по-прежнему фишинг (60 % случаев). Также в 50 % случаев атака производилась с эксплуатацией веб-уязвимостей.
Что касается киберпреступности в целом, то по данным Positive Technologies, в 2021 году увеличилось количество атак с использованием социальной инженерии — с 67 до 83 %. Выросла и доля атак, в которых использовались вредоносные программы для удалённого доступа — с 17 до 36 %. А вот количество уникальных атак уменьшилось почти на 5 %. Предположительно это связано со снижением активности ряда преступных группировок, а также с сокращением числа атак шифровальщиков.
Впереди новый год и новые инциденты. Остаётся надеяться на то, что их будет меньше, чем в уходящем году. Однако трудно избежать инцидентов, если не занимаешься информационной безопасностью. Своевременная смена паролей, повышение киберграмотности сотрудников компаний, реализация минимальных правил кибергигиены позволят снизить риски взломов и утечек.
