Центробанк и МВД поддержали ограничения на деятельность анонимайзеров

Центробанк и МВД поддержали ограничения на деятельность анонимайзеров

Роскомнадзор, ЦБ и МВД поддержали идею законопроекта, запрещающего использование анонимайзеров для доступа к заблокированным сайтам. По расчетам бизнеса, его реализация обойдется в «миллиарды долларов».

В понедельник, 19 июня, в Думе прошло первое обсуждение законопроекта об анонимайзерах и VPN-сервисах, который может грозить блокировкой легальным ресурсам.

Пакет поправок к закону «Об информации, информационных технологиях и защите информации» был внесен в Госдуму 8 июня, его авторы — депутат «Единой России» Максим Кудрявцев, депутат от «Справедливой России» Николай Рыжак, а также коммунист Андрей Ещенко.

Обсуждение документа представителями госорганов и бизнеса прошло в рамках заседания комитета Госдумы по информационной политике, информационным технологиям и связи. Его итогом стало решение создать рабочую группу для доработки законопроекта, сообщил глава комитета Госдумы по информполитике, информационным технологиям и связи Леонид Левин. Дата первого чтения законопроекта пока не назначена, пишет rbc.ru.

Какие ограничения вводит новый закон

Поправки разработаны «в целях повышения эффективности ограничения доступа к информационным ресурсам, доступ к которым в России ограничен на законном основании», говорится в пояснительной записке. Они вводят запрет для владельцев ​анонимайзеров и VPN-сервисов предоставлять доступ к сайтам, которые заблокированы на территории России. Кроме того, согласно поправкам Роскомнадзор получает право заблокировать любой сайт, где будет размещена информация о средствах обхода блокировок. Наконец, законопроект предписывает операторам поисковых систем прекращать на территории России выдачу ссылок на информационные ресурсы, включенные в перечень Роскомнадзора.

Неоднозначность формулировок и отсутствие четкой схемы реализации новых норм вызвали критику со стороны интернет-компаний. Уполномоченный по защите прав предпринимателей в интернете Дмитрий Мариничев назвал законопроект «безумием».

Анонимайзеры против закона

Анонимайзеры фактически «нивелируют» эффективность российских законов, отметил, открывая обсуждение, Леонид Левин. «К сожалению, практически всем известна фраза классика, которая гласит, что строгость российских законов компенсируется необязательностью их исполнения, — сказал он. — Анонимайзеры как раз являются ярким примером, фактически нивелирующим эффективность российских законов, а также деятельность исполнительной власти, которая нацелена на то, чтобы оградить наших граждан от информации, признанной не соответствующей российским законам».

Практически все присутствовавшие на заседании представители власти законопроект поддержали, хотя и с рядом оговорок. Замруководителя главного управления безопасности и защиты информации ЦБ Артем Сычев усомнился, что у Роскомнадзора «хватит текущих ресурсов, чтобы выполнить такую работу на высоком уровне».

«Очевидно, что им потребуется и расширение штата, и формирование инструментария, которые будут появляться за счет госфинансирования», — указал представитель ЦБ. «Концептуально» с идеей согласны в МВД. «Мы, несомненно, поддерживаем то, что не должно быть лазеек для распространения противоправного контента, и чем эффективнее будет работать система органов государственной власти и управления по пресечению [такого контента], тем меньший вред такой контент нанесет нам с вами и нашим детям», — отметил замначальника управления «К» МВД РФ Олег Свяцкий, оговорившись, что некоторые технические формулировки требуют доработки.

Глава Роскомнадзора Александр Жаров, в свою очередь, заверил, что у службы достаточно ресурсов и понимания выполнения закона. Однако из-за большого количества сервисов, позволяющих обходить блокировки, его реализация потребует «не один месяц и не один год», предупредил он.

Бизнес на анонимности

Операторы связи, которым придется исполнять этот закон, уже оценили потенциальные угрозы их бизнесу. Вице-президент по корпоративным и правовым вопросам сотовой компании МТС Руслан Ибрагимов напомнил, что законопроект может создать угрозы для VPN-бизнеса, который сейчас развивает оператор и потенциал которого оценивается в 50 млрд руб. в год. Он подчеркнул, что текущие формулировки законопроекта, касающиеся того, какую информацию должен давать Роскомнадзор операторам связи, предполагают новые риски и расходы — необходимость внедрять новую систему DPI (технология накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому). «Для нас затраты на это составят миллиарды долларов», — отметил он.

Дополнительная нагрузка также ложится на оборудование. «Наше оборудование все больше начинает обслуживать фильтрационные маршруты. По нашим оценкам, в 1,5 раза больше оборудования задействовано на фильтрацию, чем на весь Рунет. Любой запретительный закон увеличивает нагрузку на наше оборудование, [увеличивает] необходимость его модернизации», — сказал представитель МТС.

С ним согласился Сергей Мальянов, директор по работе с органами госвласти другого крупнейшего сотового оператора — «ВымпелКома». «Вопрос даже не в потерях, которые понесут владельцы ресурсов, операторы связи и поисковики, которые хотят переложить ответственность на операторов. Вопрос в том, решает ли этот инструмент, который предлагается данным законопроектом, ту цель, которую перед собой ставили разработчики. На мой взгляд, не решает», — заключил он.

Директор по стратегии, исследованиям и разработкам компании «Ростелеком» Андрей Савченков также подчеркнул, что для выполнения закона придется «перестроить всю систему фильтрации как таковую от начала до конца».

Олег Евдокимов, занимающийся экспертизой по выявлению эффективности блокировок и один из разработчиков «Родительского контроля» (системы фильтрации контента для детей), напомнил, что несовершенство системы блокировок может повлиять на так называемую критическую инфраструктуру Рунета, тем более что некоторые пользователи с целью выявить уязвимости в «Ревизоре» — системе блокировок Роскомнадзора — стали вносить в черный список IP-адреса добропорядочных ресурсов, в результате чего они стали недоступны. Евдокимов также согласился с ростом нагрузки на оборудование операторов связи из-за перенаправления трафика на DPI: «Сейчас фильтруется от 0,5 до 1% всего трафика. То есть если мы перенаправляем весь трафик на DPI, это увеличивает количество вычислительных ресурсов в сотню раз».​

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Кибершпионаж, шифровальщики: Group-IB исследовала киберугрозы 2020 года

Group-IB исследовала ключевые изменения, произошедшие в сфере киберпреступлений в мире и дала прогноз по развитию киберугроз на предстоящий год. Аналитики резюмируют: наибольший финансовый ущерб был зафиксирован вследствие атак вирусов-шифровальщиков.

Итогом тяжелого периода для мировых экономик стал расцвет рынка продажи доступов в скомпрометированные сети компаний. Вместе с тем, более чем в два раза вырос объем рынка по продаже краденых банковских карт. В гонке противостояния проправительственных хакерских групп появились новые игроки, а считавшиеся сошедшими со сцены — возобновили атакующие действия.

Отчет Hi-Tech Crime Trends 2020-2021 исследует разные аспекты функционирования киберкриминальной индустрии, анализирует атаки и прогнозирует изменение ладшафта угроз для различных отраслей экономики: финансовой, телекоммуникационной, ритейла, производства, энергетики. Также авторы отчета анализируют кампании, развернутые против объектов критической инфраструктуры, которые все чаще становятся целью для спецслужб разных государств.

Hi-Tech Crime Trends 2020-2021 предназначен для экспертов по риск-менеджменту, специалистов по стратегическому планированию задач в области кибербезопасности, представителей советов директоров, отвечающих за цифровые трансформации и инвестирование в защиту информационных систем.

Для ИТ-директоров, руководителей команд кибербезопасности, SOC-аналитиков, специалистов по реагированию на инциденты отчет Group-IB является практическим руководством стратегического и тактического планирования, предлагая аналитические инструменты, которые помогают корректировать и настраивать системы безопасности корпоративных и государственных сетей.

Прогнозы и рекомендации Hi-Tech Crime Trends 2020-2021 направлены на сокращение финансовых потерь и простоев инфраструктуры, а также на принятие превентивных мер по противодействию целевым атакам, шпионажу и кибертеррористическим операциям.

Group-IB: свыше 1 млрд долларов — суммарный ущерб от «шифровальщиков»

Конец 2019 и весь 2020 год захлестнула новая волна программ-шифровальщиков. Большинство вымогателей сфокусировались на атаках компаний коммерческого и государственного секторов. Жертвой таких атак может стать любая компания, независимо от масштабов и отрасли, главный критерий для атакующих — финансовая выгода. При этом при отсутствии необходимого технического инструментария и возможностей восстановления данных, атака шифровальщика может привести не только к простою, но и к полной остановке деятельности организации. Всего за последний год публично известно о более чем 500 публичных атаках шифровальщиков на компании в более чем 45 странах мира. Нижняя граница суммарного ущерба от действий программ-вымогателей, по оценкам Group-IB, составляет более одного миллиарда долларов ($1 005 186 000). Однако реальный ущерб многократно выше: зачастую пострадавшие компании предпочитают замалчивать инцидент, заплатив вымогателям, либо атака не сопровождается публикацией данных из сети жертвы.

Наиболее популярными целями вымогателей были компании из США: на них пришлось около 60% всех известных атак. Доля атак в странах Европы составила около 20%. Порядка 10% пришлось на страны Северной и Южной Америки (за исключением США) и Азии (7%).  В топ-5 наиболее атакуемых отраслей входят производство (94 жертвы), ритейл (51 жертвы), государственные учреждения (39 жертвы), здравоохранение (38 жертв), строительство (30 жертв).

Наиболее опасными шифровальщиками с конца 2019 года являются Maze и REvil — на них приходится более 50% успешных атак. Во втором эшелоне идут Ryuk, NetWalker, DoppelPaymer. 

Стимул для расцвета эры шифровальщиков дали приватные и публичные партнерские программы, что привело к опасному симбиозу вымогателей со злоумышленниками, которые специализируются на компрометации корпоративных сетей. Операторы шифровальщиков выкупают доступ и атакуют жертву. После того как та выплачивает выкуп, процент от этой суммы получает партнер. Исследователи выделяют такие векторы взлома сетей, как вредоносные рассылки, подбор паролей к интерфейсам удаленного доступа (RDP, SSH, VPN), вредоносные программы (например, загрузчики), а также использование новых типов бот-сетей (брутфорс ботнет), назначение которых — распределенный подбор паролей с большого количества зараженных устройств, в том числе серверов. 

С конца 2019 года вымогатели взяли на вооружение новую технику: перед шифрованием они копируют всю информацию компании-жертвы на свои серверы с целью дальнейшего шантажа. Если жертва не заплатит выкуп, она не только потеряет данные, но и увидит их в открытом доступе. В июне 2020 года REvil начали проводить аукционы, где в качестве лотов выступали украденные данные.

В отчете Hi-Tech Crime Trends 2020-2021 приводятся рекомендации по противодействию атакам шифровальщикам, как в части технологических мер для служб информационной безопасности, так и в части повышения экспертизы команд кибербезопасности в целях борьбы с этой угрозой.

Group-IB: 7 новых проправительственных групп на карте киберпротивостояния спецслужб

Уходящий год показал, что все чаще шпионаж сменяется активными попытками уничтожения объектов инфраструктуры. Военные операции становятся более явными, а акценты смещаются со шпионажа на уничтожение инфраструктуры. Арсенал атакующих активно пополняется инструментами для атак на физически изолированные сети объектов критической инфраструктуры. Очевидной целью атакующих становится ядерная энергетика. Если в прошлом году в публичном пространстве не было зафиксировано ни одной атаки, то в этом инциденты произошли на ядерных объектах Ирана и Индии. Еще одной резонансной атакой стала попытка диверсии в Израиле, где целью стали системы водоснабжения, в которых хакеры  пытались изменить уровень содержания хлора. Успех этой атаки мог привести к серьезной нехватке воды и потерям среди гражданского населения. При этом прогосударственные группы не теряют интереса к телекоммуникационному сектору: за анализируемый период здесь проявляли активность 11 групп, связанных с спецслужбами. Задачами злоумышленников по-прежнему остаются шпионаж за телекомоператорами и попытки вывода их инфраструктуры из строя. В частности, были установлены новые рекорды мощности DDoS атак: 2,3 Тб/с и 809 млн пакетов в секунду. Значительной проблемой остается перехват или утечка BGP-маршрутов. За последний год было публично зафиксировано девять таких инцидентов.

На карте гонки киберпротивостояния спецслужб наибольшее количество групп сосредоточено в Китае – 23, в Иране — 8 групп, в Северной Корее и России — по 4 группы, в Индии – 3 группы, в Пакистане и Секторе Газа — по 2 группы. Замыкают антирейтинг Вьетнам, Турция и Южная Корея – по одной группе в каждой стране.

Согласно проанализированным данным Group-IB, самым атакуемым за отчетный период стал Азиатско-Тихоокеанский регион, к которому проявляли интерес проправительственные группы из Китая, Северной Кореи, Ирана и Пакистана: суммарно 34 кампании было проведено в данном регионе. На втором месте Европейские страны (22 кампании), которыми в основном интересовались группы из Китая, Пакистана, России и Ирана. Далее следуют Средний Восток и Африка: здесь было проведено 18 кампаний, в основном, хакерами из Ирана, Пакистана, Турции, Китая и Газы. Россия и США – наименее атакуемые державы. Согласно аналитике, приведенной в отчете, 15 кампаний было проведено в США и 9 в России. Состав атакующих при этом схож для обеих стран – в основном, это группы из Китая, Северной Кореи и Ирана. В России зафиксирована одна атака Казахстанских спецслужб, США атаковали также хакеры из Сектора Газа и Пакистана.

Также аналитиками было обнаружено семь ранее неизвестных APT-групп, среди них: Tortoiseshell (Иран), Poison Carp (Китай), Higaisa (Южная Корея), AVIVORE (Китай), Nuo Chong Lions (Саудовская Аравия), а также Chimera и WildPressure, принадлежность которых к какой-либо стране остается не установленной. Кроме того, выявлена новая активность шести групп, которые оставались незамеченными последние несколько лет. Это лишний раз показывает, что не стоит недооценивать APT-группы и их изощренность.

Group-IB: продажи доступов в скомпрометированные сети компаний выросли в 4 раза

Объем продаваемых на даркнет-форумах доступов к корпоративным сетям компаний увеличивается ежегодно, однако пик пришелся на 2020 год. Оценить общий объем рынка продажи доступов в андеграунде достаточно сложно: злоумышленники часто не публикуют цены, а сделки происходят «в привате». Однако технологии Group-IB по исследованию таких площадок, в том числе с учетом удаленной и скрытой злоумышленниками информации, позволили оценить общий размер рынка в текущем периоде (H2 2019 — H1 2020) в $6 189 388, что в четыре раза больше прошлого периода (H2 2018 — H1 2019), когда он составлял $1 609 930.

Новой тенденцией стало участие в этом «бизнесе» прогосударственных групп, стремящихся найти дополнительное финансирование: они также начинают продавать доступы в корпоративные сети. Так, летом 2020 года были опубликованы лоты о продаже доступов к большому количеству сетей, включая государственные ведомства США, оборонных подрядчиков (Airbus, Boeing, Raytheon и др.), ИТ-гигантов и медиакомпаний. Суммарно за лоты автор поста просил около $5 млн.

Только за первое полугодие 2020 хакерами было выставлено на продажу 277 лотов по продаже доступов к взломанным корпоративным сетям компаний. Количество продавцов также выросло до 63, из них 52 начали свою активность в этом году. Для сравнения в 2018 году активными были только 37 продавцов доступов. В 2019 году всего 50 продавцов выставили на продажу доступы к 130 компаниям. Суммарно рост продаж доступов в скомпрометированные сети компаний составил 162% относительно прошлогоднего периода (138 предложений против 362-х в текущем). Анализируя сегмент продажи доступов, аналитики Group-IB прослеживают географическую и отраслевую корреляции с атаками шифровальщиков: наибольшее количество лотов было выставлено по американским компаниям (27%), а наиболее атакуемой отраслью в 2019-м оставалось производство (10,5%), а 2020-й принес спрос на доступы в государственные организации (10,5%), образовательные учреждения (10,5%) и ИТ-компании (9%). Стоит отметить, что продавцы такого «товара» на хакерских форумах все реже указывают такие атрибуты как название компании, локацию или отрасль, благодаря чему установить жертву и ее расположение часто невозможно без взаимодействия с атакующими. Продажа доступа в компанию, как правило, является лишь этапом в реализации атаки: полученные привилегии могут быть использованы как для запуска программы-шифровальщика с последующим вымогательством, так и для кражи данных с целью продажи на даркнет-форумах или шпионажа.

Group-IB: объем рынка продаж краденых данных банковских карт приблизился к $2 млрд

Объем рынка кардинга за исследуемый период вырос на 116% —с $880 млн до $1,9 млрд — по сравнению с прошлым годом. Высокие темпы роста характерны как для текcтовых данных (номер, дата истечения, имя держателя, адрес, CVV) и дампов (содержимое магнитных полос карт). Количество предлагаемых к продаже текстовых данных выросло на 133% — с 12,5 до 28,3 млн карт, а дампов на 55% —с 41 млн до 63,7 млн.  Средняя цена за текстовые данные банковской карты — $12, дампы — $17. Максимальная цена за текст – 150$, за дамп – 500$.

Основным способом компрометации данных магнитной полосы является заражение компьютеров с подключенными POS-терминалами специальными троянами, собирающими данные из оперативной памяти. За отчетный период была выявлена активность 14 троянов, используемых для этих целей. Основной целью мошенников являются банковские карты, выпущенные банками США: на их долю приходится более 92% всех взломанных карт, затем с большим отрывом идут Индия и Южная Корея.  За исследуемый период объем рынка дампов вырос с $700 млн на 119% и достиг $1, 5 млрд.

Текстовые данные воруют с помощью фишинговых сайтов, банковских троянов под ПК, Android, а также в результате взломов сайтов электронной коммерции и использования JavaScript-снифферов. Каждое семейство JS-снифферов – это совокупность семплов с незначительными отличиями в коде, которые внедряются злоумышленниками на сайт для перехвата вводимых пользователем данных — номеров банковских карт, имен, адресов, логинов, паролей и др. За прошедший год именно использование JS-снифферов для кражи банковских карт стало одним из основных способов получения больших объемов платежной информации. На их рост также повлиял тренд на перепродажу доступов к различным сайтам и организациям в даркнете. Всего на данный момент специалистами Group-IB отслеживается 96 семейств JS-снифферов, что в 2,5 раза больше, чем в прошлом году, когда было было известно только о 38 семействах. В целом, по данным Group-IB, за прошедший год было обнаружено почти 460 тыс. банковских карт, скомпрометированных при помощи JS-снифферов. В целом за исследуемый период объем рынка текстовых данных банковских карт вырос с $179 млн на 101% и достиг $361.

Угроза кражи данных банковских карт наиболее актуальна для классического ритейла, имеющего онлайн-канал продаж, для eCommerce-компаний, продающих продукты и услуги через Интернет, а также для банков, которые оказываются вовлечены в инцидент, как с точки зрения нивелирования последствий для своих клиентов, так и в части потенциальных мер со стороны регуляторов.

Основные схемы получения банковских карт и атакуемые страны (США, Индия, Южная Корея и др.) останутся без изменений. Новым регионом с растущей активностью кардеров может стать Латинская Америка, где уже достаточно сильны сообщество хакеров и опыт использования троянов для этих целей.

Рост фишинга составил 118%

В анализируемый период было выявлено и заблокировано на 118% больше фишинг-ресурсов, чем ранее. Аналитики объясняют этот рост несколькими причинами, главная из которых — пандемия: веб-фишинг как одна из наиболее простых схем заработка привлекла внимание большей аудитории, лишившейся доходов. Увеличение спроса на покупки через интернет сыграло на руку фишерам: они быстро подстроились под новую реальность и начали проводить фишинговые атаки на сервисы и отдельные бренды, которые ранее не имели для них особого экономического эффекта.

Заметна и смена тактики. В предыдущие годы злоумышленники прекращали свои кампании после блокировки мошеннических веб-ресурсов и переключались на другие бренды. Сегодня они автоматизируют атаку, выводя новые фишинговые единицы на смену заблокированным.

С начала года наблюдается рост продвинутой социальной инженерии, где в фишинговой атаке применяются многоходовые сценарии. В таких набирающих популярность фишинговых схемах жертву предварительно прорабатывают — устанавливают с ней контакт (например, посредством мессенджера), создают вокруг нее атмосферу легитимности действий и только после этого направляют на фишинговую страницу. Трендом этого года стало использование одноразовых ссылок. Пользователь получает уникальную ссылку, которая становится неактивной после первого открытия. Если он перешел по ссылке хотя бы раз, то получить этот же контент повторно для сбора доказательной базы не получится. А без нее процесс блокировки фишингового ресурса значительно усложняется.

Наибольшее количество фишинга было создано под онлайн-сервисы (39,6%). Сюда входит фишинг для сбора учетных записей Microsoft, Netflix, Amazon, eBay, Valve Steam и т.п. Далее следуют почтовые сервисы (15,6%), финансовые учреждения (15%), облачные хранилища (14,5%), платежные сервисы (6,6%) и «новичок» списка – букмекерские конторы (2,2%). Практически исчезли фишинг-ресурсы, нацеленные на криптовалютные проекты в силу угасания интереса к ICO-проектам, которые на протяжении 2017–2018 годов были популярны у фишеров.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru