Растут кибератаки на государственные учреждения – отчет

Пандемия вызвала новую волну цифровой трансформации во всем мире. И государственные учреждения не остались в стороне от этого процесса. Благодаря расширению цифровой инфраструктуры, в частности созданию новых приложений и сервисов, удаленных рабочих мест и перехода в облачную среду, количество потенциальных векторов атак увеличилось.

Влияние пандемии на кибербезопасность

Киберпреступники не могли не воспользоваться ситуацией с пандемией и увеличением количества сотрудников, которые получают доступ к корпоративным данным, а также к ИТ-инфраструктуры из дома. В частности, количество попыток RDP-атак, нацеленных на удаленных сотрудников, 2020 года увеличилась на 768% . Кроме этого, киберпреступники активно использовали интерес к теме COVID-19 , распространяя вредоносные приложения для отслеживания контактов больных коронавирусом или рассылая письма якобы от имени государственных учреждений с фальшивыми новостями о пандемии.

Например, группа киберпреступников XDSpy для инфицирования своих целей распространяла фишинговые письма с темой COVID-19 . За прошедшие годы группа скомпрометировала много государственных структур, в том числе военных организаций, министерств иностранных дел и частных компаний в Восточной Европе и на Балканах.

Кроме этого, все более распространенными становятся кибератаки, целью которых является препятствование предоставления услуг, похищения данных или компрометация стратегической национальной инфраструктуры. Среди наиболее известных инцидентов за последнее время – взлом SolarWinds Orion , несанкционированное использование Microsoft Exchange , атаки на инструмент мониторинга ИТ-инфраструктуры Centreon и на системы здравоохранения во Франции и Германии, а также увеличение количества атак на школы, университеты и образовательные ИТ платформы.

кибератаки смартфон

Ожидается, что киберпреступники продолжат совершенствовать свои тактики, используя тему COVID-19 и нацеливаясь на распространенные программы.

Изящные инструменты кибершпионажа

Основными целями шпионских операций есть большие организации и государственные учреждения, такие как министерства иностранных дел, посольства и другие дипломатические представительства. Для похищения конфиденциальной информации в таких целей злоумышленники используют различные изощренные способы атак. Их общей особенностью является скрытая активность , которая позволяет оставаться незамеченными в сети жертвы как можно дольше.

Примером такой вредоносной программы является новый бэкдор Crutch для кражи документов , который принадлежит известной группе киберпреступников Turla . Исследователи ESET обнаружили Crutch в сети министерства иностранных дел одной из стран Европейского Союза. Кроме этого, APT-группа Turla использует и другие изящные инструменты. Среди них – бесфайловые угрозы, например, загрузчик PowerShell с открытым исходным кодом для предотвращения обнаружения, а также вредоносная программа LightNeuron , нацелена на серверы Microsoft Exchange.

Еще одной опасной группой киберпреступников является Gamaredon , которая известна своими атаками на государственные учреждения в Украине. Эта группа добавляет вредные макросы в документы Microsoft Word и Excel, таким образом распространяя угрозы. Используя легитимные инструменты, которые применяются в государственных и бизнес-структурах, Gamaredon быстро находит доступные конфиденциальные данные и далее распространяется в сети.

Программы-вымогатели – опасность для организаций

Одной из самых опасных угроз для государственных учреждений является попадание в их сеть программ-вымогателей , которые шифруют важные данные и требуют большие суммы за их разблокировку.

В частности, в октябре 2020 специалисты ESET в сотрудничестве с Microsoft и несколькими правоохранительными учреждениями, разоблачили ботнет Trickbot , с помощью которого злоумышленники не только похищали деньги с банковских счетов, но и инфицировали организации, разворачивая программу-вымогатель Ryuk и требуя выкуп.

Интересно, что, по данным телеметрии ESET, со снижением активности Trickbot количество выявленных образцов ботнета Emotet увеличивалось. Связь между этими двумя угрозами позволил обезвредить в январе 2021 и Emotet в ходе масштабной операции Европола и ряда правоохранительных органов в Европе и Северной Америке.

Стоит отметить, что такие группы киберпреступников часто могут неделями или месяцами собирать информацию в инфицированных системах и только после этого разворачивать программы-вымогатели. Некоторые киберпреступники таким образом пытаются получить прибыль, другие ставят своей целью подорвать доверие к государственным учреждениям в определенной стране.

Количество атак на цепь поставки стремительно растет

Вмешательство в цепь поставки не является новой техникой. Однако цифровизация и выгоды от сотрудничества со сторонними поставщиками в свою очередь увеличили риск таких атак. В частности, недавно в центре внимания оказалась компрометация программного обеспечения SolarWinds Orion. Под угрозой оказались тысячи пользователей этой платформы, а злоумышленники и АРТ-группы получили возможности для широкомасштабной активности.

Кроме этого, исследователи ESET за последние несколько месяцев обнаружили несколько других атак на цепь поставки – от использования взломанных дополнительных инструментов безопасности для распространения вредоносного кода к атакам на корпоративное программное обеспечение для чатов, от компрометации центра сертификации в инфицирования эмулятора Android .

Учитывая сложность выявления таких атак и их доходность для киберпреступников, их количество, вероятно, продолжит увеличиваться в ближайшее время во всем мире. Как минимизировать риск стать жертвой атак на цепь поставки, читайте по ссылке .

Работа из дома как новая реальность

Переход на удаленный режим работы привел к росту рисков для всех работодателей, а следовательно, и государственных учреждений. При этом, в ближайшее время ситуация существенно не изменится, поскольку новый формат работы станет частью модели функционирования организаций даже после пандемии. Однако с точки зрения безопасности домашней сети чаще становится целью кибератак .

По предварительным подсчетам , 23% инцидентов кибербезопасности произошли из-за ошибок персонала . Злоумышленники часто пользуются интуитивным желанием пользователей быстро перейти по ссылке, выглядит как безопасное. Однако некоторые из крупнейших нарушений были вызваны действиями опытных ИТ-специалистов, в частности из-за подключения персональных устройств сотрудников к корпоративным системам , неправильная настройка облачных систем и другие ошибки.

Кроме этого, по данным отчета об Интернет-угрозы 2020 года, на 47% возросло количество сообщений об инцидентах, вызванных инсайдерами . Причиной многих таких инцидентов становятся не только человеческие ошибки, но и действия недовольных сотрудников . В частности персонал может совершить кражу данных, нанести физическую вреда и удалить учетные записи с целью мести, личной прибыли или в интересах нового работодателя.

Защита от новейших векторов атак: с чего начать

Из-за сложности атак трудно предсказать, какие уязвимости злоумышленники используют следующий раз, с помощью каких инструментов и какими будут их цели. Однако учреждения уже сейчас могут подготовиться к современным векторов атак с помощью многоуровневой системы безопасности.

В частности защитить от «0-дневных» угроз поможет облачная песочница , а полный обзор активности рабочих станций и своевременное реагирование на инциденты обеспечит EDR-решения . От утечек данных защитит решение для предотвращения потери данных , которое поможет выявлять подозрительные действия с конфиденциальной информацией. Кроме этого, важно также обеспечить регулярное обновление программного обеспечения , резервное копирование и защиту рабочих станций .

По итогам прошлого года одной из положительных тенденций в кибербезопасности, как и в борьбе с коронавируса, появление крепкого партнерства между государственными органами и частным сектором для решения актуальных проблем.

Читайте больше новостей об ESET

Читайте обзоры:

-->