Привет! В эфир снова врывается департамент аналитики Positive Technologies. Расскажем, какие отрасли чаще всего атаковали злоумышленники в 2023 году. Государственные учреждения, как и прошлом году, заняли первое место, причем атаки с разрушительными последствиями стали трендом. Вредоносное ПО в этой сфере проникало в организации преимущественно через электронную почту. Мы также затронем неприятности, произошедшие с фондом «Сколково», курортом «Роза Хутор» и другими компаниями.

???? На государственные организации было направлено 15% от всех реализованных успешных атак на различные отрасли за первые три квартала 2023 года.

Вредоносное ПО использовалось в каждой второй атаке, наиболее популярными инструментами были шифровальщики (51%) и шпионское ПО (27%). В основном злоумышленники распростораняли вредоносы через электронную почту (66%) и при компрометации компьютеров, серверов и сетевого оборудования (26%). Социальная инженерия как метод атаки применялась в 42% случаев, а в 24% инцидентов эксплуатировались уязвимости на внешнем сетевом периметре.

Основным последствием атак на государственный сектор в 2023 году стало нарушение основной деятельности, что было менее характерно для 2022-го. Так, городской совет муниципалитета Дуранго (Испания) был полностью парализован на несколько недель. В США атаки вымогателей на администрации городов Окленд и Модесто (США) вызвали масштабные сбои в работе систем государственных учреждений. В результате инцидентов службы были отключены от интернета и телефонии, а полиция была вынуждена работать по старинке, используя во время патрулирования портативные радиостанции, ручку и бумагу. В России кибератака на Единую информационную систему таможенных органов России на некоторое время привела к частичному переходу сотрудников ФТС на бумажный документооборот, а также к скоплению вагонов на некоторых железнодорожных станциях в результате затруднений при выполнении таможенных операций.

По нашим прогнозам, в 2024 году атаки на госсектор будут иметь более разрушительные последствия, которые могут сказаться на критически важных государственных услугах. Государственные организации России столкнутся с увеличением количества высококвалифицированных целевых атак со стороны APT-группировок. Хактивизм продолжит набирать обороты, и основными мотивами злоумышленников останутся вымогательство и нарушение основной деятельности организаций этой отрасли.

В сфере здравоохранения тоже вспомнили о бумажных носителях

Медицинские организации вышли на второе место в приоритетах киберпреступников — 11% от всех успешных атак, что на 2 процентных пункта выше, чем в прошлом году. В 2023 году 96% атак были целевыми, и год в целом ознаменовался для медицины повышением активности вымогателей. Так, больницы Айдахо-Фолс и Маунтин-Вью (США), а также их клиники-партнеры подверглись атаке шифровальщика, из-за которой некоторые учреждения были закрыты. Клиенты российской медицинской лаборатории «Хеликс» несколько дней не могли получить результаты своих анализов из-за серьезной кибератаки, которая вывела из строя системы компании. Согласно заявлению лаборатории, хакеры пытались заразить системы компании вирусом-вымогателем.

Отключение критически важных систем и отсутствие доступа к медицинским файлам стали результатом киберинцидента с вымогательским ПО в госпитале Ross Memorial (Канада). В учреждении был объявлен серый код, что означает невозможность проведения операций и процедур. Американскую медицинскую компанию Prospect Medical Holdings в августе атаковали вымогатели из группировки Rhysida. Больницам пришлось отключать IT-сети для предотвращения распространения атаки, возвращаться к бумажным картам и останавливать предоставление ряда услуг (например, прием анализов).

В «Сколково» взломали файлообменник

В организациях из сферы науки и образования наблюдался рост количества инцидентов по сравнению с показателями 2022 года, что привело к перемещению позиции отрасли в рейтинге успешных атак — с пятого места на третье (10% от общего количества успешных атак по данным за первые три квартала 2023). В свободный доступ был выложен дамп базы PostgreSQL с данными пользователей государственной образовательной платформы «Российская электронная школа». В таблице пользователей более 9 млн записей, включающие Ф. И. О., адреса электронной почты, номера телефонов, хешированные (с солью) пароли, пол, даты рождения, типы пользователя, идентификаторы соцсетей, названия учебных заведений, идентификаторы в ЕСИА и на Госуслугах, даты регистрации и последнего входа.

Кроме того, инфраструктура фонда «Сколково» подверглась хакерской атаке, в результате чего ряд его сервисов стал недоступен, а часть данных была скомпрометирована. Представители уточнили, что взлому, в частности, подвергся файлообменник, расположенный на физических мощностях фонда. Хакеры, представившиеся «украинским киберфронтом», также выложили в сеть скриншоты внутренних информационных ресурсов и отдельные документы.

Атаки на «Золотую корону» и внимание к уязвимостям

За первые девять месяцев 2023 года доля атак на финансовые учреждения составила 9% от общего количества успешных атак на организации. Стоит также отметить, что в третьем квартале этого года мы зафиксировали вдвое больше уникальных киберинцидентов, чем за аналогичный период годом ранее. Это говорит о пристальном внимании преступников к отрасли.

Нельзя не отметить, что в 2023 году российские организации продолжали подвергаться мощным DDoS-атакам, которые были направлены на временное нарушение работы цифровых сервисов. Хакеры провели DDoS-атаку на систему денежных переводов «Золотая корона», которая стала особенно востребованной на фоне осложнения отправки средств из России за рубеж и обратно. Эксперты по кибербезопасности отмечают, что атака на ресурсы компании координировалась на теневых форумах, при этом простои грозят платежной системе прямыми и невосполнимыми финансовыми потерями.

Наблюдается значительное увеличение числа инцидентов, в которых использовались уязвимости ПО. В частности, значимый вклад в эту категорию внесли атаки с эксплуатацией уязвимости приложения для безопасной передачи данных MOVEit Transfer (CVE-2023-34362). Группировка Cl0p активно эксплуатировала ее еще в начале года, а патч для закрытия бреши был выпущен только в мае. Большое количество инцидентов пришлось на второй и третий кварталы, когда эксплойт взяли в оборот и другие преступники.

Шпионаж и остановки производств в промышленности

Утечка информации в промышленной сфере произошла в ходе 69% атак на организации из этой отрасли. Группировка «ИТ-армия Украины» утверждает, что в конце января получила доступ к архиву файлов размером 1,5 Гбайт, принадлежащему энергетическому гиганту «Газпром». В архиве находится более 6000 дел по финансово-хозяйственной деятельности, а именно отчеты по испытаниям и бурению, внедрению и наладке автоматизированных систем на Ковыктинской скважине (Иркутская область).

Не покладая рук трудились вымогатели. Так, вымогатели LockBit взяли на себя ответственность за компрометацию систем Maximum Industries, технологического подрядчика SpaceX. Преступникам удалось похитить около 3000 чертежей деталей. Злоумышленники пообещали устроить аукцион для желающих приобрести технологические наработки конкурента в случае неуплаты выкупа. Кроме того, LockBit потребовали от компании TSMC, самой дорогой компании в Азии и одного из крупнейших в мире производителей полупроводников, выкуп в размере 70 млн долларов за непубликацию украденных данных. Утечка данных произошла с неправильно настроенного сервера поставщика IT-оборудования Kinmax Technologies.

Кроме того, Lorenzi, итальянский производитель деталей и элементов для обувной промышленности, был парализован атакой шифровальщика. Британская компания Morgan Advanced Materials, производящая керамические и углеродные детали, используемые в производстве полупроводников, стала жертвой аналогичной атаки.

В 2023 году с кибератаками столкнулись компании и организации из всех отраслей, в том числе транспорта, торговли, сферы услуг, телекома. Например, в открытом доступе оказался архив «Розы Хутор», в котором содержится более 522 000 строк с Ф. И. О., адресами электронной почты, номерами телефонов, зашифрованными паролями и датами последнего входа. Оператор T-Mobile раскрыл утечку данных, после того как злоумышленник украл личную информацию из 37 млн текущих учетных записей клиентов через один из ее API-интерфейсов.

???? Другие резонансные инциденты, а также тенденции, прогнозы и рекомендации для этих отраслей ищите здесь.

О том, как изменился рынок ИБ в России за год, какие технологии его стали драйвить, а главное чего нам ждать от этого в наступающем году, читайте в наших следующих статьях. Stay safe!