Новость хорошая: значительного всплеска киберпреступности в последнее время не произошло. Новость плохая: большая часть атак и мошенничества остается незамеченной.
Те, кто находится на темной стороне, сохраняют определенное преимущество над теми, кто защищает корпоративные и государственные ресурсы от кибернападений. Тем не менее появляются и определенные поводы для оптимизма, пусть и осторожного.
Вредоносное ПО
Основным классом вредоносного ПО оставались бот-сети, которые объединяют зараженные компьютеры в единую инфраструктуру с общим центром управления. Эти средства используются для различных целей: внедрения вредоносного ПО в корпоративные сети, рассылки спама, проведения DDoSатак. В результате на деятельность, «традиционную» для вредоносного ПО, приходится относительно немного инцидентов (рис. 1).
Стоит отметить, что с бот-сетями ведется активная борьба, причём небезуспешная. Целый ряд таких сетей, особенно из числа наиболее крупных, объединивших свыше миллиона зараженных ПК, был деактивирован в ходе операций, которые проводились с участием правоохранительных органов разных стран в предшествующие годы. Сказываются и конкурентные войны между злоумышленниками, зачастую приводящие к тому, что одна сеть содержит средства, уничтожающие сети, принадлежащие враждебным группировкам киберпреступников. В результате по итогам 2014 года самая крупная из выявленных бот-сетей насчитывала не более 770 тыс. зараженных узлов. Данная ситуация привела к определенным подвижкам на черном рынке, прежде всего в сфере услуг, связанных с рассылкой спама. Более подробно об этом будет сказано ниже.
Вместе с тем злоумышленники компенсировали потери за счет использования других видов оборудования помимо ПК. Была также преодолена монополия систем на базе Windows. Появлялись, например, сети, целиком состоящие из маршрутизаторов и xDSL-модемов, причем они объединяли десятки тысяч устройств. Фиксировалось появление сетей, пусть и меньшего масштаба, из мобильных устройств на базе Android, Mac и Linux, которые долгое время считались не подверженными заражению.
Основным трендом 2014–2015 годов остаются целевые атаки. По данным Symantec, в конце июня 2015го от них больше всего страдали небольшие предприятия с количеством работников менее пятисот и крупные компании, имеющие свыше 2500 сотрудников: на первые приходится более 53% атак, на вторые — более четверти. Среднее время от начала атаки до ее обнаружения составляет чуть больше 190 дней.
Чаще всего злоумышленники пользуются незакрытыми уязвимостями. Как показывают результаты аудитов ИБ, проведенных компанией Positive Technologies, элементы с такими уязвимостями есть в 90% корпоративных сетей. Причем ровно половину этих сетей может взломать неквалифицированный злоумышленник или бот, следы деятельности которых обнаруживались даже в процессинговых центрах банков и в биллинговых системах телекоммуникационных операторов. Большого ущерба во многих случаях удалось избежать лишь потому, что злоумышленники просто не поняли, куда попали, и не воспользовались открывшимися перед ними возможностями.
Инструменты кибернападения, как правило, используются для кражи денежных средств или информации, которую легко монетизировать, например реквизитов платежных карт и персональных данных. Средний ущерб от кибератаки в расчете на компанию, по данным исследования «2014 Cost of Cyber Crime Study», проведенного Ponemone Institute, составил 2,3 млн долл.
За таргетированными атаками могут стоять конкуренты. Их цель — всевозможные ноу-хау, информация о готовящихся проектах и новых продуктах, другие сведения, критически важные для бизнеса. Впрочем, эти данные можно похитить и другими способами, в частности с помощью нелояльных сотрудников.
Большой практический интерес к такого рода инструментам проявляют и спецслужбы. Эта категория наиболее коварна и опасна, поскольку за их действиями скорее всего стоит не прямой материальный мотив, и при этом они обладают значительными ресурсами и квалифицированными кадрами, как собственными, так и наемными.
Сюда же можно отнести и деятельность хактивистов, которые совершают свои атаки по идеологическим соображениям, не преследуя материальной выгоды, как обычные киберпреступники. Впрочем, хактивистов активно используют спецслужбы — или в качестве наемников, или, что называется, втемную. Примером такой акции, по всей видимости, является атака на кинокомпанию Sony Pictures, целью которой было предотвратить выпуск в широкий прокат комедийного фильма, где в невыгодном свете представлен глава КНДР.
В качестве примера организации подобной атаки можно назвать кибервторжение, осуществленное против «Лаборатории Касперского» (https://blog.kaspersky. ru/kasperskystatementduquattack/8125/). Как предполагается, основная цель здесь состояла в том, чтобы получить доступ к информации о новейших технологиях, разрабатываемых компанией. Скорее всего за этой атакой стояли зарубежные спецслужбы. Данный пример показателен тем, что атака в короткие сроки была выявлена и нейтрализована, однако такое удается, увы, далеко не всегда.
Все больше интереса вирусописатели проявляют к мобильным платформам, прежде всего Android. По данным той же «Лаборатории Касперского», практически каждый пятый пользователь устройств на этой платформе в прошлом году сталкивался с вредоносным ПО. Количество зловредных программ для мобильных платформ измеряется уже сотнями тысяч и продолжает быстро расти. В 2014м их число увеличилось более чем в 10 раз. Существенно менялись и сами вредоносы. Если раньше типичный зловред проявлял свою активность в том, чтобы рассылать SMSсообщения на платный номер, то теперь функциональность мобильных вирусов практически такая же, как и для настольных платформ. Счет троянцам, направленным на хищение финансовых средств, например, уже идет на многие тысячи. Мобильные вредоносы активно используются также в целях шпионажа, благо смартфоны и планшеты обладают средствами фиксации аудиовизуальной информации.
В текущем году ситуация лучше не стала. При этом вредоносные программы далеко не один раз были обнаружены в приложениях, распространявшихся через официальный магазин Google Play.
Относительно новым явлением последних месяцев стала активизация программ-вымогателей, которые зашифровывали файлы данных и требовали денег за их расшифровку. Они сменили «популярные» до того вирусы-блокировщики, требовавшие для восстановления отправки SMS-сообщений на платные номера. К программам-вымогателям нового поколения можно отнести такие решения, как CryptoLocker, CryptoWall, TorLocker, CoinVault, TeslaCrypt и CTBLocker. У некоторых из них существуют версии, ориентированные на мобильные устройства.
Заражение происходит через открытие зараженного вложения в электронное письмо или после посещения зараженной Web-странички. После этого зловред в фоновом режиме шифрует файлы данных с помощью криптостойкого алгоритма и по окончании уведомляет об этом пользователя, требуя денег за расшифровку информации. Обычно ценник злоумышленников составляет около 1500 евро, но в ряде случаев сумма выкупа может достигать сотен тысяч долларов. Некоторые вредоносы, например TorLocker, уничтожают информацию, если выкуп не выплачен в течение определенного периода. По данным корпорации Dell, выручка злоумышленников, разработавших CryptoLocker, составила около 30 млн долл. за 100 дней.
Спам и фишинг
В данной области продолжилась тенденция прошлых лет по неуклонному снижению доли непрошеной рекламы в почтовых сообщениях. По итогам 2014 года, по данным «Лаборатории Касперского», доля спама составила немногим менее 67% в общемировом объеме электронной почты. Однако в первом полугодии 2015-го, по данным Symantec, доля спама в мировом почтовом трафике опустилась ниже 50%.
Связано это, по мнению экспертов, с теми мерами, которые предпринимались в течение последних пяти лет для борьбы с большими бот-сетями. В них участвовали и почтовые операторы, и интернет-провайдеры, и правоохранительные органы. По тем же самым причинам значительно снизились объемы спама в SMS-сообщениях и рассылках с использованием систем мгновенного обмена сообщениями. Не последнюю роль сыграло и совершенствование механизмов защиты от непрошеной почты. В итоге прибыльность рассылки спама для ее организаторов все это время неуклонно уменьшалась, что вынуждало их искать другие направления деятельности. Оказался затруднен и выход на этот специфический рынок новых игроков.
Вместе с тем спамеры пытались диверсифицировать свой бизнес, чтобы компенсировать потери от почтовых рассылок использованием других каналов. Это прежде всего касается социальных сетей и новых медиа. Однако крупнейшие социальные сети пытаются бороться с таким явлением. Так, Twitter пошел по пути совершенствования технических способов противодействия, чтобы блокировать любые сообщения, нарушающие политику этой сети, в том числе рассылку рекламы. Facebook же решил прибегнуть к помощи правоохранительных органов, подав судебные иски против наиболее активных спамеров. Были попытки использовать в качестве канала для рассылки спама и мобильные приложения, которые распространялись с помощью манипулятивных технологий.
«Доля спама в почте продолжает снижаться, но это не повод терять бдительность. Мы наблюдаем тенденцию уменьшения традиционных рекламных писем на фоне роста доли опасного мошеннического и вредоносного спама. Полагаем, что в этом году станет еще больше хорошо подделанных писем и сообщений, в которых злоумышленники будут пробовать применить новые трюки», — комментирует ситуацию Татьяна Щербакова, старший спаманалитик «Лаборатории Касперского».
Положение дел с фишингом куда тревожнее. Особенно для российских пользователей, на которых, по оценке «Лаборатории Касперского», ориентирована каждая шестая фишинговая атака. С помощью таких технологий злоумышленники пытаются, и, к сожалению, чаще всего успешно, перехватывать аутентификационную информацию для различных интернет-сервисов, в том числе дистанционного банковского обслуживания, мобильного и интернет-банкинга. Особенно тревожная ситуация наблюдается с мобильными приложениями. По оценкам Центра информационной безопасности одного из российских системных интеграторов, из пятидесяти протестированных мобильных приложений российских банков только два были написаны с учетом всех требований по безопасности. Сейчас всё, конечно, меняется к лучшему, но не слишком быстро. Фишинговые данные применяются и в мошеннической схеме с вымогательством денежных средств у пользователей мобильных устройств на iOS: злоумышленники перехватывают аутентификационную информацию пользователя, активизируют противокражные функции на iPhone или iPad и требуют деньги за восстановление работоспособности устройств.
Кражи и утечки данных
Ситуация с утечками информации вызывает наименьший оптимизм. Их количество продолжает расти. Согласно данным мониторинга компании InfoWatch, в мире произошло без малого 1400 утечек конфиденциальной информации, что на 22% больше, чем годом ранее (рис. 2). Ущерб от них составил около 100 млрд долл. При этом Россия, где отмечено 167 случаев, занимает второе место в мире по числу инцидентов. Соотношение умышленных и неумышленных инцидентов было практически равным, в то время как годом ранее доля умышленных утечек была несколько выше.
Как и прежде, большая часть утечек — 92% — относится к персональным данным. На утечку коммерческих секретов и ноухау приходилось 4,2%, государственной тайны — 1,7%. Основным источником утечек являются банки, розничная торговля, медицинские учреждения и интернет-сервисы.
При этом почти 90% скомпрометированных данных приходится на мегаутечки, в ходе которых владельцы теряли 10 млн записей и более. Всего таких инцидентов было четырнадцать. В ходе еще шестнадцати инцидентов было потеряно миллион и более записей.
Важно отметить, что все мегаутечки связаны с деятельностью внешних злоумышленников. Их целью, как правило, становились реквизиты платежных карт, которые являются весьма ликвидным товаром на теневом рынке. Такие инциденты весьма широко освещались в прессе. Но при этом атаки извне инициировали лишь чуть более 25% инцидентов. Причиной успеха краж данных является использование приложений или устройств (сетевого оборудования, принтеров, МФУ, средств видеонаблюдения) с незакрытыми уязвимостями или с неизмененными заводскими паролями.
В России произошли две очень крупные утечки — кража идентификационных данных пользователей почты «Яндекс» и Mail.ru. В целом выводы аналитиков InfoWatch весьма тревожны: «Российская картина утечек стремительно приближается к американской. Многомиллионных утечек данных под воздействием внешних атак в России пока не зафиксировано. А вот мошенничество с чужими персональными данными в исполнении сотрудников банков, страховых компаний, салонов сотовой связи происходит чуть ли не ежедневно. Такие правонарушения стали нормой для нашей страны, хотя некоторое время назад казались экзотикой».
Самой дорогостоящей утечкой в России оказался инцидент в Санкт-Петербурге. Бывший сотрудник судоремонтного предприятия незаконно использовал технические документы десантного корабля «Зубр». Ущерб составил 3,5 млн руб.
Основными каналами утечек являются сеть и облачные сервисы (35,1% случаев), работа мобильных устройств (17,9%), а также вторжения, связанные с утерей или кражей оборудования (15,9%). Вместе с тем относительно малая доля утечек через мобильные устройства связана в большей степени с тем, что такие инциденты чаще остаются незамеченными. Однако доля утечек не всегда отражает размер опасности, которую таит в себе тот или иной конкретный канал. Достаточно одного случая утечки критически важной информации, чтобы компания столкнулась с многомиллионными финансовыми потерями. Так, например, по оценкам PNC Bank, ущерб от действий бывшего топ-менеджера, переманившей к конкуренту 15 крупных клиентов, составил 250 млн долл. В качестве средства для кражи информации была использована фотокамера мобильного телефона. В инвестиционном фонде Two Sigma Investments LLC важные данные были украдены через электронную почту. В России в нынешнем году зафиксировано как минимум два случая очень крупных утечек, связанных с нарушением норм утилизации бумажных документов.