Дайджест FBK CS №9
12.09.22 - 23.09.22

«Алексей Новиков, сотрудник Национального координационного центра по компьютерным инцидентам (НКЦКИ), рассказал, какие векторы атак в 2022 году чаще всего и с наиболее заметными последствиями применялись в 2022 году в России. В первую очередь отмечены DDoS атаки, которые усилились вследствие начала СВО и развития хактивизма. Здесь, конечно, ключевым моментом была организация самого процесса, так как квалифицированная работа заключалась в создании максимально большой ботнет-сети, которая позволила бы легко подключать к ней новые устройства, при чем подключением в большом числе случаев занимались непосредственно обычные пользователи, частные владельцы устройств, хактивисты. Координация атак велась в телеграм-каналах, получив доступ к которым удалось заранее узнавать даты готовящихся атак, тем самым минимизировав их последствия. Наиболее эффективными инструментами защиты на уровне организаций были названы брандмауэры для веб-приложений (WAF). Также были отмечены дефейсы сайтов госорганов. СМИ и организаций - данные атаки продолжаются и сейчас. В подавляющем большинстве случаев, их основная цель - оказать социально-политическое давление, а не получить коммерческую выгоду. Были также отмечены утечки данных, вредоносное шифрование и атаки на цепочки поставок, причинами которых становились "...старые уязвимости, небрежность в обращении с учётными записями и неспособность части компаний выявить вредоносную активность в своей инфраструктуре". Из опыта первого полугодия 2022 года можно сделать вывод о необходимости усиления ИБ на уровне защиты от конкретных кибератак и киберугроз, ориентации на ключевые риски в этом направлении и необходимости в более ответственном подходе к обеспечению информационной безопасности.»

«По данным Imperva 27 июня прошла атака на сайт китайской телеком-компании, которая длилась 4 часа и в пике достигла 3,9 млн запросов в секунду (RPS), общий объем составил 25,3 млрд запросов. Создать такой поток удалось благодаря мультиплексированию HTTP/2. В атаке было задействовано более 170 IP-адресов из более 180 стран мира. Опасность подобных атак заключается в первую очередь в финансовых потерях, связанных с отказом одного из ключевых ресурсов компании. Напомним, что в 2022 году показатели мощности и длительности атак существенно выросли. По данным экспертов средняя продолжительность DDoS-атак в 2022 г. превысила сутки (29,5 часов), тогда как в феврале–марте 2021 г. этот показатель не превышал 12 минут. В 2022 году также была зафиксирована рекордная по длительности атака, которая длилась 145 часов, о чем свидетельствуют данные исследования Лаборатории Касперского.»

«MFA Fatigue или MFA Spamming – это относительно новый метод кибератак, направленный, что характерно, на изнурение пользователя бесконечными запросами системы многофакторной аутентификации. Пользователя засыпают push-уведомлениями о попытке входа в аккаунт под его учетными данными, рассылка уведомлений продолжается даже в ночное время. В результате продолжительного воздействия пользователь может потерять контроль и разрешить допустить злоумышленников в корпоративную сеть. Атакующие дополнительно связываются с жертвой атаки через почту, представляясь технической поддержкой, что создает дополнительное давление. Данный метод атак применялся многими известными группировками, в частности использовался при атаках на Microsoft, Uber и Cisco. Противодействие в этом случае должно быть следующее: со стороны пользователя необходимо проинформировать отдел ИБ о возможной компрометации учетных данных, а со стороны подразделения ИБ необходимо установить ограничение на число отправляемых запросов и реагировать на его превышение.»

«По данным РБК, рабочая группа Минцифры, ведущая разработку нового законопроекта, обсуждает установление штрафных санкций в размере 1% от оборота компании для случаев утечки персональных данных объемом более 10 тыс. записей. Подобные штрафы грозят компании даже при первом инциденте. Ранее предлагалось ввести трехступенчатую систему градации от предупреждения к фиксированному штрафу в зависимости от размера утечки и до оборотного штрафа для третьего случая утечки. Ранее, в июле, также обсуждалось введение штрафов "от" и "до" в зависимости от объемов утечки, а предел штрафных санкций устанавливать в зависимости от объема утечки, а также качества реализуемых организацией мер защиты данных, которые должны стать смягчающим фактором при вынесении решения.»

«Наши коллеги из Group-IB в своем отчете о б используемых мошеннических схемах на рынке криптовалют говорят о существенном росте числа подменных доменов, которые используются для обмана криптоинвесторов. Материалы рекламного характера публикуются от имени знаменитостей, используются в частности видео с применением технологий дипфейк. Основным источником распространения подобной информации стали YouTube и Twitch, где мошенники даже проводят крипто-стримы с применением вышеуказанной технологии. За счет накрутки видео-трансляция выводится в ТОП и привлекает живую аудиторию. Помимо этого на рынке мошеннических услуг популярностью пользуются промо-сайты и гайды для начинающих крипто-мошенников.»

«В отчете Лаборатории Касперского говорится об угрозах атак на автоматизированные системы управления (АСУ), используемые в промышленном секторе и в частности нефтегазовой отрасли. По данным отчета основными угрозами для подобных систем являются вредоносы, которые проникают на компьютеры АСУ из интернета. Доли таких угроз в первом полугодии 2022 года значительно выросли: опасных интернет-ресурсов на 44%; троянов-шпионов на 18%; вредоносных документов на 80%. На 2 п.п. повысилась доля атак программ-вымогателей, эксперты полагают, что несмотря на незначительный прирост, это является существенной угрозой, так как она напрямую ведет к финансовым потерям. Устройства инженеров как правило подключены к интернету, поэтому также велика вероятность атаки посредством фишинговых рассылок, замаскированных под рабочую переписку или корреспонденцию. Изолированные же от внешней сети устройства также подвержены угрозам атак через зараженные флешки.»