По коду дела: число кибератак на критическую инфраструктуру РФ выросло на 150%

12.07.2021 |

Количество кибератак на критическую инфраструктуру в России увеличилось почти в 2,5 раза, зафиксировали аналитики по итогам первого полугодия 2021-го в сравнении с тем же периодом 2020-го. Об этом сказано в исследовании, которое провели специалисты подведомственного Роскомнадзору Научно-технического центра Главного радиочастотного центра. Речь об атаках на объекты промышленности, госорганы, исследовательские компании, пояснили в НТЦ ГРЧЦ. Вероятно, в дальнейшем количество инцидентов продолжит расти, в том числе из-за дистанционной работы, ожидают эксперты.

На вырост

Специалисты Научно-технического центра Главного радиочастотного центра (предприятие, подведомственное Роскомнадзору, которое занимается научно-исследовательскими и экспериментальными работами в сфере связи, ИТ и инфобезопасности) провели исследование кибератак на критическую инфраструктуру России и мира. По их данным, число таких инцидентов за первое полугодие 2021-го выросло почти на 150% по сравнению с 2020-м. В прошлом году показатель тоже рос, но более умеренно — на 40% относительно уровня с 2019-го.

Согласно отчету Group-IB, в этом году 40% атак на объекты российской критической инфраструктуры провели «классические» киберпреступники, а 60% — прогосударственные акторы, то есть хакеры, которые работают на другие страны и их проправительственные структуры. Их еще часто называют APT (Advanced Persistent Threat — сложные целевые угрозы).

Сейчас в мире действуют более 70 крупных АРТ-групп. И каждый год появляется еще четыре-пять новых, утверждают в Group-IB. Больше всего APT-организаций у Китая, Северной Кореи и Ирана, рассказали аналитики.

— Информация о финансируемых со стороны государства хакерах основывается на сочетании нескольких факторов. Во-первых, такие группировки атакуют именно критическую инфраструктуру государства. Это может быть промышленность, госорганы или исследовательские компании. Во-вторых, целью кибернападения АРТ становится не выкуп, а кибершпионаж или нарушение функционирования организации, — рассказал «Известиям» руководитель Научно-технического центра ГРЧЦ Александр Федотов.

Анализ особенностей кода или способа доставки вредоносного ПО помогает получить информацию о происхождении атаки, добавил он.

— Конечно, о прямых доказательствах речь не идет, но в киберпространстве уже закрепилась привязка некоторых хакерских группировок к конкретным государствам. Так, Higaisa соотносят с Южной Кореей, Lazarus — с Северной Кореей, а UNC2630 — с Китаем, — отметил Александр Федотов.

Согласно данным Positive Technologies, каждая третья атака в первом квартале 2021 года происходила с участием операторов программ-вымогателей.

— За первые пять месяцев 2021 года число атак с использованием программ-вымогателей в отношении промышленных компаний уже составило 69% от общего числа таких атак за весь 2020 год. И пока мы не видим тенденции к снижению, — подчеркнула в разговоре с «Известиями» руководитель группы аналитики информационной безопасности Positive Technologies Екатерина Килюшева.

По ее словам, для распространения вредоносного ПО злоумышленники активно используют известные уязвимости на сетевом периметре. Кроме того, доступы в сети промышленных компаний продаются на теневых форумах, чем также пользуются кибергруппировки.

— Мы предполагаем, что в ближайшем будущем активность шифровальщиков не стихнет, а суммы запрашиваемых выкупов будут только увеличиваться, — отметила Екатерина Килюшева.

Новая волна

По прогнозам специалистов Научно-технического центра ГРЧЦ, в 2021 году волна шифровальщиков существенно затронет российский бизнес и выйдет в СНГ.

— Негласное правило «не работать по РУ» перестает работать. В 2020 году таргетированным атакам уже подверглись российские НИИ, занимавшиеся разработкой вакцины, многочисленные банковские организации, промышленность. Западные партнеры напрямую заявляют о «планах мести» за атаки русских хакеров, — рассказал начальник отдела анализа и прогнозирования Научно-технического центра ГРЧЦ Роман Коросташов.

Любая крупная компания, способная заплатить выкуп, становится потенциальной жертвой. В первом квартале этого года самыми атакуемыми отраслями стали промышленность и организации в сфере науки и образования. Суммарная доля кибернападений на организации из этих сфер составила 30% всех атак с участием шифровальщиков. Еще 28% инцидентов были направлены на государственные и медицинские учреждения. Последние были лидерами в 2020 году.

— Доля атакуемых объектов критической инфраструктуры остается крайне высокой, а количество атак и суммы запрашиваемого выкупа продолжают расти, — отметил Александр Федотов. — $1 млн, выплаченный южнокорейской компанией Nayana за разблокировку компьютеров, в 2017 году казался немыслимой суммой. Однако в 2021-м это уже средняя сумма выкупа после атаки шифровальщиков. Максимальная затребованная сумма выкупа на данный момент — $70 млн в биткоинах. Именно столько запросила в июле этого года группировка REvil после заражения шифровальщиком более 1 тыс. компаний по всему миру.

По мнению специалистов НТЦ ГРЧЦ, особенность современных кибератак — в формировании спроса и предложения на вымогательство как услугу. Как отметил Роман Коросташов, для совершения атаки больше не нужно владеть глубокими специальными знаниями. Вредоносное ПО можно просто купить, и это приведет к дальнейшему увеличению количества инцидентов. Специалисты Научно-технического центра ГРЧЦ также полагают, что рост числа атак на средства удаленного доступа будет продолжаться и далее из-за эпидемиологической обстановки и дистанционной работы сотрудников многих крупных компаний.

Анна Урманцева