Новый отчет Microsoft Digital Defense: число кибератак на критически важную инфраструктуру за последний год удвоилось

Microsoft опубликовала свой третий ежегодный отчет Microsoft Digital Defense в блоге «Microsoft о проблемах». Отчет охватывает период с июля 2021 г. по июнь 2022 г. и освещает новые тенденции в области киберпреступности, развивающиеся угрозы национальной безопасности, операции кибервлияния и многое другое. Документ предоставляет информацию, предназначенную для обсуждения среди широкого круга заинтересованных сторон в области кибербезопасности, как на правительственном уровне, так и в частном секторе.

Субъекты национальных государств во всем мире запускают все более изощренные кибератаки, чтобы избежать обнаружения и продвигать свои стратегические приоритеты. За последний год кибератаки, обнаруженные Microsoft и направленные на критическую инфраструктуру, выросли с 20% всех атак на государства до 40%. На сегодняшний день Microsoft удалила более 10 000 доменов, используемых киберпреступниками, и 600, используемых государственными субъектами.

Мир кибербезопасности вступил в новую эпоху – в эпоху гибридных войн, когда стратегии влияния в киберпространстве реализуются параллельно с физической военной агрессией. Пример такого подхода – Украина, где энергосистемы, телекоммуникационные системы, средства массовой информации и другая важная инфраструктура стали объектами как физических, так и кибератак. Попытки компрометации сети, которые обычно наблюдаются в рамках кампаний по шпионажу и краже информации, в гибридной войне сосредоточились на деструктивных атаках вредоносного ПО на критические системы инфраструктуры. Безопасность цифровых операций и данных как в физическом, так и в киберпространстве можно лучше всего защитить путем их переноса в облако. Так, первоначальные атаки в Украине были нацелены на локальные службы и проводились с помощью вредоносного ПО Wiper, а также на физические центры обработки данных – с помощью одной из первых запущенных ракет. За неделю до вторжения украинское правительство полностью работало на серверах, расположенных в правительственных зданиях — местах, уязвимых для ракетных атак и артиллерийских обстрелов. Министр цифровой трансформации Украины и его коллеги в парламенте признали необходимость устранения этой уязвимости. Всего за несколько дней до вторжения Верховная Рада Украины приняла меры по внесению поправок в закон о защите данных, чтобы иметь возможность переместить правительственные данные с существующих локальных серверов в облако. Это позволило «эвакуировать» важную информацию за пределы страны в центры обработки данных по всей Европе. Microsoft отслеживала и поддерживала скорость, необходимую для этого перехода. Одна из причин, по которой кинетические и кибератаки имели лишь ограниченное влияние, заключается в том, что цифровые операции и данные были переведены в общедоступное облако.

Киберпреступники продолжают действовать как изощренные коммерческие предприятия

Киберпреступность продолжает расти, а процесс ее индустриализации снижает порог квалификации для входа, предоставляя более широкий доступ к необходимым для мошеннических операций инструментам и инфраструктуре. Только за последний год количество спланированных атак на пароли в секунду увеличилось на 74% — примерно до 921 атаки в секунду. Многие из них подпитывали атаки программ-вымогателей, что привело к увеличению требований о выкупе более чем в два раза. В 93% случаев ответных действий Microsoft на инциденты с программами-вымогателями, компания выявила, что изначальный контроль над доступом к привилегиям и горизонтальным перемещениям был недостаточным.

Рост числа кибератак подтверждается данными Microsoft. Компания сообщила, что:

  • С июля 2021 г. по июнь 2022 г. заблокировано 37 млрд почтовых угроз.
  • Заблокировано 34,7 млрд угроз кражи личности.
  • Ежедневно анализируется 2,5 млрд сигналов конечных точек.

Для предотвращения этих угроз:

  • Ежедневно синтезируется 43 трлн сигналов с использованием сложной аналитики данных и алгоритмов искусственного интеллекта для понимания механизмов и защиты от цифровых угроз и криминальной киберактивности.
  • Более 8 500 инженеров, исследователей, специалистов по данным, экспертов по кибербезопасности, охотников за угрозами, геополитических аналитиков, исследователей и оперативных служб реагирования работают в 77 странах.
  • Более 15 000 партнеров в экосистеме безопасности Microsoft повышают киберустойчивость клиентов.

Меняющийся ландшафт фишинговых угроз

Схемы фишинга учетных данных постоянно усложняются и остаются серьезной угрозой для пользователей во всем мире, поскольку они нацелены на все почтовые ящики без разбора. Среди угроз, которые отслеживаются и блокируются специалистами Microsoft, объем фишинговых атак сегодня на несколько порядков превышает объем всех других угроз.

1 час 12 минут — это среднее время, которое требуется злоумышленнику для доступа к вашим личным данным, если вы стали жертвой фишингового письма.
1 час 42 минуты — среднее время, за которое злоумышленник начинает перемещаться по вашей корпоративной сети после взлома устройства.

Фишинговые атаки корпоративной электронной почты, направленные против компаний, с целью получения финансовой выгоды называются атаками BEC.

BEC, или компрометация деловой электронной почты, является самым дорогим финансовым киберпреступлением, убытки от которого в 2021 году оцениваются примерно в 2,4 млрд долларов США. Это составляет более 59% от пяти самых крупных финансовых потерь в мире, причиной которых стали интернет-преступления. Чтобы понять масштаб проблемы и определить пути для наилучшей защиты пользователей от BEC, исследователи по безопасности Microsoft выявили наиболее распространенные темы, которые используются при атаках.

Самые частые темы BEC:

  • Подарочные карты - 1,9%
  • Деловая информация - 4,3%
  • Запросы на перенаправление данных для начисления заработной платы - 4,6%
  • Мошенничество со счетами - 9,3%
  • Приманка БЭК (мошенники выдают себя за коллегу или знакомого) - 79,9%.

BEC и фишинг — самые распространенные тактики социальной инженерии. В ответ на контрмеры злоумышленники адаптируют свои методы атак и усложняют способы размещения своей операционной инфраструктуры.

Это означает, что организации должны регулярно пересматривать свою стратегию внедрения решений безопасности для блокировки вредоносных сообщений электронной почты и усиления контроля доступа для отдельных учетных записей пользователей.

Иностранные субъекты используют высокоэффективные методы, часто работающие по схемам, аналогичным кибератакам, чтобы подрывать доверие и влиять на общественное мнение за счет пропагандистского влияния как внутри страны, так и за ее пределами.

В частности, операции влияния используют трехэтапный подход:

  1. В открытом доступе заранее размещаются ложные утверждения/нарраивы, подобно тому, как злоумышленники заранее размещают вредоносное ПО в компьютерной сети организации, на которую нацелена атака.
  2. В момент, наиболее выгодный для достижения целей, начинается скоординированная кампания по распространению этих нарративов через поддерживаемые государством и находящиеся под его влиянием средства массовой информации и социальные сети.
  3. Контролируемые государством СМИ и доверенные лица распространяют контент среди целевых аудиторий.

Соблюдение кибергигиены остается лучшей защитой, в то время как облако обеспечивает наилучшую физическую защиту от кибератак

Самое важное, что можно сделать для того, чтобы обезопасить себя и свою компанию — это обратить внимание на основы: включить многофакторную аутентификацию, применить обновления систем безопасности, определить, кто будет иметь привилегированный доступ к системам и данным, и развернуть современные решения безопасности от любого ведущего поставщика. Такие базовые методы кибергигиены по-прежнему защищают от 98% атак. Среднее предприятие имеет 3500 подключенных устройств, которые не защищены базовыми средствами защиты конечных точек, и злоумышленники этим пользуются. Также важно своевременно обнаруживать атаки. Во многих случаях исход кибератаки определяется задолго до ее начала. Злоумышленники используют уязвимые среды, чтобы получить первоначальный доступ, вести наблюдение и сеять хаос путем горизонтального перемещения и шифрования или эксфильтрации. Наконец, согласно отчету Microsoft, нельзя игнорировать и человеческий фактор. Сегодня наблюдается нехватка специалистов по безопасности, и это проблема, которую необходимо решать как частному сектору, так и правительствам, а организациям в свою очередь важно сделать безопасность частью своей культуры.

Узнать больше об аналитических данных Microsoft можно в публикации в официальном блоге Microsoft.

Полная версия отчета о цифровой защите за 2022 год доступна по ссылке.