В преддверии Всемирного дня паролей, который отмечается 4 мая, опубликован отчёт со списком наиболее часто используемых паролей в США и 29 других странах. Независимые исследователи обработали более 3 Тбайт данных и определили 200 самых популярных комбинаций. Многие пароли остаются в списке годами, хотя «123456» утратил лидерство в этом своеобразном хит-параде, уступив слову «guest». Сообщается, что 83 % паролей из списка можно взломать менее чем за секунду.

Источник изображения: Pixabay

Компания NordPass, которая привлекла исследователей для изучения парольных данных, отмечает, что «несмотря на растущую осведомлённость о кибербезопасности, от старых привычек трудно избавиться. Люди по-прежнему используют слабые пароли для защиты своих учётных записей». Например, простые комбинации букв, цифр и символов, такие как «a1b2c3», «abc123» или «qwerty», очень популярны в США.

При создании паролей люди склонны черпать вдохновение из культурного опыта, тенденций образа жизни или недавних событий, будь то спорт или мода. Например, названия американских профессиональных спортивных команд (Detroit Red Wings, Boston Red Sox) или их вариации очень часто используются в качестве защиты для аккаунта пользователя. Хит-парад из 20 самых распространённых паролей в США выглядит следующим образом:

1. guest
2. 123456
3. password
4. 12345
5. a1b2c3
6. 123456789
7. Password1
8. 1234
9. abc123
10. 12345678
11. qwerty
12. baseball
13. football
14. unknown
15. soccer
16. jordan23
17. iloveyou
18. monkey
19. shadow
20. g_czechout

Источник изображения: Pixabay

В начале апреля мы рассказывали о том, какую серьёзную угрозу для довольно сильных паролей представляют новые инструменты взлома на основе ИИ. Даже пользователям с привычкой серьёзно относится к качеству и сложности пароля не помешает провести аудит и напомнить менее технически подкованным друзьям и членам семьи прописные истины и базовые правила компьютерной безопасности:

• Использовать двухэтапную аутентификацию 2FA/MFA (по возможности не на основе SMS);
• Проверять диспетчер паролей на наличие предупреждений о скомпрометированных или повторно используемых паролях;
• Не использовать один и тот же пароль для разных учётных записей;
• Применять сложные автоматически сгенерированные пароли;
• Регулярно обновлять пароли, особенно для конфиденциальных учётных записей;
• Воздержаться от использования общедоступного Wi-Fi, особенно для финансовых операций;
• Для ещё большей безопасности использовать физические ключи безопасности.

На фоне роста количества кибератак и утечек данных российские компании стали чаще прибегать к услугам центров мониторинга и контроля безопасности (SOC). В первом квартале этого года рост спроса составил 25 % год к году. Об этом пишет «Коммерсантъ» со ссылкой на данные аналитического отчёта компании «Информзащита», работающей в сфере информационной безопасности.

Источник изображения: methodshop / Pixabay

В сообщении сказано, что вместе с ростом спроса стоимость услуг SOC выросла на 15 %. Отмечается, что прежде подобная динамика не наблюдалась из-за «слабой готовности рынка к таким дорогим и сложным решениям». В текущем году динамика роста обусловлена в том числе спросом на расследования инцидентов со стороны пользователей, а также появлением на рынке новых крупных игроков. В настоящее время в сегменте присутствуют более 17 компаний, в том числе «РТК-Солар» («Ростелеком»), МТС, BI.Zone (экс-структура «Сбера») и «Мегафон», вышедший на рынок в прошлом году. В «Информзащите» считают, что появление новых игроков будет способствовать росту конкуренции, расширению пула и повышению качества предоставляемых услуг, что поможет расти рынку.

В МТС объём рынка SOC на конец 2022 года оценили примерно в 20 млрд рублей, а также спрогнозировали дальнейший рост этого направления. «Риски кибератак становятся для компаний всё более очевидными, а требования регуляторов — строже. В 2023 году мы ожидаем продолжения тенденции, прирост может составить 68 %», — считает руководитель направления бизнес-анализа в МТС Red Савва Ливчин. В «Мегафоне» считают, что сервисы по расследованию инцидентов преимущественно актуальны для крупных компаний и госорганизаций, которые становятся жертвами атак хакеров. По оценке BI.Zone, рост спроса на услуги по мониторингу, расследованию и реагированию на инциденты в сфере кибербезопасности составил около 20 % год к году.

Специалисты компании Group-IB, работающей в сфере информационной безопасности, с марта этого года фиксируют атаки новой группы вымогателей Shadow, нацеленные на российские организации. Злоумышленники используют вымогательское программное обеспечение и требуют за расшифровку данных от $1 до $2 млн.

Источник изображения: methodshop / Pixabay

Согласно имеющимся данным, хакеры проникают в IT-инфраструктуру жертв через уязвимые публичные сервисы. После этого они шифруют данные с помощью модифицированного вымогателя LockBit3, собранного на основе появившегося в открытом доступе исходного кода вредоноса. Если жертва отказывается платить выкуп за расшифровку данных, злоумышленники угрожают выложить конфиденциальную информацию в даркнете.

«В ходе расследования инцидента специалистами Group-IB выявлены инструменты, аналогичные использованным в атаках неизвестной группировкой на российские банки в 2018 году», — говорится в заявлении Group-IB.

Представители Shadow утверждают, что основной интерес для них представляют деньги. В сообщении отмечается, что за прошедший год существенно возросла скорость совершения атак на инфраструктуру российских компаний. По оценке специалистов, в настоящее время хакерам требуется на взлом 4-7 дней, тогда как раньше на это могли уходить месяцы. Это объясняется появлением в даркнете простых в использовании вредоносных программ. Также прогнозируется, что техники проведения атак продолжат упрощаться, а интенсивность атак возрастёт.

Объём персональных данных россиян, незаконно попавших в интернет в первом квартале 2023 года, превысил 118 млн уникальных записей, что в 2,3 раза больше по сравнению с аналогичным периодом прошлого года. С начала года базы даркнета пополнились данными сервиса «СберСпасибо», сети «Спортмастер» и др. Об этом пишет «Коммерсант» со ссылкой на отчёт сервиса мониторинга даркнета DLBI.

Источник изображения: methodshop / Pixabay

Специалисты InfoWatch подсчитали, что в первом квартале объём утечек составил более чем 350 млн записей, что в 2,4 раза больше по сравнению с показателем первого квартала прошлого года. В компании также подсчитали, что за минувший год объём утечек составил 667 млн записей, что в 2,67 раза больше показателя 2021 года. По данным Роскомнадзора, в период с января по март 2023 года было зафиксировано 39 инцидентов, связанных с утечками данных. Всё это указывает на сохранение высокой динамики роста объёма похищаемых злоумышленниками данных.

Специалисты DLBI считают, что инциденты первого квартала подтверждают нарастающую опасность IT-аутсорсинга в части кибербезопасности. «Анализ показывает, что компании, передающие обработку данных подрядчикам или доверяющие им управление инфраструктурой, часто оказываются хуже защищены», — сообщили в компании. Также отмечается, что в случае, если хакерам удаётся взломать подрядчика, то они получают доступ к данным всех его клиентов.

По данным источника, в прошлом году начал расти рынок IT-аутсорсинга. Исследование компании «Технологии доверия» показало, что в настоящее время российские предприятия передают на аутсорсинг более 10 % IT-услуг. Среди них аудит IT-инфраструктуры, разворачивание систем защиты, анализ ситуации и поддержка принятия решений при реагировании на инциденты. Рост сегмента IT-аутсорсинга обусловлен дефицитом кадров и нехваткой собственных ресурсов у российского бизнеса.

Федеральное бюро расследований США совместно со спецслужбами ряда других стран провело масштабную операцию под названием Cookie Monster (Коржик из «Улицы Сезам»). Целью правоохранителей стали домены и инфраструктура площадки Genesis Market — одного из самых популярных закрытых онлайн-рынков ботов, украденных данных, файлов cookie и «цифровых отпечатков» браузеров. В результате операции по всему миру прошли десятки обысков и были задержаны более 100 человек.

Источник изображений: Bleeping Computer

Эта операция стала серьёзным ударом по миру киберпреступности, поскольку Genesis был одним из основных игроков теневого рынка и предлагал доступ как к потребительским, так и к корпоративным данным. Хотя правоохранители ещё не опубликовали официальные пресс-релизы по итогам проведённой операции, при попытке перейти на один из принадлежащих площадке доменов можно увидеть сообщение, говорящее о том, что он взят под контроль ФБР.

Предполагается, что правоохранителям не удалось арестовать или идентифицировать администраторов Genesis, поскольку ФБР продолжает активно искать контактировавших с ними пользователей. Многие годы администраторам площадки удавалось оставаться в тени, что указывает на их осведомлённость относительно операционной безопасности. Также отмечается, что часть инфраструктуры Genesis, по всей видимости, не попала в руки спецслужб. На это указывает то, что сайт платформы в даркнете продолжал работу даже после блокировки интернет-площадки Genesis.

Тестовая версия площадки Genesis появилась в 2017 году. К 2020 году платформа стала одним из самых популярных хакерских онлайн-рынков, на котором можно было найти не только ботов или украденную информацию, но и инструменты для дальнейшей работы с этими данными. Операторы площадки зарабатывали на том, что сдавали в аренду ботов, предоставляющих доступ к украденным данным и конфиденциальной информации, включая файлы cookie и «цифровые отпечатки» браузеров.

Полная база данных Genesis насчитывала около 1,5 млн ботов, предоставляющих свыше 2 млн идентификационных данных. На момент проведения операции ФБР на продажу были выставлены 460 тыс. ботов. В общей сложности платформа предлагала около 80 млн учётных данных и «цифровых отпечатков». Genesis предоставлял доступ к широкому списку сервисов, включая Gmail, Facebook*, Netflix, WordPress, PayPal, Zoom и др. По данным ФБР, купленные на площадки данные использовались в более чем 1 млн киберпреступлений в разных странах мира.

* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

В США растёт количество мошенников, выдающих себя за других с помощью ИТ-технологий, которые упростили и удешевили имитацию голоса, помогая убеждать людей, в основном пожилых, что их близкие попали в беду и им срочно требуется финансовая помощь. По данным Федеральной торговой комиссии (FTC), в 2022 году подобные схемы стали вторым по популярности способом вымогательства в США — зарегистрировано 36 000 преступлений, 5 100 из них совершены по телефону, ущерб составил более $11 млн.

Источник изображения: Pixabay

Достижения в области искусственного интеллекта добавили новые пугающие возможности, позволяющие злоумышленникам воспроизвести голос с помощью всего лишь аудиосэмпла из нескольких предложений. Множество дешёвых онлайн-инструментов на базе искусственного интеллекта могут преобразовать аудиофайл в копию голоса, позволяя мошеннику заставить его «говорить» то, что он печатает. Преступник выдаёт себя за кого-то, заслуживающего доверия — ребёнка или друга — и убеждает жертву отправить ему деньги. А технология искусственного голоса делает эту уловку более убедительной.

Эксперты говорят, что федеральные регулирующие органы, правоохранители и суды плохо оснащены, чтобы обуздать аферистов. Как правило, практически невозможно идентифицировать преступника, а полиции сложно отследить мошенников, действующих по всему миру. У судов не хватает юридических прецедентов для привлечения компаний, создающих инструменты имитации голоса, к ответственности за их неправомерное использование.

«Это ужасно, — говорит Хани Фарид (Hany Farid), профессор цифровой криминалистики Калифорнийского университета. — Это своего рода идеальный шторм… со всеми ингредиентами, необходимыми для создания хаоса». По словам Фарида, программное обеспечение для генерации голоса с помощью ИИ анализирует и выявляет уникальные признаки голоса, включая возраст, пол и акцент. Для этого достаточно короткого образца аудиозаписи из YouTube, подкаста, рекламного ролика, TikTok, Instagram* или Facebook*. «Два года, даже год назад, нужно было много аудио, чтобы клонировать голос, — отметил Фарид. — Теперь для этого достаточно 30 секунд звучания».

Аналитик FTC Уилл Максон (Will Maxson), отметил, что отслеживание мошенников крайне затруднено, так как звонок может поступать из любой точки мира, что затрудняет даже определение страны юрисдикции. Нужно проявлять бдительность и разумную осторожность. Если любимый человек говорит вам по телефону, что ему нужны деньги, перезвоните ему сами, помните, что входящий номер тоже может быть подменён.

* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

Белый дом в четверг объявил о новой стратегии кибербезопасности в рамках последних усилий правительства США по укреплению национальной киберзащиты на фоне неуклонного роста хакерских атак и цифровых преступлений против страны. Стратегия, призванная определять будущую политику, призывает к более жёсткому регулированию существующих практик кибербезопасности в различных отраслях и улучшению сотрудничества между правительством и частным сектором.

Источник изображения: pexels.com

Чиновники США ссылаются на серию громких хакерских инцидентов, совершенных отечественными и иностранными субъектами против Соединённых Штатов на фоне конфликта между Россией и Украиной. Во время разговора с журналистами официальный представитель США, который отказался назвать своё имя, сказал, что часть новой стратегии направлена на обуздание «российских хакеров».

Чиновник обвинил Россию в том, что она «служит убежищем для киберпреступников». Также он назвал программы-вымогатели основной проблемой, которой США занимаются сегодня. Атаки программ-вымогателей, в ходе которых киберпреступные группировки захватывают контроль над системами цели и требуют выплаты выкупа, относятся к наиболее распространённым типам кибератак и в последние годы затронули широкий спектр отраслей.

«Система уголовного правосудия не сможет самостоятельно решить эту проблему — нам нужно обратить внимание на другие элементы национальной власти», — добавил он.

Стратегия призывает к созданию коалиций с иностранными партнёрами, «чтобы оказать давление на <..> злоумышленников, чтобы заставить их изменить своё поведение», — сказал другой официальный представитель США, также пожелавший остаться неизвестным. «Я думаю, что за последний год мы добились определённого успеха в поддержании этих коалиций», — добавил чиновник.

Среди прочего, стратегия призывает к улучшению стандартов исправления уязвимостей в компьютерных системах и реализации требования к облачным компаниям проверять личность иностранных клиентов.

Количество кибератак уменьшилось на 5 % в четвёртом квартале прошлого года по сравнению с предыдущим кварталом. Несмотря на это, количество зафиксированных подобных инцидентов за трёхмесячный отрезок на 15 % больше, чем в четвёртом квартале 2021 года. Об этом пишет «Коммерсантъ» со ссылкой на данные компании Positive Technologies, занимающейся разработкой решений в сфере обеспечения кибербезопасности.

Источник изображения: Pixabay

Отмечается, что у злоумышленников возрос интерес к компаниям из IT-сектора. Количество атак на IT-компании за квартал увеличилось на 18 %, причём в 62 % случаев злоумышленники задействовали вредоносное программное обеспечение, такое как программы-шифровальщики, предназначенные для кражи конфиденциальных данных и получения выкупа. В Positive Technologies пояснили, что такие атаки особенно выгодны хакерам, поскольку в случае компрометации IT-компаний злоумышленники могут совершать атаки на их клиентов — пользователей различных продуктов и сервисов.

В сообщении сказано, что хакеры предпочитают атаковать пользователей через мессенджеры и соцсети. В четвёртом квартале прошлого года на пользователей соцсетей было направлено 19 % атак, а мессенджеры и SMS-сообщения использовались в 17 % случаев атак через методы социальной инженерии. «Большинство атак в социальных сетях и мессенджерах направлено на сбор учётных данных и взлом аккаунтов, а скомпрометированные учётные записи используются для дальнейших атак на пользователей», — сказано в сообщении Positive Technologies.

В компании отметили, что четвёртый квартал был заметен несколькими громкими утечками данных. В атаках на организации хакеры в 38 % случаев ориентировались на кражу данных, а в 20 % случаев их интересовали объекты, представляющие коммерческую тайну.

Сотрудники нескольких российских компаний, в том числе из IT-сектора, получили вредоносные письма в июне 2022 года. Теперь же стало известно, что за атакой с использованием вредоносных писем стояли китайские хакеры из группировки Tonto Team, которая также известна под названиями HeartBeat, Karma Panda, CactusPete и др. Об этом пишет издание Forbes со ссылкой на данные компании Group-IB, работающей в сфере информационной безопасности.

Источник изображения: Pixabay

По данным Group-IB, используемая компанией система Managed XDR выдала оповещение о блокировке вредоносных электронных сообщений 20 июня. На тот момент было установлено получение таких писем двумя сотрудниками компаний, но в получателях также значились десятки представителей ведущих IT- и ИБ-компаний. При этом о каких именно компаниях идёт речь, сказано не было. В сообщении говорится, что целью хакеров стали сотрудники «телеком-операторов, разработчиков программного обеспечения, вендоры, один известный поисковик».

Для рассылки вредоносных писем злоумышленники использовали фальшивую почту, которую зарегистрировали в бесплатном сервисе Global Message eXchange. Специалисты Group-IB провели собственное расследование этого инцидента, в ходе которого сумели получить доказательства причастности к атаке хакеров из Tonto Team.

В компании пояснили, что хакеры использовали фишинговые письма для рассылки документов Microsoft Office, созданных с помощью компоновщика вредоносных RTF-эксплойтов Royal Road Weaponizer. Отмечается, что этот инструмент уже давно используют китайские прогосударственные хакеры. Помимо этого, специалисты обнаружили бэкдор Bisonal.DoubleT, созданный членами группировки Tonto Team.

В четверг Федеральное бюро расследований сообщило, что ему удалось тайно взломать серверы и прекратить деятельность банды кибервымогателей под названием Hive, помешав преступникам собрать более 130 миллионов долларов в виде выкупов от более чем 300 жертв.

Источник изображения: everypixel.com

На пресс-конференции генеральный прокурор США Меррик Гарланд (Merrick Garland), директор ФБР Кристофер Рэй (Christopher Wray) и заместитель генерального прокурора США Лиза Монако (Lisa Monaco) заявили, что правительственные хакеры проникли в сеть Hive и установили наблюдение за бандой, тайно похитив цифровые ключи, которые группа использовала для разблокировки организаций-жертв. «Используя законные средства, мы взломали хакеров, — заявила Монако журналистам. — Мы изменили ситуацию с Hive».

Веб-ресурс группы киберпрестуников Hive более не доступен, а прежнее содержимое их сайта заменено объявлением: «Федеральное бюро расследований конфисковало этот сайт в рамках скоординированных действий правоохранительных органов, предпринятых против Hive Ransomware». Серверы Hive также были одновременно атакованы Федеральной уголовной полицией Германии и Национальным отделом по борьбе с преступлениями в сфере высоких технологий Нидерландов.

«Интенсивное сотрудничество между странами и континентами, построенное на взаимном доверии, является ключом к эффективной борьбе с серьёзными киберпреступлениями», — заявил комиссар полиции Германии Удо Фогель (Udo Vogel) в заявлении полиции и прокуроров земли Баден-Вюртемберг, которые помогали в расследовании.

Уничтожение Hive отличается от некоторых других громких дел, связанных с программами-вымогателями, о которых Министерство юстиции США объявило в последние годы, таких как кибератака в 2021 году против Colonial Pipeline Co. Тогда Министерству юстиции удалось изъять около 2,3 миллиона долларов, полученных в виде выкупа в криптовалюте уже после того, как компания заплатила хакерам.

В этот раз изъятий не было, так как следователи вмешались до того, как преступники потребовали выкуп. Тайное расследование и проникновение на сервера преступной группы, начавшееся в июле 2022 года, до последнего момента оставалось незамеченным бандой. Но контактная информация Hive пока недоступна. Также отсутствуют данные о географическом базировании преступной группы.

Hive — одна из множества киберпреступных групп, которые вымогают деньги у международных компаний, шифруя их данные и требуя взамен крупных платежей в криптовалюте. И одна из самых активных. В предупреждении, распространённом в ноябре, ФБР сообщило, что жертвами киберпреступников Hive стали более 1500 компаний по всему миру, заплатившие около 100 миллионов долларов в виде выкупа.

Хотя в среду не было объявлено об арестах, расследование продолжается, а один из чиновников департамента посоветовал журналистам «следить за новостями». Операция ФБР помогла широкому кругу жертв, в том числе школьному округу Техаса. «Бюро предоставило школьному округу ключи дешифрования, что спасло его от выплаты выкупа в размере 5 миллионов долларов», — сказал он. А больнице Луизианы удалось сберечь 3 миллиона долларов.

Эксперт по кибербезопасности Бретт Кэллоу (Brett Callow) из канадской компании Emsisoft утверждает, что Hive несёт ответственность за как минимум 11 инцидентов с участием государственных организаций, школ и медицинских учреждений США в прошлом году. «Hive — одна из самых активных групп, если не самая активная», — говорится в его электронном письме.

Hive предоставляла третьим лицам программы-вымогатели в качестве услуги (Ransomware-As-A-Service — RaaS), получая часть средств, полученных вымогателями в виде выкупа. А поскольку об арестах не сообщалось, хакеры Hive, скорее всего, скоро «либо откроют магазин под другим брендом, либо будут завербованы в другие группы RaaS», — предположил Джим Симпсон (Jim Simpson), директор по исследованию угроз британской фирмы Searchlight Cyber. При этом он отметил, что «игра стоила свеч в любом случае, так как операция нанесла значительный ущерб деятельности Hive».

Кибератаки на правительственные информационные системы стали вполне заурядным явлением для всего мира, но недавно выяснилось, что такая активность злоумышленников может парализовать работу IT-инфраструктуры целой страны. Месяц от действий преступников страдало тихоокеанское островное государство Вануату.

Источник изображения: Sigmund/unsplash.com

С начала ноября правительственные IT-структуры Вануату в полном составе «ушли в офлайн» из-за кибератаки. Деталей пока известно немного, и в настоящий момент восстановлено только около 70 % государственных информационных служб. Проблемы с компьютерными системами были замечены в первый день после начала работы нового избранного правительства страны 6 ноября. В результате были отключены все правительственные компьютерные службы.

Представители власти не могли получить доступ к почтовым аккаунтам, граждане не могли продлить сроки действия водительских удостоверений или заплатить налоги, недоступной стала медицинская и любая другая информация экстренных служб. Во многих случаях чиновникам пришлось вернуться к бумагам и ручкам. Правительство признаёт, что выявило «брешь» в системах в начале ноября, но предпочитает не делиться дополнительной информацией. Согласно некоторым источникам, инцидент стал следствием атаки вымогателей. Тем не менее сами власти эту информацию никак не комментируют.

Одной из причин, по которой эксперты говорят о вымогателях, является прецедент в США, произошедший примерно за месяц до происшествия в Вануату. 8 сентября в округе Саффолк штата Нью-Йорк произошла атака кибервымогателей, в результате чего пришлось отключить все информационные системы местных властей, от полиции до социальных служб. Дополнительно хакеры украли персональные данные граждан. Подозревается кибергруппа BlackCat, ранее осуществлявшая атаки в Италии и Флориде (США).

Пока неизвестно, насколько хорошо были защищены системы Вануату, но известно, что в США власти использовали устаревшие компьютерные системы, которые было слишком дорого обновлять.

Такие регионы как Вануату являются идеальными целями для кибератак, поскольку у них отсутствуют ресурсы для обеспечения защиты информационных систем на должном уровне — в сравнении с возможностями крупных правительственных организаций. Поскольку подобных «целей» в мире ещё немало, стоит ожидать новых атак в обозримом будущем.

В России значительно упали размеры выкупов, требуемых программами-шифровальщиками. Как сообщает «Коммерсантъ» со ссылкой на источники в отрасли, подобный «дисконт» связан с ужесточением требований регуляторов к принципам реагирования бизнеса на подобные случаи и относительно невысокой стоимостью услуг специалистов, расследующих подобные инциденты. Тем не менее бизнес киберпреступников остаётся прибыльным за счёт падения себестоимости атак.

Источник изображения: Pete Linforth / pixabay.com

По сведениям издания, ссылающегося на сведения специалистов по кибербезопасности, использующие вирусы-шифровальщики злоумышленники берут гораздо меньшие выкупы, чем раньше. Как сообщает представитель «РТК-Солар», выкуп году к году снизился в 20 раз. Оценки разных экспертов значительно отличаются, иногда в разы и десятки раз, но все они подтверждают общую тенденцию — запрашивать/платить стали гораздо меньше, чем раньше. При этом если одни говорят о десятках тысяч долларов, то другие — о сотнях тысяч.

Как сообщил директор центра противодействия кибератакам Solar JSOC при «РТК-Солар» Владимир Дрюков, цены на ПО для вирусного шифрования данных пользователей упали в 10-12 раз. Дело в том, что не так давно были опубликованы исходные коды ряда программ-шифровальщиков, поэтому они стали общедоступны, и создать вирус могут даже злоумышленники с базовой подготовкой.

Известно, что весной число атак шифровальщиков на российский бизнес выросло втрое. По данным Positive Technologies, половина атак на финансовый сектор осуществлялась с использованием вирусов-шифровальщиков. При этом в атаках часто принимали участие «энтузиасты», ставившие целью не только и не столько заработать, сколько опубликовать украденные персональные данные и другую информацию по политическим мотивам. Раньше к публикации прибегали в основном в случае отказа платить выкуп.

По данным источника «Коммерсанта», стоимость выкупа теперь приходится снижать потому, что слишком большие суммы скорее заставят обратиться к компании, которая берёт меньше денег и расследует инцидент. Более того, при расследовании специалистами по кибербезопасности эксперты способны установить «дыру», благодаря которой злоумышленники проникли в сеть, что позволит закрыть её навсегда. Также с 1 сентября текущего года вступили в силу поправки в закон «О персональных данных», согласно которому, допустившие утечку компании должны в течение 24 часов уведомить Роскомнадзор и в течение 72 часов установить причины инцидента и найти виновных.

Тем не менее, по сведениям Group-IB, в стране по-прежнему действуют некоторые злоумышленники с очень высокими требованиями к жертвам. По данным экспертов компании, если группа OldGremlin ещё в 2021 году требовала у жертв за восстановление доступа к информации 250 млн рублей, то в 2022 году — уже 1 млрд рублей. При этом атаки такими группами обычно осуществляются на крупные организации: банки, логистические фирмы, промышленные и страховые бизнесы.

По сведениям Министерства финансов США, опирающегося на данные местных финансовых институтов, в прошлом году связанные с кибервымогательством выплаты преступникам достигли $1,2 млрд. Эта сумма в два раза превышает показатели 2020 года.

Источник изображения: Michael Geiger/unsplash.com

По словам представителей ведомства, упомянутые платежи наносят серьёзный ущерб частному сектору экономики. Агентство по борьбе с финансовыми преступлениями (FinCEN) в составе Министерства финансов заявляет, что программы для кибервымогательства продолжают представлять значительную угрозу критическим секторам инфраструктуры, бизнесу и обществу.

В 2021 году финансовые институты сообщили о 1489 киберинцидентах. Годом ранее речь шла о 487 случаях — об этом свидетельствуют данные, собранные в рамках Закона о банковской тайне США. В анализе FinCEN учтены факты вымогательств, попытки транзакций, так и выставленные «счета», оставшиеся неоплаченными. В США банки обязаны сообщать о подозрительной активности для того, чтобы помочь властям выявить случаи отмывания денег и прочую криминальную активность.

Как сообщает Bloomberg со ссылкой на одного из высокопоставленных чиновников администрации Джо Байдена (Joe Biden), скорость и сложность подобных атак возрастает быстрее, чем американские власти способны пресекать их. По данным FinCEN, анализ ситуации стал ответом на растущее количество атак на критическую инфраструктуру США. Правда, власти не исключают, что рост числа инцидентов связан с тем, что организации стали чаще сообщать о подобных атаках компетентным ведомствам.

В марте Байден подписал связанные с обеспечением кибербезопасности законы, в соответствии с которыми определённые секторы обязаны сообщать в Министерство национальной безопасности США об инцидентах в течение 72 часов после их выявления, и в течение 24 часов — если вымогателям заплачен выкуп.

При этом кибервымогатели продолжают выкладывать в открытый доступ частные массивы данных, если их требования не выполняются. Например, не так давно они опубликовали конфиденциальную информацию о школьниках Объединённого школьного округа Лос-Анджелеса, когда выкуп за украденные данные не был оплачен.

В течение первой половины 2022 года в России резко возросла интенсивность DDoS-атак на игровые ресурсы. По оценкам DDoS-Guard, количество инцидентов увеличилось приблизительно в три раза по сравнению с аналогичным периодом прошлого года. В рассмотрение берутся игровые серверы, браузерные игры, информационные сайты игровой тематики, площадки игровых ценностей (внутренняя валюта, наборы предметов), форумы администраторов и разработчиков игровых сервисов.

Источник изображений: pixabay.com

Как сообщает газета «Коммерсант», ссылаясь на исследование DDoS-Guard, в период с января по июнь включительно число атак на игровые ресурсы составило около 6,2 тыс. Для сравнения: в первой половине 2021-го было зафиксировано приблизительно 1,9 тыс. инцидентов.

Эксперты говорят, что целью злоумышленников может быть кража данных и средств пользователей. В частности, киберпреступники получают доступ к игровым ресурсам и выводят оттуда игровые ценности с реальным денежным эквивалентом.

В «Лаборатории Касперского» отмечают, что резкий рост количества DDoS-атак на игровые сайты происходит на фоне общего всплеска данного типа киберпреступной деятельности. При этом зачастую мишенями злоумышленников становятся сами игроки: мошенники стремятся убедить пользователей установить вредоносное ПО под видом загрузки новых игр или обновлений.

«Главные цели злоумышленников — внутриигровые товары, которые можно трансформировать в реальные деньги, и аккаунты геймеров, которые могут открыть доступ к различным данным, вплоть до финансовой информации», — подчёркивают специалисты.

Компания «Яндекс» предупреждает о том, что киберпреступники в России взяли на вооружение новую мошенническую схему: они совершают телефонные звонки от имени «Алисы» — интеллектуального голосового ассистента.

Источник изображений: pixabay.com

Цель злоумышленников — войти в доверие абонента и затем получить доступ к его банковским картам. Предлоги для этого могут быть самые разные, например, предложения быстрого заработка на бирже.

«Яндекс» отмечает, что мошеннические сообщения начитаны человеком, который подделывает голос «Алисы». У злоумышленников это получается неумело, но фальшивку не всегда можно распознать с первого раза.

Номера, с которых поступают звонки от фальшивой «Алисы», заносятся в чёрный список — чтобы определитель номера, который встроен в приложение «Яндекса», заранее предупреждал о нежелательном вызове. Однако полностью защититься от злоумышленников сложно: они постоянно меняют телефонные номера и модифицируют текст сообщений.

«Настоящая "Алиса" действительно умеет управляться с телефоном. Подписчики "Плюса" могут попросить её отвечать на подозрительные звонки, записывать их и присылать расшифровки. Или, например, по вашей просьбе "Алиса" может набрать номер из адресной книги. Но она никогда не станет завязывать телефонный разговор сама», — подчёркивает «Яндекс».