Технологическая база для кибератак на российские компании, начавшихся в конце февраля 2022 года, была заложена в 2021 году, сообщает «Коммерсантъ» со ссылкой на заявление экспертов Positive Technologies. Многие компании, павшие жертвами атак хакеров, были взломаны ещё в 2021 году.

Источник изображения: Kevin Ku / unsplash.com

В рамках серии атак использовалось известное специалистам вредоносное ПО «Кобальт», а также новое под названием «Фасоль». Доменные имена, необходимые для работы первого, начали регистрировать ещё в ноябре 2021 года, для второго — уже в феврале 2022 года, при этом первый взлом был зафиксирован 1 января 2022 года. Жертвами кибератак стали российские предприятия, относящиеся в различным отраслям, включая промышленность и энергетику, телекоммуникации, а также представителей кредитно-финансовой индустрии. Директор экспертного центра безопасности Positive Technologies Алексей Новиков, в частности, отметил: «Большинство компаний, ставших жертвами кибератак в этом году, были взломаны за три-четыре месяца до того, как факт взлома стал публичным».

По итогам III квартала 2022 года эксперты по кибербезопасности установили, что в сравнении с аналогичным периодом прошлого года количество кибератак выросло на треть. Это стало следствием не только масштабного противостояния в киберпространстве, но и других факторов: подключились так называемые хактивисты, и появились новые шифровальщики. При этом на долю действий «профессиональных» хакеров ежеквартально приходятся не менее 67 % инцидентов. С февраля 2022 года в России атакам подверглись ресурсы компании СДЭК, службы «Яндекс.Еда», видеохостинга Rutube, сети «Ростелеком» и «НТВ плюс», платёжной системы «Мир» и ряда других организаций.

Данный образ действий характерен для проводящих целевые атаки хакерских группировок — их интересует не быстрый публичный или денежный эффект, а получение доступа к наиболее ценным данным и узлам систем, отметил консультант ПИР-центра Олег Шакиров. Проводят их как продвинутые киберпреступники, так и группировки, за которыми стоят государства. Другой источник «Коммерсанта» добавил, что первоначально злоумышленники, вероятно, предполагали продавать данные из принадлежащих жертвам систем, однако изменили приоритеты.

Работающая в сфере информационной безопасности компания Positive Technologies проанализировала актуальные угрозы первого квартала 2022 года. Проведённое экспертами исследование выявило сокращение атак со стороны программ-шифровальщиков, блокирующих доступ к данным и требующих выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации.

Доля атак с использованием вредоносного ПО (источник изображения: Positive Technologies)

Доля таких атак за квартал снизилась с 53 до 44 процентов. По мнению специалистов, такие изменения в определенной степени обусловлены переключением злоумышленников на промышленный шпионаж без шифрования устройств.

Негативным последствием сокращения количества шифровальщиков стало увеличение числа так называемых вайперов — вредоносов, нацеленных на полное уничтожение данных без возможности их последующего восстановления.

Так, в первом квартале доля атак с использованием ПО для безвозвратного удаления данных для организаций составила 3 %, для частных лиц — 2 %. Интересно, что в ряде случаев такие «очистители» данных имитировали атаки программ-вымогателей: жертвам были оставлены сообщения с информацией о выкупе, однако ключи дешифрования предоставлены не были, а данные были необратимо повреждены.

Подробнее с результатами аналитического исследования Positive Technologies можно ознакомиться на сайте ptsecurity.com/research/analytics.

Для дешифровки файлов без уплаты выкупа можно воспользоваться сайтом No More Ransom, на котором доступно более 120 утилит для восстановления данных.

Печально прославившийся из-за недавней кибератаки видеохостинг Rutube привлёк для ликвидации последствий крупного инцидента несколько экспертных команд. Как сообщает агентство ТАСС, после виртуального нападения на сервис 9 мая восстановлением функциональности займутся специалисты российской Positive Technologies.

Источник изображения: mohamed_hassan/pixabay.com

Как сообщается в Telegram-канале Rutube, «для расследования атаки и устранения её последствий привлечены несколько экспертных команд, в частности, команда специалистов экспертного центра безопасности Positive Technologies (PT Expert Security Center). Эксперты Positive Technologies уже вторые сутки вместе с сотрудниками Rutube занимаются решением проблемы».

По данным Positive Technologies, за два дня экспертам удалось понять «основной инструментарий», благодаря которому атака хакеров увенчалась успехом. По словам главы отдела реагирования информационной безопасности экспертного центра безопасности Positive Technologies Дениса Гойденко, работы много из-за большой и комплексной инфраструктуры Rutube. Компания старается «найти во всех частях инфраструктуры Rutube весь инструментарий хакеров, чтобы перекрыть хакерам возможные пути возвращения».

По данным пресс-службы Rutube, атака оказалась самой мощной за всю историю видеохостинга. Тем не менее утверждается, что злоумышленникам не удалось получить доступ к видеоархиву и вся библиотека хранится на серверах сервиса, а исходный код не повреждён.

При этом в Rutube отмечают, что атака привела к поражению 75 % баз и инфраструктуры основной версии сервиса и 90 % резервных копий и кластеров, предназначенных для восстановления баз. В результате каждый из сотен серверов приходится восстанавливать в ручном режиме, поэтапно ликвидируя последствия атаки. Пока нет точных данных, когда платформа намерена возобновить работу. Не называются и причины, которые привели к катастрофическим для сервиса последствиям.