Транспортная отрасль и связанные с ней цифровые системы тоже часто оказываются в списке жертв киберпреступников. Фото Романа Пименова/PhotoXPress.ru

       Хакеры продолжают атаковать российские предприятия. Теперь под ударом оказываются не только лакомые для мошенников госсектор или финансовая отрасль, но и такие, казалось бы, менее приоритетные для взлома сферы, как здравоохранение, образование и пищевая промышленность. Чаще всего организации сталкиваются с инструментами удаленного доступа: такие вредоносы позволяют злоумышленникам дистанционно управлять атакованной системой, выгружая данные и меняя настройки оборудования.

       Российские организации в течение одного квартала сталкиваются с какой-либо киберугрозой в среднем от 19 до 80 раз. Это следует из оценок, сделанных экспертами группы компаний ？Солар？ по итогам четвертого квартала прошлого года.

       Показатель киберуязвимости внушительный: он свидетельствует о неугасающем интересе злоумышленников к целям в различных сферах экономики и указывает на необходимость применения комплексной киберзащиты, пояснили авторы обнародованного отчета.

       Этот отчет составлен на основе данных с крупнейшей в России сети сенсоров. Анализ срабатываний сенсоров позволяют выделить индикаторы компрометации, указывающие на деятельность вредоносного программного обеспечения (ПО) конкретного типа в инфраструктуре предприятия.

       Чаще всего организации из всех отраслей сталкиваются с инструментами удаленного доступа (RAT). На них приходится примерно четверть – 24% – от всего выявленного вредоносного ПО. ？В зависимости от функциональности такие вредоносы позволяют злоумышленнику дистанционно управлять атакованной системой: менять и выгружать данные, делать скриншоты, менять настройки оборудования？, – пояснили эксперты ？Солар？.

       Причем, судя по выводам IT-аналитиков, в российской практике уже есть примеры, когда кибервзломщики могли годами оставаться незамеченными в той цифровой инфраструктуре, с которой активно взаимодействуют подрядчики госорганов либо сами госорганы.

       Так, в ？Солар？ еще в прошлом году отчитались об обнаружении уникального вредоносного ПО, получившего название GoblinRAT, с широкой функциональностью для маскировки: вредонос мимикрировал под легальное окружение зараженной системы и умел удалять следы своего присутствия. Он мог шпионить даже в сегментах с ограниченным доступом в интернет.

       Самые ранние следы заражения датировались 2020 годом, впервые же намеки на некую подозрительную активность сотрудники зараженной организации зафиксировали только в 2023 году. То есть, как следовало из выводов специалистов по кибербезопасности, около трех лет вредонос скрытно сканировал все внутренние информационные потоки в зараженной системе с крайне сомнительными целями (см. ？НГ？ от 10.11.24).

       Но выявлены и другие популярные виды атак. Еще около 23% срабатываний, зафиксированных авторами отчета, составляли АРТ-атаки: это целевые продолжительные атаки повышенной сложности, совершаемые профессиональными хакерами с целью заполучить секретную или иную полезную информацию.

       Кроме того, по 20% выявленного вредоносного ПО приходятся на ботнеты (сети, состоящие из компьютеров обычных пользователей, которые были захвачены хакерами и превращены в ？зомби-компьютеры？, участвующие без ведома владельцев в дальнейших атаках) и стиллеры – вредоносы, ворующие с устройств логины, пароли, данные банковских карт.

       Представители отрасли информационной безопасности (ИБ) назвали еще один распространенный вариант взлома. Это заражение устройства жертвы программой-вымогателем. ？Подобный вредонос крадет, затем шифрует конфиденциальные данные, а за их восстановление или неразглашение злоумышленники требуют выкуп. Такие атаки могут обернуться лишением доступа к ценной информации и даже остановкой или потерей бизнеса？, – пояснил руководитель компании Kaspersky GReAT Дмитрий Галов.

       Авторы отчета составили также топ наиболее зараженных российских отраслей: ？Большинство вредоносных срабатываний в конце года было зафиксировано в сетях организаций здравоохранения, госсектора, пищевой промышленности и образования？.

       Такой список отраслей можно назвать во многом неожиданным, так как чаще всего в сводки с киберфронта попадают отдельные представители госсектора либо финансовой индустрии и транспортной отрасли. А здравоохранение, образование и пищевая промышленность на первый взгляд кажутся менее интересными для киберпреступников, ведь их взлом не сулит какой-то особой финансовой выгоды, да и вряд ли в этих сферах аккумулируется какая-либо секретная информация.

       Но все это – только на первый взгляд. Потому что точно так же очевидно, что здравоохранение, образование и пищевая промышленность – это критически важные для общества отрасли, и сбои в их работе чреваты серьезными социальными последствиями, связанными в том числе с реальной угрозой для жизни населения.

       Кроме того, как пояснили опрошенные ？НГ？ эксперты, хоть эти отрасли действительно социально значимы, однако именно они оказываются в списке аутсайдеров с точки зрения их киберзащиты.

       ？Допустим, та же финансовая отрасль стала не только одной из наиболее атакуемых, но и наиболее защищенных на сегодняшний день отраслей. У банков и других финансовых организаций в большинстве своем достаточно большие бюджеты на IT и ИБ, что позволяет игрокам этой отрасли нанимать высококвалифицированных специалистов и приобретать ИБ-решения ведущих вендоров, – пояснил директор по продуктам компании Servicepipe Михаил Хлебунов. – То же самое относится к крупным госкомпаниям: выше интерес злоумышленников, но и выше защищенность？.

       ？А здравоохранение, образование, пищевую промышленность нельзя назвать высокомаржинальными, и здесь обычно крайне небольшие бюджеты на все, что связано с IT и ИБ？, – отметил он.

       Обсуждая список наиболее уязвимых сфер, руководитель отдела компании ？Телеком биржа？ Дина Фомичева уточнила, что в последние несколько лет наблюдается также рост атак на организации малого бизнеса и на региональные органы власти. ？Это связано с низким уровнем осведомленности о киберугрозах и недостаточными инвестициями в безопасность и защиту данных, – подтвердила она. – И на подобных объектах часто используются неподходящие или устаревшие средства защиты？.

       Кроме того, такие организации часто очень подвержены воздейстию методов социальной инженерии и фишинга. Допустим, нередки случаи, когда сотрудники сами открывают пришедшие к ним фишинговые (поддельные) письма и с разными целями, не осознавая последствий, переходят по вредоносным ссылкам, содержащим трояны. Так и происходит затем заражение уже по всей цепочке посредников.