Журнал "Information Security/ Информационная безопасность" #4, 2021

Еще одна плохая новость: Россия пере- стает быть островком спокойствия, кото- рый не трогают шифровальщики. По данным Group-IB, количество атак на компании и организации на территории России в 2021 г. увеличилось более чем на 200%. Cредний выплаченный выкуп в 2021 г. составил порядка 3 млн руб., а время простоя атакованной компа- нии – 18 суток. Недавно издание The Bell совместно с экспертами Group-IB провели онлайн- исследование среди российских пред- принимателей: больше половины опро- шенных (50,9%) считают угрозу про- грамм-вымогателей актуальной и опас- ной и примерно столько же (51,9%) убеждены, что их компания скорее не защищена от атак шифровальщиков. Любопытно, что 77,4% опрошенных The Bell представителей российского малого и среднего бизнеса совершенно не готовы платить киберпреступникам за расшиф- ровку данных в случае, если их атакует программа-вымогатель. При этом 33% предпринимателей заявили, что остановка всего на несколько часов уже критична для их бизнеса, еще для 30% критичным является простой в один день. Парадоксальная ситуация: о том, что электронная почта в 40–60% случаев является точкой проникновения в сеть шифровальщиков, знают 50% опрошенных The Bell российских предпринимателей. При этом столько же не используют допол- нительных технологий защиты почты, ограничиваясь встроенными возможно- стями. Около 16% вообще не думают о том, что почту нужно как-то защищать. Технологии электронной почты уже около полувека, столько же эволюцио- нирует и защита электронной почты. Но антивирусы и антиспам оказываются абсолютно небоеспособны перед настоя- щими целевыми атаками. Это создает без преувеличения колоссальные риски для каждой компании. Гигантская про- блема с ущербом в миллионы долларов очень часто начинается с вредоносного ПО, которое находилось "на борту" элек- тронной почты, не было заблокировано антивирусом и было пропущено анти- спамом или даже более продвинутой технологией, например песочницей, которая открывает и проверяет подо- зрительные файлы в безопасной среде. Зараженное письмо попадает к сотруд- нику, который переходит по ссылке или открывает подозрительное вложение, и это становится первичной точкой про- никновения хакеров в инфраструктуру организации. Довольно быстро, за несколько дней или недель, они полу- чают полный контроль над информа- ционной системой организацией. Ком- пания Verizon в отчете Data Breach Inve- stigation Report сообщает, что 90% успешных целевых атак все еще начи- нается с сообщения через электронную почту. Какие угрозы приходят через e-mail Известны четыре большие группы киберугроз, использующие корпоратив- ную почту: l доставка вредоносного ПО; l целевой фишинг; l Business Email Compromise (BEC, ком- прометация корпоративной почты); l спам. Проблема спама, как и некоторые угрозы, связанные с простейшими спо- собами доставки вредоносного ПО, достаточно давно и успешно решается. Но как только речь заходит о более сложных, часто целенаправленных ата- ках на компанию, ситуация в корне меняется. Конечная цель атакующих в этом слу- чае может быть разной: от вывода средств со счетов компании (например, в ходе BEC-атаки), получения доступа к данным конкретного сотрудника (например, фишинг с хищением учетных данных) до корпоративного шпионажа, продажи доступа в инфраструктуру ком- пании или шифрования систем с после- дующим требованием выкупа. При этом письмо, которое привело к заражению или получению доступа внутрь сети компании, может выглядеть совершенно безобидно и даже не иметь вложения в привычном понимании, а содержать ссылку на облако или на файлообменник. Злоумышленники показывают доволь- но высокий уровень изобретательности и за последние годы научились проти- востоять в том числе относительно про- двинутым технологиям, в частности песочницам. Ключевые функциональные направления, при помощи которых ата- кующие достаточно успешно обходят широко распространенные решения по защите электронной почты: 1. Ссылки на легитимные файловые хранилища с вредоносным файлом. Зло- умышленники могут использовать в своих целях разные облачные сервисы: OneDrive, DropBox, Google Drive, Ya.Disk и др. Кроме того, могут использоваться малораспространенные файлообменни- ки, а получить вредоносный файл можно только через ряд дополнительных шагов, например ввода пароля или нескольких 30 • ТЕХНОЛОГИИ Электронная почта требует лучшей защиты, чем просто антиспам, антивирус и песочница то объединяет канадского производителя самолетов “Бомбардье", крупнейшего бразильского производителя мяса JBS и компанию Garmin, выпускающую устройства спутниковой навигации для гражданских и военных целей? Будет проще ответить, если добавить к списку газонефтепровод американской компании Colonial Pipeline, попавший не так давно во все новостные ленты. Да, все эти компании стали жертвами программ-вымогателей, причем основным вектором атаки шифровальщиков оказалась электронная почта. Ч