Киберугрозы нового поколения: как хакеры атакуют прямо сейчас и что с этим делать

В 2024 году в России было отражено почти  2 млрд кибератак. Их целью стали как граждане, так и бизнес. При этом в эту статистику не включены DDoS-атаки, а также мошеннические действия с использованием фишинговых сообщений, хотя именно они стали главными инструментами злоумышленников в прошлом году, заняв 30% и 50% всех атак соответственно. О том, с какими рисками кибербезопасности нужно быть готовыми столкнуться и как им противостоять рассказал Сергей Ковтун,  партнер и генеральный директор ИТ-интегратора Notamedia.

В текущем году стоит ожидать продолжения деятельности хакерских группировок, программ-стилеров и точечного фишинга с использованием искусственного интеллекта, направленных на получение чувствительной информации. Одна из новых опасностей — схема кибератак, работающая с помощью искусственного интеллекта. ИИ позволяет автоматизировать действия по созданию фиктивных номеров, поддельных сайтов и отправки рассылок от имени известных компаний, представителей госсектора или других отправителей, которым люди доверяют. Как следствие, уже участились кражи персональных данных, когда под разными предлогами злоумышленники получают доступы к личным аккаунтам и кабинетам.

Основные угрозы кибербезопасности бизнеса и госсектора

Перед тем, как говорить об основных угрозах, вспомним классификацию рисков с точки зрения кибербезопасности. Один из самых значимых источников риска для ИТ-проектов — вредоносные программы, включая вирусы, трояны и шпионское ПО. Они могут не только нарушить работу системы, но и привести к утрате или краже ценных данных (включая исходный код).

Фишинг — ещё одна серьезная угроза, когда злоумышленники маскируют свои действия под легитимные запросы или уведомления, чтобы получить конфиденциальную информацию.

Атаки с использованием программ-вымогателей тоже стали распространенным явлением Они блокируют доступ к критически важным данным и системам до тех пор, пока не будет выплачен выкуп.

В прошлом году специалисты по кибербезопасности выявили более 250 новых баз данных российских компаний, доступных в тематических Telegram-каналах и на форумах. Украденная информация чаще всего содержала данные ФИО, даты рождения, адреса пользователей, электронные почтовые ящики и номера телефонов. Наиболее подверженными атакам мошенников оказались торговые сети, онлайн-магазины, отрасль здравоохранения и образовательные центры.

Критически важные для страны отрасли — производственные, строительные, фармацевтические и IT-компании, а также предприятия добывающей промышленности, военно-промышленного комплекса, — подвергались атакам на  40% чаще в прошлом году. При этом зачастую целью атак была даже не коммерческая выгода, а диверсия для нанесения ущерба. Число атак на медицинские учреждения в 2024 году выросло более чем на  30% по сравнению с предыдущим годом, основными целями злоумышленников были кража данных, уничтожение ИТ-инфраструктуры и приостановки работы клиник.

Еще одна угроза текущего года — программы-стилеры для незаметной кражи конфиденциальных и критически важных данных. С их помощью похищают пароли к учетным записям, данные криптокошельков и кредитных карт. В руках злоумышленников стилеры действуют эффективнее, чем программы вымогатели-шифровальщики, а в инфраструктуру бизнеса они проникают через фишинговые письма, вредоносную рекламу и поисковую выдачу с вредоносным ПО, которое маскируется под официальное. Не исключено, что хакеры в этом году займутся разработкой собственных локальных языковых моделей (LLM), чтобы обойти киберзащиту компаний и маскировать свои действия на общедоступных платформах. Также ожидается рост атак с использованием голосового фишинга и дипфейков.

Следует также учитывать и угрозы внутреннего характера: неосторожное обращение сотрудников с конфиденциальной информацией или ошибки в настройках безопасности, которые могут привести к утечкам данных. Иногда причиной может служить банальная неосведомлённость сотрудников об актуальных угрозах или незнание базовых правил цифровой гигиены, о которых поговорим дальше.

Свежий пример: несколько месяцев назад многим ключевым сотрудникам Notamedia пришли личные сообщения в Telegram от моего имени. В них была просьба пообщаться с якобы представителем силовых структур, чтобы прояснить некоторые моменты в работе компании. Внешне аккаунт выглядел как настоящий, с теми же фотографиями и описанием. Единственное отличие было в никнейме — он отличался одной буквой, но так, что это было почти незаметно, если не присматриваться. Но так как все сотрудники знают о подобных схемах, злоумышленники остались ни с чем.

Ловушки для граждан

Злоумышленники постоянно изобретают всё новые подходы к краже персональной информации у простых граждан. Например, в 2025 году стало небезопасным включение функции демонстрации экрана в онлайн-мессенджерах. Мошенники представляются потенциальным работодателем или действующим руководителем и предлагают пройти тестирование или заполнить форму на определенном интернет-ресурсе, используя при этом известные и легальные онлайн-платформы. Для ускорения процесса мошенники предлагают активировать демонстрацию экрана. Это позволяет увидеть коды доступа, которые появляются в уведомлениях, и использовать их для входа в личные кабинеты.

Рост IoT-устройств, включая фитнес-браслеты, умные часы, колонки и счетчики для передачи показаний ЖКУ к 2025 году составил  25 миллиардов. Почти  50% россиян носят умные часы, другими умными помощниками пользуются не менее  30% жителей. Несмотря на то, что устройства существенно упрощают жизнь, незащищенное подключение к общим интернет-сетям несет определенные риски для пользователей.

Один из примеров — создание мошенниками своих Wi-Fi-сетей с целью перехвата данных пользователей в момент подключения. Это может открыть доступ к личной информации, учетным записям в социальных сетях, банковским данным и другой конфиденциальной информации.

Наш ответ злоумышленникам

Чтобы обеспечить кибербезопасность в компании, стоит начать с причин. В 80% случаев — осознанно или по незнанию, — но помощь злоумышленникам оказывают сами сотрудники организаций, устанавливая вредоносное ПО. Один из способов защиты от этого — постоянное обучение персонала информационной безопасности. Так как методы мошенников постоянно меняются, нужно регулярно обучать сотрудников правильному сбору, хранению и передаче важных данных. Знания основ цифровой безопасности могут позволить вовремя распознать киберугрозу.

Так как сохранность персональных и коммерческих данных подразумевает ответственность, вплоть до уголовной, руководителю компании стоит ограничить список лиц, имеющих доступ к критически важной информации. Также — использовать в периметре и, по возможности, за его пределами только защищенные корпоративные решения для передачи данных, включая инструменты двухфакторной аутентификации. Эффективным методом защиты часто становится разделение корпоративной сети на отдельные сегменты и ограничение доступа к чувствительным данным для большинства пользователей.

Для противодействия хакерским атакам необходимо располагать самой свежей информацией об их подходах и возможных схемах. Если прежде такие сведения поступали преимущественно от иностранных аналитиков, то сейчас на рынке есть отечественные решения. Они предлагают актуальную аналитику об уязвимостях, подробное описание техник и приемов кибератак и результаты тестирования программного обеспечения.

Не менее значимым фактором в обеспечении безопасности является взаимодействие с «белыми» хакерами. Организовать сотрудничество в рамках программ Bug Bounty можно с помощью специализированных платформ.

Для обеспечения кибербезопасности необходимо придерживаться стандартных правил как на личном, так и на корпоративном уровне. Мы рекомендуем следующий список мер для предотвращения киберугроз:

• Вовремя обновлять программное обеспечение.
• Применять антивирусные программы, межсетевые экраны и другие инструменты для защиты данных, включая сервисы, блокирующие DDoS-атаки.
• В компаниях — внедрить систему управления уязвимостями и инцидентами информационной безопасности, включающую регламенты и назначение ответственных лиц. Сюда же относятся тренинги и регулярные проверки компьютеров сотрудников на предмет вредоносного ПО.
• Регулярно создавать резервные копии критически важных систем и информации. Хранить их отдельно от основных систем, чтобы избежать шифрования вирусами-вымогателями.
• Применять строгую парольную политику: не использовать идентичные пароли для разных платформ. Избегать простых и скомпрометированных паролей, использовать менеджеры формирования надежных паролей, активировать двухфакторную аутентификацию везде, где она доступна.

Гражданам также крайне важно знать о базовой цифровой гигиене. Стоит проявлять осмотрительность при публикации личных данных в социальных сетях — злоумышленники могут использовать эту информацию для создания копии профиля пользователя и совершения мошеннических действий. Кроме этого, стоит регулярно проверять выписки по банковским счетам и кредитным картам, потому что в случае утечки данных пользователь может не получить вовремя уведомление о подозрительных операциях.

При подключении к общедоступным сетям стоит обратить внимание на ряд признаков, которые помогут распознать мошенническую Wi-Fi сеть:

• имя сети близко к настоящему, но с незначительными изменениями;
• подключение происходит без запроса пароля.

Следует остерегаться публичных сетей с таким именами как «Бесплатный Wi-Fi» или «Свободный интернет». Для уверенности, лучше уточнить точное название сети у персонала организации.

Если есть подозрение, что подключение произошло к мошеннической Wi-Fi сети, надо немедленно разорвать соединение и изменить пароли от всех учетных записей, которые использовались во время подключения к этой сети. Не лишней будет и проверка устройства на наличие вирусов и вредоносного программного обеспечения. Общий совет здесь — всегда воздерживаться от ввода личной информации при использовании незащищенных Wi-Fi сетей.

Что делать компаниям при обнаружении атаки или киберугрозы

Способность оперативно противодействовать киберугрозам и восстанавливать работоспособность систем после атак является фундаментальной основой цифровой безопасности компании. Достижение этих целей требует детально проработанных инструкций и алгоритмов, запускаемых при выявлении потенциальной опасности. Организация защиты предусматривает:

• Создание специализированной группы (CIRT), объединяющей экспертов по кибербезопасности, технических специалистов, представителей юридической службы и PR-отдела.
• Создание комплексной инструкции (IRP) с описанием методологии выявления, анализа, нейтрализации и фиксации происшествий.
• Организацию систематических практических занятий для проверки готовности участников группы к выполнению поставленных задач.
• Внедрение комплексных решений для круглосуточного контроля состояния сетевой инфраструктуры и моментального информирования об аномальной активности.

Методы восстановления после кибернетических атак должны быть интегрированы в общую систему антикризисного управления (DRP) и обеспечения непрерывности операционной деятельности (BCP).

Основные составляющие процесса восстановления:

1. Срочный запуск ключевых систем для сохранения работоспособности основных бизнес-функций.
2. Тщательный анализ для выявления причин и масштабов произошедшего.
3. Подсчет нанесенного ущерба и принятие мер по устранению последствий вторжения.
4. Применение архивных данных для воссоздания утраченной информации.
5. Модернизация защитных механизмов с учетом полученного опыта для предупреждения аналогичных ситуаций.

По завершении активной фазы противодействия угрозе и восстановления функциональности важно провести детальный разбор ситуации, включающий модернизацию регламентов безопасности, совершенствование инструментов наблюдения и дополнительную подготовку сотрудников. Такой подход позволит укрепить защищенность организации и повысить эффективность реагирования на будущие вызовы.

Источник: Pakhotin