Ряд потрясений 2022 года, среди которых и война в Украине, создали благоприятные условия для активности многих киберпреступников. Месяцами злоумышленники атаковали государственные учреждения, больницы, криптовалютные компании и многие другие организации. Стоимость утечки данных выросла до 4,4 миллиона долларов США, а успех будет подталкивать киберпреступников к еще большей активности в 2023 году.
По итогам года специалисты ESET подготовили список из 10 крупнейших киберинцидентов с учетом причиненного ими ущерба, уровня сложности или геополитических последствий. И хотя порядок в списке не имеет значения, сначала остановимся на атаках, направленных на Украину, которые больше повлияли на глобальные риски кибербезопасности.
Украина под прицелом кибератак. Критическая инфраструктура Украины снова стала целью киберпреступников. В начале полномасштабного российского вторжения исследователи ESET тесно сотрудничали с CERT-UA по устранению атаки, нацеленной на систему энергоснабжения страны с использованием вредоносной программы для уничтожения информации. Эту угрозу группа киберпреступников Sandworm пыталась развернуть на высоковольтных электрических подстанциях. Вредоносное программное обеспечение получило название Industroyer2 в честь угрозы, примененной группой для отключения электроэнергии в Украине в 2016 году. Однако в этот раз программа использовалась в сочетании с новой версией угрозы CaddyWiper для уничтожения информации, вероятно, чтобы скрыть следы группы и замедлить реагирование и возобновление контроля для операторов энергетической компании.
Еще больше угроз для уничтожения информации. CaddyWiper был далеко не единственным инструментом для уничтожения данных, обнаруженным в Украине непосредственно перед или в первые несколько недель вторжения россии. 23 февраля 2022 года телеметрия ESET зафиксировала другую угрозу такого же функционала с названием HermeticWiper на сотнях машин в ряде организаций в Украине. На следующий день началась вторая разрушительная атака на украинскую правительственную сеть с целью уничтожения данных, на этот раз с использованием IsaacWiper.
Перебои в работе Интернета. За час до российского вторжения масштабная кибератака на коммерческого спутникового провайдера Viasat привела к привела к перебоям в доступе к Интернет для тысяч людей в Украине и даже в других странах Европы. Считается, что целью атаки, во время которой использовалось неправильно настроенное VPN-устройство для получения доступа к разделу управления спутниковой сетью, было ослабить коммуникационные возможности украинского командования в первые часы вторжения. Однако ее последствия ощутили далеко за пределами Украины.
Чрезвычайное положение в Коста-Рике в связи с программами-вымогателями. Одной из самых активных в этом году была группа программ-вымогателей Conti, доступ к использованию которых за плату злоумышленники-разработчики предоставляют другим хакерам. Одна из таких атак была направлена на небольшое южноамериканское государство Коста-Рика. Как результат, в стране было объявлено чрезвычайное положение, а ее правительство назвало атаку актом «кибертерроризма». Группа с тех пор исчезла, хотя ее участники, вероятно, просто перешли к другой активности для избегания внимания правоохранительных органов.
Атаки на государственные органы в США. Другие программы-вымогатели также были активны в 2022 году. В сентябре Агентство по кибербезопасности и защите инфраструктуры США сообщило, что связанные с Ираном киберпреступники атаковали муниципальное учреждение США и аэрокосмическую компанию, используя уязвимость Log4Shell для распространения программ-вымогателей. Также стоит внимания атака на правительство США в ноябре. Тогда организацию федеральной гражданской исполнительной власти было атаковано и развернуто в ее сети вредоносное программное обеспечение для майнинга криптовалют.
Кража в размере 618 миллионов долларов США с использованием Ronin Network. Этот сайдчейн Ethereum для игры Axie Infinity был создан вьетнамским разработчиком блокчейн-игр Sky Mavis. В марте выяснилось, что хакерам удалось использовать украденные частные ключи, чтобы подделать снятие средств на сумму 173 600 Ethereum (592 миллиона долларов США) и 25,5 миллиона долларов США через Ronin двумя транзакциями. Кража в размере 618 миллионов долларов США по ценам марта стала самой крупной в истории криптокомпаний. С атакой связана северокорейская группа киберпреступников Lazarus.
Группа программ-вымогателей Lapsus$, которая с помощью резонансных краж данных вынуждает своих жертв платить, появилась в течение 2022 года. Среди ее целей – Microsoft, Samsung, Nvidia, Ubisoft, Okta и Vodafone. Одним из ее методов является подкуп инсайдеров в компаниях и их подрядчиках. Хотя некоторое время группа была относительно неактивной, она снова вернулась в конце года, атаковав разработчика Grand Theft Auto Rockstar Games. Несколько возможных членов группы были арестованы в Великобритании и Бразилии.
Утечка данных Международного комитета Красного Креста. В январе организация сообщила о серьезном инциденте, в результате которого были скомпрометированы личные данные более 515 000 жертв. У швейцарского подрядчика были похищены данные о лицах, разлученных со своими семьями из-за конфликтов, миграции и катастроф, пропавших без вести и их семей, а также лицах, находящихся под стражей. Во время атаки была использована уязвимость в системе, на которой не были применены исправления.
Новая утечка данных в Uber. В 2016 году у компании были похищены данные о 57 миллионах пользователей. В сентябре этого года снова сообщалось, что хакер, потенциально член группы Lapsus$, сломал электронную почту и облачные системы, хранилища кода и внутренний аккаунт Slack. Киберпреступник нацелился на внешнего подрядчика Uber, вероятнее всего, найдя их корпоративный пароль в даркнете.
Медицинские данные в руках хакеров. Злоумышленникам удалось получить доступ к данным 4 миллионов клиентов австралийского гиганта медицинского страхования. Атака может привести к ущербу компании около 35 миллионов долларов США. Считается, что киберпреступники, связанные с программой-вымогателем REvil (также известной как Sodinokibi), получили учетные данные администратора, и это стало начальным вектором атаки. Жертвы этой атаки теперь сталкиваются со шквалом дальнейших попыток мошенничества с личными данными.
Что бы ни случилось в 2023 году, некоторые уроки из этих 10 серьезных инцидентов могут пригодиться пользователям при усилении цифровой защиты своих устройств и корпоративных сетей. В частности, компаниям следует правильно наладить свои процессы и операции, организовать тренинги по цифровой осведомленности для всех сотрудников и обеспечить многоуровневую защиту корпоративной сети с помощью передовых решений по кибербезопасности.