Компания «РТК-Солар» представила аналитику на базе сервиса мониторинга внешних цифровых угроз Solar AURA за январь-апрель 2023 г. Анализ был проведен по результатам мониторинга публичных и закрытых сегментов интернета, 1,2 млн доменных имен и SSL-сертификатов, а также 50 млн ежедневно обрабатываемых DNS-запросов. Такой многовекторный мониторинг позволяет специалистам «РТК-Солар» получить максимально полный набор данных о потенциальных угрозах и расследовать уже совершенные инциденты. В частности, по оценке экспертов Solar AURA, от утечек данных в январе-апреле больше всего пострадали ритейл и электронная коммерций (40% «сливов»), финансовый сектор (29%), а также строительство и девелопмент (13%).
Анализ киберпространства
Сервис Solar AURA, кроме указанных выше сведений по доменным именам и сертификатам, использует еще и результаты анализа сообщений в более 2,5 тыс. Telegram-каналах и форумах противоправной тематики, которые и принято называть Даркнетом. Его анализ показал, что с начала года хакеры выложили в Сеть данные 123 российских организаций общим объемом 1,1 ТБ. Среди информации, украденной с персональных устройств граждан, в открытом доступе обнаружено около 340 млн учетных записей клиентов банков, пользователей онлайн-сервисов и соцсетей. При этом 76% утечек составляют базы данных, которые в общей сложности содержат более 300 млн строк, в том числе 61,1 млн адресов электронной почты и 144,3 млн телефонных номеров. Остальные 24% – это массивы документов, украденных с файловых серверов. Общий объем этой информации настолько велик, что к ней в полной мере применимы принципы анализа больших данных.
Собственно, услуги по анализу информации в Даркнете начали появляться ещё в 2014 году, однако, как отметил на пресс-конференции директор центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Владимир Дрюков, тогда они были полезны только избранным компаниям: с обширной клиентской базой и большими деньгами. Сейчас же атаки на предприятия уже не зависят от их ценности и проводятся массово, а затем консолидируются в одной базе Больших Опасных Данных (БОД), где количество информации уже переходит в качество. Обобщенные данные позволяют проводить целенаправленные фишинговые атаки и получать контроль за корпоративными ресурсами. Из-за возможности атак через партнеров для хакеров становятся привлекательными и небольшие компании, что делает привлекательным предоставление аналогичных сервисов по анализу Даркнета для широкого круга компаний.
«За последний год уровень киберугроз увеличился драматически, так как российская ИТ-инфраструктура стала ключевой целью для хакеров самой разной квалификации из различных стран, — пояснил ситуацию с Даркнетом Владимир Дрюков. — Если раньше мониторинг внешних цифровых рисков был скорее эксклюзивной услугой для отдельных наших заказчиков, то сегодня, когда под ударом абсолютно любые отрасли и компании, а хакеры хвастаются успешными атаками сразу в открытых Telegram-каналах, спрос на этот сервис вырос в разы».
Опасности БОД
Утечки – не единственная угроза, но часто они создают основу для целенаправленного фишинга. В результате, количество фишинговых атак и кибермошенничеств в апреле 2023 года выросло на 26% в сравнении с аналогичным периодом 2022 года. Сам же фишинг стал более массовым и изощренным. Его основные характеристики в 2023 году: высокий уровень автоматизации, защита от обнаружения, нацеленность на самые разные отрасли. Хакеры стали реже использовать интернет-эквайринг на фишинговых сайтах — он давал лишь однократный доступ к деньгам клиентов. Сейчас же акцент мошенников смещается в сторону получения доступа к личному кабинету в системе онлайн-банкинга и выводу всех средств со счетов клиента. Важным этапом развития индустрии фишинга стал рост популярности китайской автоматизированной доменной зоны .TOP. Более 90% зарегистрированных в ней в последние месяцы доменов – это произвольно сгенерированные буквенно-цифровые комбинации или шаблонные домены, задействованные в популярных фишинговых кампаниях для запутывания следов. Однако пока в топе доменных зон, используемых для фишинга на российскую аудиторию, остаются .COM, .RU, .SITE, .XYZ.
Причем, для компаний фишинг даже опаснее, чем для физических лиц. С помощью базы БОД злоумышленники могут вести целенаправленные фишинговые атаки на высшее руководство и финансистов компании, получив учётные данные которых они могут выполнять более сложные и результативные мошеннические действия. Также от использования в фишинговых атаках популярных брендов у компаний, которые ими владеют, могут возникнуть имиджевые и даже юридические риски. Поэтому даже небольшим компаниям приходиться контролировать ключевых своих сотрудников и использование брендов в фишинговых атаках. Услуги для купирования подобных рисков и были собраны «РТК-Солар» в продукт Solar AURA.
«Для эффективного противодействия кибератакам уже недостаточно установить на периметре организации средства защиты и настроить мониторинг инцидентов, — считает Владимир Дрюков. — Важно понимать, как компанию видит внешний злоумышленник, что он может найти о свой жертве в Даркнете, на форумах, в утечках, как использует ее имя для нелегальных действий. При этом самостоятельный мониторинг глобальной сети на предмет самых разноплановых угроз крайне сложен для организаций: необходимо иметь доступ к широкому кругу информационных источников и обладать экспертизой в этом направлении. Оптимальное решение для компаний – доверить этот участок квалифицированному подрядчику».
AURA на страже
Для решения подобных проблем заказчиков в начале марта этого года «РТК-Солар» объявил о запуске сервиса по мониторингу внешних цифровых рисков – Solar AURA (Audit & Risk Assessment). Предлагаемые сервисы позволяют выявлять: фишинг от имени компании (с последующей его блокировкой), утечки данных, признаки подготовки атак в даркнете, незаконное использование бренда, нелегальное применение эквайринга, махинации с контрагентами и др. Solar AURA – решение класса защиты от цифровых рисков (Digital Risk Protection — DRP), которое было разработано совместно с командой ETHIC, вышедшей в состав «РТК-Солар» в начале февраля. Разработчики надеються, что DPR-сервисы стануть более доступными для массового использования и могут создать основу для перехода к страхованию киберрисков, о чем давно мечтают компании страховой индустрии.
