По данным экспертов Group-IB в мае и в начале июня в даркнете было выложено рекордное количество баз данных российских компаний — более 50. Для сравнения в апреле было 32, а в марте всего —16.Среди жертв, чьи базы были выложены в публичный доступ, оказались компании, относящиеся к интернет-сервисам доставки, медицине, телекому, интернет-ритейлу, онлайн-образованию, строительству и др. Большинство баз данных популярных компаний были выложены в публичный доступ для бесплатного скачивания — злоумышленники стремятся не заработать, а нанести максимальный ущерб компаниям и их клиентам.
Фестиваль утечек
Общее количество записей 19 наиболее крупных утечек в мае — начале июня, по оценкам экспертов Group-IB Threat Intelligence, составляет 616,6 млн строк. Практически все базы включают имена клиентов, их телефоны, адреса, даты рождения, а некоторые хеш-пароли, паспортные данные, подробности заказов или результаты медицинских анализов. Актуальность большинства баз — весна этого года. По мнению экспертов департамента Threat Intelligence Group-IB, кроме очевидных причин утечек — действия инсайдеров и увеличения количества кибератак после 24 февраля, проблема такого огромного числа инцидентов — в недостаточной защищенности цифровых активов. И если раньше этими базами и хранящимися в них данными никто не интересовался, то теперь доступ к плохо лежащим активам преподноситься как большая победа международных хакеров.
Напомним, что в конце апреля Group-IB в ходе глобального исследования цифровых активов выявила около 400 тыс. общедоступных баз данных, хранящихся в открытом доступе. Почти 7,5 тыс. «бесхозных» — находились на российских серверах. Обнаружив доступную базу данных, злоумышленники могут украсть конфиденциальную информацию или использовать ее как точку входа для дальнейшего продвижения по сети. Более половины инцидентов, расследованных лабораторией цифровой криминалистики Group-IB в 2021 году, произошли в результате эксплуатации уязвимостей периметра и могли быть предотвращены.
«Раньше многие крупные утечки баз данных, выставленных на продажу, оказывались компиляцией старых баз или агрегацией нескольких баз из открытых источников, — пояснил ситуацию руководитель отдела исследования киберпреступности Threat Intelligence Group-IB Олег Деров. — Однако в последнее время мы видим на хакерских форумах актуальные и весьма информативные базы данных популярных сервисов, которые бесплатно выкладываются в открытый доступ — мотив у злоумышленников не столько заработать, сколько нанести как можно более серьезный ущерб компаниям. Риск в том, что эти данные могут быть использованы в дальнейших кибератаках и в мошеннических схемах».
Дискредитация защиты
Однако по мнению Игоря Ляпунова, генерального директора «Ростелеком-Солар», злоумышленникам уже не нужно взламывать компании, чтобы публиковать информацию об утечке. Основная цель большинства публикаций в даркнете — дискредитация уровня защищенности российской критической инфраструктуры, а не реальное нападение на нее. Часто «утекшие базы» при проверке оказываются либо компиляцией из старых утечек, либо базируются на общедоступной информации, либо просто синтезированы и не имеют отношения к действительности. Проверить качество утекшей базы и ее актуальность не просто, но цели злоумышленников не заработать на утечке — базы все-равно распространяются бесплатно, но дискредитировать качество защиты российских СЗИ и сервисов, которые и так находятся под постоянной угрозой атак. Вряд ли кибергруппировки, которые специализируются на продаже секретов, выложат в открытый доступ что-то ценное.
Тем не менее сейчас для российских владельцев самых разнообразных данных наступила самая серьезная проверка средств защиты доступа к персональным данным, корпоративным секретам и любой другой ценной информации. Если раньше российские данные никого не интересовали, поскольку не могли быть монетизированы, то теперь маркетинг на взломе российской — национальные виды спорта у многих кибергруппировок. И понятно, что такая проверка реализации требований законов №152 “О защите персональных данных” и №187 “О безопасности КИИ”, не сравниться с документарной проверкой ФСТЭК. Настало время реальной безопасности, о наступлении которого функционеры ФСТЭК предупреждали практически с самого начала принятия указанных выше законов.
