По оценке экспертов Positive Technoligies, более половины компаний в России и СНГ оказались не готовы к «удаленной» работе из-за пандемии коронавируса. При этом большинству из них пришлось экстренно организовывать удаленный доступ с нуля или его масштабировать. И хотя банки сумели обезопасить свои базы данных от атак злоумышленников, проблема качественной защиты информации не потеряла актуальность и для них. 

Охота за RDP-протоколом

Согласно статистике, RDP (Remote Desktop Protocol, удаленный рабочий стол) является самым простым способом предоставить сотрудникам удаленный доступ к корпоративной ИТ-платформе, но с точки зрения информационной безопасности данное решение несет огромные риски для банков и компаний, заявил на онлайн-конференции, организованной ИД «Коммерсантъ», руководитель отдела расследования инцидентов компании «Ростелеком-Солар» Игорь Залевский.

Безусловно, таких ошибок, как это случилось при появлении вредоносной программы WannaCry в 2017 году, сейчас удалось избежать. И в этом заслуга специалистов по информационной безопасности, считает эксперт. Иначе масштабы нынешней компьютерной эпидемии были бы сопоставимы с эпидемией коронавируса.

RDP, по сути, является входной точкой аппаратной двери в ИТ-инфра­структуру компаний и банков. Самый распространённый тип атак на RDP – это обычный подбор учетных данных, что не требует высокой квалификации злоумышленников. Киберпреступники методом подбора средств учетных данных получают доступ к серверу инфраструктуры компании и далее его перепродают другим злоумышленникам, которые могут использовать эту инфраструктуру для атак.

Не секрет, что часто за шифрование ресурсов и серверов компаний киберпреступники требуют выкуп. Соответственно, если не было ранее сделано копирование данных, то приходится платить. «В марте тенденция по росту доступных серверов с протоколом RDP начала набирать силу. Компании стали переводить сотрудников на удаленку и выбирали самый простой способ – предоставление RDP. Так, в конце марта в мире мы зафиксировали через открытые платформы сканирования 3 млн доступных серверов с открытым RDP-протоколом. Это значит, что для злоумышленника есть 3 млн целей. В России их количество гораздо меньше – около 76 тысяч. Прошло два месяца и оказалось, что с того времени количество доступных серверов в мире выросло почти на миллион. Т.е. эта тенденция сохраняется до сих пор – количество компаний, переводящих сотрудников на удаленку по этому, более легкому пути, увеличивается», – подчеркнул Игорь Залевский.

По его оценке, только 15-20% их заказчиков имеют опубликованные службы RDP или удаленные рабочие столы на периметре, что говорит о зрелости компаний с точки зрения ИБ, «которые предпочитают более сложный, но более правильный путь».

Между тем, увеличение количества атак и попыток подбора учетных данных в нашей стране начали фиксировать только с апреля. До апреля в среднем наблюдалось на одного заказчика от 3 до 5 попыток подбора (в одну попытку входит от 200 до 1 тысячи уникальных пар логина и пароля). Начиная с апреля и по настоящее время в день отмечается от 5 до 12 таких попыток. Характерно, что в мае стали появляться долгие, нераспределенные попытки, т. е. атака на учетные данные может продолжаться от 2 до 4 часов без перерыва. Обычно злоумышленники стараются делать это «набегами», распределённо по времени – в течение дня.

«Чтобы ваша инфраструктура не была перепродана третьим лицам, при условии, что компания все-таки решает пойти на опасный шаг и делает свой периметр доступным для всех желающих, мы рекомендуем совершить некоторые действия, которые помогут смягчить и вовремя обнаружить атаки. Естественно, советуем наблюдать за сервером в режиме 24 на 7. Это точка входа в инфраструктуру, в компанию, и вы ее создали сами. Необходимо на сервере устроить расширенное логирование. Включать уведомление обо всех входах в этот сервер. Чаще всего злоумышленники, когда подбирают учетные данные и им это удается, стараются создать какую-то учетную запись. Поэтому необходимо следить за состоянием учетных записей на вашем сервере», – советует Игорь Залевский.

По статистике, цена доступа на DDK-сервер инфраструктуры компании стоит от 300 до 500 рублей. Есть специализированные сайты, на которых за эти деньги можно купить доступ. Такая низкая цена обусловлена обилием предложений. Что говорит о массовой проблеме даже без пандемии. «Уверен, что за время пандемии количество таких серверов увеличится.

К сожалению, наша практика говорит о том, что такая проблема наблюдается не только у небольших или средних компаний, которые не могут содержать штат специалистов по ИБ, но и у крупных организаций», – подчеркнул Игорь Залевский.

Знатоки психологии

Конечно, удаленно люди работали и ранее, но не настолько массово, как сейчас. Как отметил руководитель департамента системных решений Group-IB Антон Фишман, сейчас компаниям приходится давать своим сотрудникам доступ ко всем критичным процессам и системам: «Наша команда провела опрос среди сотрудников более 100 российских и иностранных компаний об особенностях перехода на удаленку в их организациях. 84% опрошенных так или иначе работают удаленно из дома. А это означает, что компании предоставляют им доступ к внутренним сервисам – почте, собственным корпоративным системам, файловым серверам, корпоративным порталам, системам электронного документооборота».

Во время пандемии атаки на сотрудников, работающих дома, стали сложнее, признал Антон Фишман. По его мнению, сказались несколько факторов. Во-первых, злоумышленники «держат нос по ветру» и подстраиваются под главные запросы общества. Прекрасно понимая, что многие будут искать информацию по коронавирусу, они создали вредоносные рассылки, которые содержали в себе иногда даже полезную информацию по COVID-19. Например, интерактивные карты распространения вируса.

Во-вторых, они хорошо понимают специфику поведения человека, который работает из дома и который трудится в офисе. «Человек находится дома в безопасной среде, – объясняет Антон Фишман. – Когда он находится на работе, он в большей степени заботится о своей безопасности, о том, что может принести вред компании, с ним постоянно проводятся тренинги».

В-третьих, сказывается совместное использование устройств: в домашних условиях одним компьютером могут пользоваться все члены семьи, причем, для различных целей. Неслучайно «безопасники» считают удаленный компьютер потенциально взломанным. Поэтому перед предоставлением сотруднику доступа в корпоративную сеть применяются специальные практики и технологии.

Популярный «Курьер»

Антон Фишман рассказал о наиболее распространенных схемах киберпреступников. Сейчас в моду вошла схема под названием «Курьер», замеченная еще в середине прошлого года. Однако по-настоящему популярной она стала только сейчас, злоумышленники весьма старательно ее «проработали».

За последние полгода количество регистраций фишинговых доменов, направленных на бренды курьерских служб, выросло более, чем в 7 раз. На широко известных сервисах бесплатных объявлений злоумышленники размещают информацию о продаже товаров по сниженным ценам, например, гаджетов, компьютеров и т. д. После этого, во внутреннем чате они связываются с пользователем. Далее общение переводится в мессенджер по той причине, что так будет удобнее и оперативнее поддерживать его. На самом деле это нужно для того, чтобы предотвратить отслеживание противоправных действий специалистами по безопасности этих сайтов.

Так называемый «продавец» в одном из мессенджеров получает все данные – ФИО, адрес, номер телефона заказчика. Затем жертве присылается ссылка якобы на один из сайтов курьерских служб. На деле сайт оказывается фишинговым. Жертва осуществляет перевод, средний чек которого варьируется от 15 до 30 тысяч рублей.

«Масштабы этой схемы весьма значительны, – подчёркнул Антон Фишман. – Зачастую злоумышленники возвращаются к жертве, говоря о том, что произошло ЧП и курьерская служба не смогла доставить товар, что полиция заблокировала сайт, предлагая оформить возврат средств, и таким образом второй раз списывают деньги».

Данная схема сейчас используется десятками разрозненных преступных групп. Причем роли злоумышленников распределены: есть воркеры, прозвонщики и т. д. Ежедневный оборот только одной группы составляет 200 тысяч рублей. Общий объем рынка оценивается Group-IB более чем в миллион долларов.

От инсайда до шпионажа

Существуют и другие схемы, получившие распространение в последнее время. Так, после введения пропускного режима в рамках борьбы с распространением COVID-19 появилось большое количество мошеннических ресурсов, предлагающих оформление различного рода справок-пропусков, справок с места работы и т. д. Их стоимость варьировалась от 3 до 5 тысяч рублей. Опасность здесь заключается не только в том, что человек теряет деньги, оформляя липовую справку, но и в том, что огромное количество персональной информации передается злоумышленникам, например, паспортные данные, ИНН.

В дополнение мошенники проводят также DoS-атаки на легитимные сервисы – mos.ru, ЕСИА, сайт госуслуг. Во время совместной работы Group-IB с ДИТ (департамент информационных технологий) Москвы было обнаружено более 185 мошеннических ресурсов – сайты, группы ВКонтакте, мессенджерах, телеграм-каналов и т.д. Более 130 ресурсов было заблокировано.

Более 70% заражений крупных компаний происходит через первоначальный фишинг, «партнерские» рассылки, фейковые письма от медицинских организаций. Антон Фишман выделил несколько основных трендов, которые актуальны сейчас и будут таковыми во втором квартале 2020 года. Среди них: увеличение количества целевых атак и вредоносных рассылок, рост числа инсайдерских атак на фоне снижения зарплат и увольнений, шпионаж. Увеличилась также мошенническая активность по отношению к людям пожилого возраста – речь идет о доставке товаров на дом, различных предложениях лекарств и т. д. Киберпреступники также активно используют в своих целях бесплатные сервисы – платформы для проведения видеоконференций, онлайн-обучения.

Текст: Оксана Дяченко

Материал также опубликован в печатной версии Национального банковского журнала №192 (июль-август 2020)