Хакеры переключились с большого бизнеса на малый и средний

Автор фото: vostock-photo
Автор фото: vostock-photo

Хакеры переключаются на малый и средний бизнес, снизив атаки на крупные компании.

В I квартале 2024 года киберпреступники выкладывали в интернет данные, утёкшие преимущественно от небольших компаний. Объём таких утечек от представителей малого и среднего бизнеса вырос в 4 раза по сравнению с I кварталом прошлого года. При этом публикация данных из крупных корпораций, наоборот, упала в 3 раза, выяснили аналитики Kaspersky Digital Footprint Intelligence.
Всего за I квартал у представителей малого и среднего бизнеса (МСБ) утекло 47 млн записей данных (против 12 млн в прошлом году). У крупного бизнеса объём утечек упал со 160 млн до 54 млн записей. За первые 3 месяца 2024 года в даркнет и на теневые площадки было слито более 19 млн уникальных паролей россиян — это в 6 раз больше, чем в прошлом году. Также был зафиксирован 41 факт публикации значимых баз данных российских компаний.
Выросла и скорость публикации скомпрометированных данных в публичный доступ. 61% утечек в I квартале 2024 года появлялись на теневых площадках в течение первого месяца после атаки на компанию. Этот показатель в 2023 году составлял 49%. Эксперты отмечают, что хакеры публикуют данные не только для продажи, но и для повышения своей репутации на теневом рынке.
"Основная причина, почему стало меньше утечек у крупного бизнеса, — повышение уровня безопасности в компаниях, улучшение менеджмента кибербезопасности и увеличение бюджетов на неё. Однако малый и средний бизнес — это часто подрядчики крупных организаций. Поэтому у них может быть доступ к данным, которые интересны злоумышленникам. Атаки на них могут негативно повлиять и на бизнес заказчиков. Но малый бизнес и сам по себе может представлять интерес для хакеров. В нашей практике был кейс с небольшой компанией, которая являлась поставщиком металлоконструкций и бетона. Средний чек на услуги был очень большим. Злоумышленники их взломали, поменяли платёжные данные, и деньги зачислялись на счета хакеров", — комментирует эксперт Kaspersky ICS CERT Владимир Дащенко.
Руководитель направления пентеста Infosecurity в ГК Softline Алексей Гришин подтверждает выводы аналитиков "Касперского". Он считает, что причина кроется в плохой защищённости МСБ.
"Предприятия этой категории часто не обладают достаточными знаниями и ресурсами для полноценной защиты от киберугроз, что делает их более привлекательными для атакующих. Кроме того, внедрение цифровых технологий в МСБ увеличивает их уязвимость к кибератакам, поскольку новые технологии часто сопровождаются новыми рисками. Также следует учитывать, что малые и средние предприятия реже проводят регулярные обновления и аудит систем безопасности", — объясняет эксперт.
Малый бизнес сталкивается с массовыми атаками, в то время как крупные компании становятся жертвами целевых киберинцидентов, где технологии выбираются индивидуально, замечает руководитель отдела аналитики "СёрчИнформ" Алексей Парфентьев. Злоумышленникам проще массово атаковать небольшие компании с типовой и неоптимальной в плане безопасности инфраструктурой.
"Анализ данных о внутренних инцидентах показал, что в 2023 году 71% компаний МСБ сталкивались с попытками слива информации. В большинстве случаев инсайдеры пытались передать вовне финансовую информацию (64%), техническую документацию (50%) и персональные данные клиентов (47%)", — рассказывает он.

Эпоха хактивизма

Ещё одна современная тенденция — рост хактивизма, иначе говоря, политически или идеологически мотивированного хакинга.
"Компании МСБ не смогут выплатить большие суммы злоумышленникам, но репутационные риски для страны оказываются для хактивистов более приоритетными. При этом нужно учитывать, что хактивисты зачастую не требуют выкуп вообще. Соответственно, замолчать инцидент компании–жертве гораздо сложнее. Известны случаи совершения атак действующими и бывшими сотрудниками компании, мотивированными чувством мести и политическими взглядами. В крупных компаниях лучше отлажен контроль за предоставляемыми правами доступа", — говорит директор по продвижению продуктов Crosstech Solutions Group Антон Чумаков.
При всём этом аналитик по информационной безопасности NGR Softlab Андрей Шабалин говорит, что хакеры стали чаще концентрироваться на финансах: "Ранее хакеры стремились к публичной демонстрации своих действий, например для выдвижения манифеста. Сейчас их цели в отношении инфраструктуры крупного бизнеса стали более прагматичными: кибершпионаж и причинение максимального финансового ущерба".
Владимир Дащенко подтверждает, что хактивизм становится всё более финансово мотивированным. "Раньше политические хактивисты были исключительно про политику, сейчас же у них цель — и политический вред, и финансовый", — подчёркивает он.

Ретейл и банки под ударом

По данным "Лаборатории Касперского", в I квартале 2024 года больше всего утечек зафиксировано в ретейле. При этом по объёмам утекшей информации лидируют финансовые организации — банки, МФО, страховые компании. На них пришлось более 72 млн записей, или 87% всех пользовательских данных, попавших в даркнет.
По какому принципу атакующие выбирают тот или иной сектор экономики, сказать сложно, отмечает Владимир Дащенко. "Моя теория, что хакеры следят за тем, на что сейчас больше всего направлено общественное внимание. Например, если в СМИ стали чаще писать об утечках в определённой отрасли, то они начинают чаще её атаковать", — рассуждает он.
Наибольшему риску подвержены здравоохранение, финансовый сектор, торговля и электронная коммерция, образовательные учреждения и производственные компании, в свою очередь предполагает Алексей Гришин.
Медицинские данные имеют высокую ценность на чёрном рынке, а у учреждений здравоохранения часто уязвимые системы и они редко обладают передовыми средствами защиты.
Финансовые учреждения являются постоянной целью из–за большого объёма денежных средств и чувствительной информации о клиентах.
Торговые компании и электронная коммерция обрабатывают большое количество данных о транзакциях и клиентах. Образовательные учреждения обладают большими объёмами личных данных студентов и сотрудников, которые часто защищены ненадёжно. Производственные компании представляют интерес для кибершпионов и конкурентов, так как информация о разработках и производственных процессах может быть крайне ценной.
Младший системный аналитик "Вебмониторэкс" Анастасия Травкина добавляет к списку государственный сектор: "Хакеры стремятся к конфиденциальной информации или выводу из строя важных сервисов, исходя из политических мотивов. Они оценивают потенциальную финансовую выгоду, ищут секторы с недостаточной защитой, ориентируются на отрасли, где хранятся ценные данные, и выбирают цели с большим количеством пользователей".