Число кибератак растет в Казахстане

Как отмечают эксперты Positive Technologies, исследование выполнено с целью обратить внимание компаний, интересующихся современным состоянием информационной безопасности, на ландшафт киберугроз в этих странах.

В целом количество атак на страны СНГ растет: во II квартале 2024 года зафиксировано в 2,6 раза больше атак по сравнению с аналогичным периодом в 2023 году. Наибольшему числу атак в странах СНГ подверглись госучреждения (18%), промышленность (11%) и телекоммуникации (10%). Эти три отрасли представляют наибольший интерес для злоумышленников по ряду причин. Во-первых, организации из этих сфер имеют стратегически важное значение для экономики страны, и поэтому в условиях геополитической напряженности они в первую очередь подвергаются кибератакам. Во-вторых, в государственных, промышленных и телекоммуникационных компаниях хранятся большие объемы конфиденциальной информации, прежде всего персональные данные и коммерческая тайна. На них нацелены злоумышленники самых разных категорий — начиная с продавцов данных на теневых рынках и заканчивая прогосударственными кибершпионами.

Основными методами кибератак в странах СНГ, как и во всем мире, являются использование вредоносного ПО и социальная инженерия. В то же время доля DDoS-атак на организации в СНГ существенно выше общемирового показателя — 18% в СНГ против 8% в мире. Основными последствиями успешных атак на организации стали утечка конфиденциальной информации (41%) и нарушение основной деятельности (37%). Атаки на частных лиц заканчивались утечкой конфиденциальной информации в 69% случаев и прямыми финансовыми потерями в 32% случаев. Более половины от общего объема похищенных у организаций данных составили персональные данные и коммерческая тайна (30% и 29% соответственно).

Одна из основных угроз для стран СНГ — атаки кибершпионских групп. Их доля составляет 18% от общего числа успешных атак. Наибольшее число жертв — среди госучреждений, промышленных предприятий, в сфере науки и образования. Четверть (26%) кибератак против организаций СНГ было совершено хактивистами. Цели большинства из них — кража данных и DDoS-атаки.

В странах СНГ каждая пятая (22%) атака на организации с использованием вирусного ПО приходится на долю шифровальщиков, из них 88% имеет финансовую мотивацию. Сегодня атаки с помощью программ-вымогателей остаются одной из самых прибыльных форм киберпреступности не только в СНГ, но и во всем мире. Суммы, которые в 2023 и 2024 годах вымогатели запрашивали у скомпрометированных организаций в СНГ, колеблются от нескольких сотен тысяч до нескольких сотен миллионов тенге. Максимальную сумму выкупа в размере 1 млн долларов злоумышленники требовали у российского банка.

Наиболее часто жертвами вымогателей становятся промышленные и производственные предприятия — 21% от всех атак шифровальщиков. На втором месте среди жертв финансово мотивированных шифровальщиков — транспорт, финансовые организации и IT-компании (по 9%). Сбои в логистических процессах являются недопустимым событием для транспортной отрасли, поэтому транспортные компании крайне заинтересованы в максимально быстром восстановлении, и у злоумышленников повышается шанс получить выкуп. Финансовые и технологические компании обладают высокой платежеспособностью, поэтому также привлекательны для финансово мотивированных атакующих. Кроме того, IT-компании становятся мишенью из-за возможности атак типа trusted relationship — через подрядчиков IT-услуг у киберпреступников появляется возможность получить доступ в сети их клиентов.

При этом, на теневых рынках растет доля объявлений, связанных со странами СНГ: в первом полугодии 2024 года было опубликовано на 35% больше объявлений, чем за аналогичный период в 2023 году. Большая часть сообщений связана с базами данных (40%), а в 79% из них базы данных раздаются бесплатно. Цены на базы данных, которые находятся в продаже, сильно варьируются, начиная от 100 долларов и заканчивая 50 тысячами долларов. Некоторые объявления касаются двух и более стран СНГ. Например, в одном объявлении могут продаваться доступы к нескольким организациям из разных государств. Большая часть объявлений касалась России (85%), Беларуси (29%) и Казахстана (28%). Напомним, что именно на эти три государства совершается наибольшее число атак. В половине (46%) объявлений, связанных с Россией, продаются или раздаются бесплатно базы данных. Для Беларуси и Казахстана наиболее актуальны объявления, связанные с обналичиванием денег и фальшивыми документами.

К слову, на сегодняшний день в большинстве стран СНГ уровень проникновения интернета превышает отметку в 70%. Для сравнения: согласно отчету Digital 2024: Global Overview Report, среднемировой показатель составляет 66,2%. Уровень проникновения интернета остается ниже среднемирового только в Молдавии, Таджикистане и Туркменистане. А в топе рейтинга в СНГ — Казахстан.

Обратная сторона интенсивных темпов цифровизации — рост уровня киберпреступности. В условиях политической неопределенности и нестабильности вопросы развития кибербезопасности имеют для большинства стран СНГ большое значение. В целом обеспечение кибербезопасности среди стран СНГ коррелирует с уровнем их экономического развития. Сегодня, согласно индексу NCSI, по уровню кибербезопасности среди стран СНГ лидирует Россия. Наиболее низкие индексы кибербезопасности среди стран СНГ имеют Таджикистан и Туркменистан. Казахстан разместился на 5 месте в СНГ и на 78 месте в общемировом рейтинге.

Интерес злоумышленников к странам СНГ увеличивается из квартала в квартал. Так, во II квартале 2024 года было зафиксировано в 2,6 раза больше атак, чем в аналогичный период 2023 года. 73% всех атак, направленных против организаций СНГ, пришлось на долю России. На втором и третьем месте — Казахстан (8%) и Беларусь (7%). Интерес злоумышленников к этим государствам подтверждается, в том числе, большим количеством объявлений в дарквебе о продаже, раздаче и покупке данных и услуг, связанных с Россией, Беларусью и Казахстаном.

Наиболее часто жертвами киберпреступлений в Казахстане в 2023 и 2024 годах становились СМИ (19%), госучреждения (12%), финансовые организации (12%) и телекоммуникации (7%). Высокая доля атак на СМИ обусловлена тем, что на казахстанские СМИ с ноября 2023 года обрушилась волна DDoS-атак. Кибератаки были направлены как минимум на девять независимых СМИ и на аккаунты нескольких журналистов в мессенджерах и социальных сетях.

Две трети всех атак на Казахстан (65%) было связано с использованием вредоносного ПО, а в каждой второй (53%) применялись методы социальной инженерии. Более трети атак (35%) заканчивалось утечкой конфиденциальной информации. Наибольшим спросом пользовались персональные и учетные данные. Эксперты национальной службы реагирования на компьютерные инциденты KZ-CERT назвали инфостилеры, с помощью которых злоумышленники похищали персональные данные. В их число вошли ReadLine, Vidar, Raccoon и Azorult.

Интересно, что Казахстан не вошел в топ стран в СНГ по атакам на госучреждения (Россия 41% от всех атак на отрасль; Кыргызстан — 14%, Беларусь — 9%, Молдавия — 8%) и промышленность (Россия 77% от всех атак на отрасль, Молдавия — 13%, Беларусь — 8%). При этом оказался в топе по атакам на телеком-сектор: Россия — 84% от всех атак на отрасль; Казахстан — 7%; Кыргызстан — 7%.

Основная угроза для телекома в СНГ — это DDoS-атаки (43% от всех атак на отрасль). Поток DDoS-атак на телеком связан, прежде всего, со стремлением политически мотивированных хактивистов препятствовать предоставлению качественных услуг связи основным геополитическим игрокам. В результате 68% атак на телеком в СНГ происходили нарушения в основной деятельности атакованной компании. Сбои в работе провайдеров связи влияют на миллионы абонентов, приводят к нарушению бизнес-процессов на стороне клиентов атакованного оператора.

Важно также отметить, что на серверах телеком-компаний хранятся и обрабатываются большие объемы данных. В результате каждой четвертой атаки на телеком происходила утечка конфиденциальной информации. Злоумышленники могут контролировать захваченную инфраструктуру провайдера в течение месяцев и даже лет, регулярно выгружая из нее ценные сведения. Так, в феврале 2024 года после публикации на GitHub конфиденциальных данных китайской компании iSoon выяснилось, что злоумышленники имели полный доступ к инфраструктуре казахстанских операторов связи в течение более двух лет. В руках злоумышленников оказались огромные объемы различной информации, включая персональные и учетные данные абонентов.

«Последние несколько лет на международном и региональном уровнях в странах СНГ происходят преобразования геополитического плана. Несмотря на это, цифровая трансформация региона набирает обороты. Это неминуемо привлекает внимание киберпреступников. Количество атак на страны СНГ увеличивается с каждым кварталом, поэтому государствам и организациям необходимо усиливать свою защиту», — заявляют эксперты.