Только ленивый еще не отметился в дискуссии «Насколько банковские CISO и ИБ-вендоры оказались готовы к пандемии?». На сегодняшний день большей частью этот вопрос закрыт: «Выжившие оказались готовы». Сейчас же было бы гораздо полезнее выяснить, какие уроки вынес киберандеграунд из всей этой истории и чем хакеры готовы нас удивить в ходе второй волны пандемии.

Руслан Рахметов, генеральный директор ГК «Интеллектуальная безопасность» (бренд Security Vision), погружает нас в текущую реальность: «Пандемия не только послужила катализатором и даже драйвером изменений в цифровой экономике страны и жизни обычных граждан, но и дала новый стимул криминальным элементам. 

По статистике МВД, количество “классических” преступлений за период карантина снизилось, а число киберпреступлений, телефонных и интернет-мошенничеств — наоборот, возросло, что уже является долгосрочным трендом.

Злоумышленники осознают, что чем глубже цифровые технологии проникают во все сферы деятельности граждан, тем больше в киберпространстве окажется и их потенциальных жертв, в том числе пенсионеров, детей, людей с низким уровнем владения современными digital-навыками».

Не могли не воспользоваться

И вот тут становится понятно, почему одной из центральных дискуссий в ходе международного онлайн-тренинга по кибербезопасности Cyber Polygon 2020, организованного Группой Сбербанка и Центром кибербезопасности Всемирного экономического форума (ВЭФ), стал обмен мнениями о фейковых новостях между телеведущим Владимиром Познером и ведущим BBC World News Ником Гоуингом.

Краткий вывод из весьма насыщенной дискуссии: проблема во многом заключается в том, что скорость, с которой меняется цифровая реальность, гораздо выше, чем скорость изменений в регулировании. Требования бизнеса заменили собой нормы этики и морали. В итоге пропало то, что является фундаментом ИБ, — доверие. Все перестают верить друг другу и правительствам, военным блокам, экономическим объединениями и т.д. Реальность такова, что усилия медиакорпорации с большим бюджетом могут запросто привести к пандемии истерии по всей планете, а там и до настоящих конфликтов недалеко.

Руслан Рахметов «приземлил» поднятую тему: «В период самоизоляции преступники не могли не воспользоваться сложившейся ситуацией для осуществления атак как на сотрудников, работающих из дома, так и на инфраструктуру удаленной работы. Возросло количество фишинговых рассылок, в том числе эксплуатирующих популярную тему карантинных мер и использования средств удаленной работы, вырос интерес операторов нелегальных сервисов «пробива» к вербовке работников финансовых организаций для незаконного получения персональных данных клиентов. Участились случаи атак как непосредственно на системы удаленного доступа учреждений, так и на бизнес-приложения, которые были вынесены за привычный защищенный контур для обеспечения непрерывной работы в условиях эпидемиологических ограничений». 

О роли стресса в истории

«Стресс-факторы, вызванные сложившейся ситуацией, сыграли на руку атакующим: работники финансовых организаций остались без привычных офлайн-способов коммуникации как между собой, так и с IT/ИБ-специалистами. При этом корпоративные устройства, находящиеся в незащищенном домашнем окружении, могли послужить входной точкой в инфраструктуру организации в случае их заражения», — полагают в Security Vision.

Но этот же стресс сыграл злую шутку и с самими хакерами. Они явно не были готовы к действиям на уровне всей финансовой отрасли. Жаклин Керно, партнер в сфере кибербезопасности Ernst & Young, и Гектор Родригез, старший вице-президент компании Visa, в рамках своей дискуссии о безопасности глобального платежного бизнеса на Cyber Polygon 2020 коснулись этого момента. Жаклин Керно тогда отметила: «Удивительно, что в условиях пандемии COVID-19 не разразился масштабный киберкризис. Но он может вспыхнуть в любой момент, предпосылки для этого есть».

Собственно говоря, это и есть главный урок первой пандемии, не выучив который, можно легко получить киберкризисис. Как любит повторять Андрей Масалович, известный специалист по киберразведке: «Наш мозг был инсталлирован 40 тыс. лет назад и с тех пор не апгрейдился. Если вы вдруг почувствовали, что вас “патчат”, бегите к врачу, потому что официально новый релиз еще не заявлен. А вот список уязвимостей, он же список смертных грехов, опубликован аж 1,5 тыс. лет назад. И, увы, все они гораздо лучше изучены именно фейк-ньюсмейкерами и социальными инженерами».

В качестве примера «локального кризиса» компания Group-IB назвала ключевые факты киберпреступлений в период пандемии в Москве. 

Это продажа фейковых цифровых пропусков, рассылка не менее фейковых сообщений о штрафах за нарушение карантина, липовые сайты курьерских служб, мошеннические рассылки от имени сервиса Zoom и, конечно, бич последнего времени — подпольные колл-центры.

Охота за крупной дичью

Второй урок заключается в крахе надежд. До последнего момента многие надеялись на усиление мирового сотрудничества в сфере ИБ. Но не случилось.

Руслан Рахметов уверен: «Можно утверждать, что злоумышленники действительно активизировались в период пандемии, но их активность не закончится с окончанием ограничительных мер. Связано это не только с расширившейся аудиторией потребителей онлайн-услуг, но и с тем, что расследование киберпреступлений в России и во всем мире по-прежнему является нетривиальной задачей, требующей значительных усилий и высокой, узкоспециализированной квалификации сотрудников правоохранительных органов».

Но выступление Владимира Путина на пленарной сессии дискуссионного клуба «Валдай 2020» не оставило особых сомнений в том, что Россия и ее союзники расследовать глобальные преступления будут самостоятельно. Президент сказал: «Времена, когда все важнейшие международные вопросы обсуждались и решались, по сути, между Москвой и Вашингтоном, канули в Лету. Но мы рассматриваем установление двустороннего диалога, в данном случае по повестке кибербезопасности, как важный шаг к гораздо более широкой дискуссии с привлечением множества других стран и организаций. Ну а если США не захотят включиться в эту работу, что было бы прискорбно, мы готовы вести ее со всеми заинтересованными партнерами, которых, надеюсь, найдется достаточно».

Наконец, третий тренд-урок в мире «постковидного» киберкриминала: по данным Group-IB, докладам Trend Micro и материалам других исследователей, идет перегруппировка сил андеграунда, а также активизировался поиск более мощной IT-инфраструктуры для масштабных действий.

Аналитики Group-IB пишут: «Текущий год дал жизнь еще большему количеству групп и партнерских программ, а также новым коллаборациям. Так, операторы банковского трояна QakBot присоединились к “охоте на крупную дичь” (Big Game Hunting), воспользовавшись помощью криптолокера ProLock. А еще недавно активно атаковавшая банки и отели группа FIN7 присоединилась к партнерской программе вымогателя REvil». 

«Вопреки общему мнению о том, что киберпреступники “живут” в даркнете, грань между открытым, честным бизнесом и преступным миром не так очевидна, а зачастую сейчас вообще отсутствует», — заявляют в Trend Micro. Почему это происходит? Ответы на эти и множество других вопросов можно найти в громком исследовании «Монетизация киберпреступной инфраструктуры».