20/07/23
В Positive Technologies проанализировали угрозы информационной безопасности Ближнего Востока[1] и выявили заметный рост числа кибератак на критическую информационную инфраструктуру и предприятия в этом регионе. Большинство атак оказались целевыми, среди организаций чаще страдают государственные учреждения. Наблюдается стремительный рост количества атак шифровальщиков.
Согласно анализу, государственные учреждения Ближнего Востока являются особо привлекательными целями для киберпреступников: на них приходится 22% общего числа атак на организации, при этом 56% случаев — это атаки APT-группировок. Злоумышленники, используя широкий арсенал вредоносного ПО и эксплойтов, проникают в инфраструктуру жертвы и остаются внутри на протяжении длительного времени с целью кибершпионажа.
Предприятия промышленного сектора также оказываются под угрозой (16% инцидентов), поскольку они имеют ценную информацию, являются объектами критической инфраструктуры и значительно влияют на экономику региона. Злоумышленники часто используют социальную инженерию для получения доступа к системам жертв (33%), а вредоносное ПО для удаленного управления (62%) и ПО, уничтожающее данные (31%), — инструменты, наиболее часто используемые в атаках на этот сектор.
По данным аналитиков, 78% кибератак на организации в Ближнем Востоке направлены на компьютеры, серверы и сетевое оборудование. Злоумышленники компрометируют системы загрузкой вредоносов или эксплуатацией уязвимостей для кражи конфиденциальной информации или для нарушения стабильной работы устройств.
Вредоносное ПО играет ключевую роль в кибернападениях на учреждения (использовалось в 58% атак на организации и в 70% атак на частных лиц). ВПО для удаленного управления, которое позволяет злоумышленникам получить полный контроль над компрометированным устройством, является самым популярным типом вредоносов. Кроме того, шпионские программы, часто маскирующиеся под легитимные приложения, широко применяются в атаках на частных лиц.
Особенностью кибератак на Ближнем Востоке стало применение вайперов, которые уничтожают файлы на скомпрометированных устройствах. Крайне опасно попадание вайперов на устройства автоматизированных систем управления технологическим процессом (АСУ ТП), так как это может привести к нарушению производства и авариям.
Особое внимание эксперты обращают на рост активности группировок вымогателей, которые стали одной из главных угроз. Число инцидентов с шифровальщиками в I квартале 2023 года в мире выросло на 77% по сравнению с аналогичным периодом предыдущего года. Страны Персидского залива, включая ОАЭ, Саудовскую Аравию и Кувейт, — наиболее атакуемые в Ближневосточном регионе.
«По нашим данным, 83% успешных кибератак в странах Ближнего Востока имели целенаправленный характер, — говорит старший аналитик Positive Technologies Федор Чунижеков. — Большинство нападений осуществляется с использованием социальной инженерии, путем распространения вредоносного ПО и эксплуатации уязвимостей программного обеспечения. В 2023 году наиболее актуальными угрозами безопасности для стран Ближнего Востока являются кибератаки на правительственные учреждения, критическую инфраструктуру и атаки с использованием фишинга и методов социальной инженерии. Активность хактивистов[2] также представляет опасность: их действия могут привести к утечке конфиденциальных данных, нарушить работу организации и даже повлиять на принятие важных решений».
Эксперт отмечает, что увеличение числа киберпреступных группировок и кибератак на Ближнем Востоке привело к необходимости усилить защищенность организаций: согласно прогнозу International Data Corporation, расходы на обеспечение безопасности увеличатся на 8% в 2023 году, при этом наибольшая часть расходов (41%) будет направлена на программное обеспечение. Руководства ряда стран понимают серьезность угроз и принимают меры для регулирования киберпространства. Например, в Катаре и Бахрейне приняли законы о защите персональных данных, а в Объединенных Арабских Эмиратах установили более строгие стандарты конфиденциальности и защиты информации. Такие меры направлены на то, чтобы обеспечить безопасность и повысить осведомленность о важности защиты данных.
Специалисты Positive Technologies рекомендуют предприятиям промышленного сектора и государственным учреждениям принимать все необходимые меры для защиты своих информационных систем, например внедрять комплексный результативный подход к кибербезопасности. Он направлен на построение системы постоянной и автоматизированной защиты от недопустимых событий и предполагает их определение и верификацию, обновление программного обеспечения, обучение сотрудников правилам ИБ, постоянный мониторинг и обнаружение угроз с помощью современных средств защиты информации, таких как:
- межсетевые экраны уровня приложения;
- системы класса SIEM (security information and event management) для отслеживания и анализа событий безопасности;
- решения класса XDR (extended detection and response) для своевременного реагирования;
- NTA-решения (network traffic analysis) для глубокого анализа трафика и обнаружения вредоносной активности;
- современные песочницы для статистического и динамического анализа угроз, например сложного вредоносного ПО;
- системы класса VM (vulnerability management) для автоматизации управления активами, выявления и исправления уязвимостей в инфраструктуре в зависимости от степени их важности.
Кроме того, помочь организациям выстроить процесс непрерывного анализа защищенности сервисов и оптимизировать затраты на безопасность могут платформы bug bounty.
С исследованием можно ознакомиться на сайте Positive Technologies.
[1] Под Ближним Востоком в отчете понимаются такие страны, как Бахрейн, Египет, Израиль, Иордания, Ирак, Иран, Йемен, Катар, Кипр, Кувейт, Ливан, Объединенные Арабские Эмираты (ОАЭ), Оман, Палестина, Саудовская Аравия, Сирия.
[2] Злоумышленники, которые используют кибератаки для привлечения внимания к социальным и политическим проблемам.
