На протяжении последних двух с половиной лет мы регулярно отмечаем, что более половины успешных атак на организации заканчиваются утечками данных. Во втором полугодии 2024 года этот показатель составил 52%.
В этой статье мы проанализировали данные из авторитетных открытых источников и около 3500 объявлений на теневых ресурсах, чтобы выявить ключевые тенденции, связанные с проблемой утечек данных, рассмотрели отраслевые и региональные особенности, а также трудности, с которыми сталкиваются организации при защите данных. Информацию о первом полугодии можно изучить в предыдущей статье. Более подробно с исследованием можно ознакомиться на сайте Positive Technologies.
Прогноз. Опираясь на свои многолетние наблюдения, мы полагаем, что в 2025 году доля атак на организации с кражей данных может достичь 55%. В случае если в повсеместно используемых программных решениях будут выявлены критически опасные уязвимости нулевого дня, которые массово возьмут на вооружение киберпреступные группировки, показатель может временно повыситься до 60–65%.
Прогноз последствий для компании, допустившей утечку конфиденциальной информации, зависит от множества факторов: характера украденных данных, их объема, готовности пострадавшей организации к реагированию на инциденты, скорости такого реагирования, действующей в стране нормативно-правовой базы. Кроме того, не стоит забывать о возможных отсроченных последствиях. Клиент компании, в которой сегодня произошла утечка, может стать жертвой фишинговой рассылки когда угодно — завтра или спустя несколько лет. Так, если обладатель украденной базы данных в течение какого-то времени пытался ее продать, а потом выложил объявление о бесплатной раздаче, это может спровоцировать лавину фишинга, особенно если персональные данные в бесплатной раздаче принадлежат платежеспособным слоям населения.
Из чего складывается финансовый ущерб от утечки:
оплата услуг по расследованию инцидента, который привел к утечке данных;
убытки из-за оттока клиентов, сорванных сделок и ущерба деловой репутации;
убытки из-за падения цен на акции;
расходы на судебные разбирательства и юридические услуги;
штрафы, налагаемые регуляторами за несоблюдение требований по защите данных;
оплата услуг по кредитному мониторингу и защите от мошенничества для пострадавших клиентов;
выплаты группировке вымогателей, требующей выкуп за неразглашение похищенных данных (в случае если имела место такая кибератака и пострадавшая сторона приняла решение заплатить злоумышленникам);
расходы, связанные с устранением причин, которые привели к утечке, в том числе расходы на дополнительное обучение сотрудников основам кибербезопасности.
Согласно отчету IBM Cost of a Data Breach Report 2024, мировой показатель среднего совокупного ущерба от утечки данных вырос с 4,45 млн в 2023 году до 4,88 млн долларов в 2024-м. По данным от пострадавших организаций, приведенным в аналитическом отчете компании InfoWatch, средний ущерб от утечки информации в России в 2024 году составил 11,5 млн рублей. Согласно же экспертным оценкам, максимальный совокупный ущерб (с затратами на расследование инцидента) может достигать 140 млн рублей.
За рубежом существенная часть ущерба приходится на юридические расходы и выплату штрафов. Согласно ежегодному обзору GDPR Fines and Data Breach Survey, в 2024 году в Европе были наложены штрафы на общую сумму 1,2 млрд евро: наиболее крупным штрафам подверглись технологические компании и социальные сети.
Если речь идет об очень громких и крупных утечках, судебные тяжбы могут длиться годами.
В конце 2024 года Ирландская комиссия по защите данных приняла окончательное решение по делу об утечке персональных данных около 29 млн пользователей популярной соцсети, о которой стало известно более шести лет назад. В результате владелец оштрафован на крупную сумму в 251 млн евро.
Далеко не каждая компания может справиться с подобными убытками. Весной и летом 2024 года на теневом форуме появились объявления о продаже и бесплатной раздаче баз данных миллионов американцев, украденных у крупного брокера данных National Public Data. В них содержались имена, номера социального страхования, телефоны, адреса и e-mail. Сначала злоумышленники пытались продать базу за 3,5 млн долларов, но затем она распространялась бесплатно. Это привело к множественным коллективным искам против головной компании Jerico Pictures, потере доверия клиентов и, в конечном итоге, банкротству. Эксперты называют этот инцидент одной из крупнейших утечек в истории США, которая может спровоцировать волну мошеннических схем.
Основные жертвы утечек данных
Как и в первом полугодии, в пятерку лидеров по числу жертв успешных атак, закончившихся утечками данных, вошли госучреждения (13%), промышленность (10%), IT-компании (10%), финансовые организации (8%) и медицинские учреждения (7%).
Госучреждения
На теневых площадках среди объявлений, связанных с утечками из госучреждений, абсолютным лидером является Азия. Ее доля составила 49%, что на 16 п. п. больше, чем в первом полугодии 2024 года. Почти половина (49%) всех объявлений, связанных с утечками из азиатских госучреждений, пришлась на долю Индонезии.
Каждое пятое объявление, связанное с утечками из госучреждений, пришлось на долю Латинской Америки. Наиболее часто в этом регионе данные утекали из госучреждений в Аргентине (24%), Перу (16%) и Бразилии (16%).
Промышленная отрасль
Промышленность традиционно входит в топ-3 отраслей по количеству успешных кибератак, в результате которых злоумышленникам удалось похитить информацию.
Наиболее частыми жертвами становились азиатские производственные организации.
В октябре 2024 года японский производитель электроники Casio стал жертвой атаки программы-вымогателя. Атака привела к утечке более 200 ГБ данных, в числе которых финансовые, юридические и служебные документы, а также персональные данные сотрудников, клиентов и деловых партнеров. По словам Casio, всего в руки злоумышленников попали данные около 8,5 тыс. человек, преимущественно это сотрудники и деловые партнеры.
В 2024 году киберпреступники проявляли повышенный интерес к автопрому. Во втором полугодии сразу несколько крупных производителей автомобилей стали жертвами кибератак, в результате которых у них утекли данные.
В августе 2024 года хакерская группа ZeroSevenGroup заявила о взломе американского филиала Toyota и разместила 240 ГБ украденных данных на хакерском форуме. Согласно их утверждениям, они украли учетные данные, информацию о сотрудниках и клиентах, финансовые документы, сетевые схемы и другие конфиденциальные материалы. В ноябре 2024 года злоумышленники опубликовали базу данных американского автопроизводителя Ford Motor Company. В результате утечки в открытом доступе оказались данные 44 тыс. клиентов и информация о приобретенных автомобилях.
Среди проанализированных нами объявлений на теневых ресурсах самый дорогой и одновременно самый большой набор файлов, принадлежащий промышленной компании, был оценен автором объявления в 3 млн долларов. Однако в ряде объявлений о продаже уникальных промышленных данных цена договорная, а значит — сумма сделки между покупателем и продавцом может быть гораздо больше.
IT-компании
Злоумышленники по-прежнему серьезно нацелены на кражу информации в этих организациях. По двум главным причинам.
Во-первых, многие IT-компаний выступают в роли подрядчиков услуг и поставщиков программных решений для организаций из других отраслей. Часто периметры IT-подрядчиков защищены слабее, чем инфраструктура их клиентов, например банков или госучреждений. Заполучив доступ к системе подрядчика, злоумышленники могут через нее атаковать клиентов.
Во-вторых, в случае компрометации технологической компании у злоумышленников появляется возможность похитить большие объемы информации, относящейся к коммерческой тайне, к примеру исходный код или техническую документацию, которую можно попытаться выгодно продать в дарквебе. Важно отметить, что от утечек данных не застрахованы даже крупные компании, специализирующиеся на защите от киберугроз.
В сентябре 2024 года гигант в сфере кибербезопасности Fortinet подтвердил, что пострадал от утечки данных после того, как злоумышленник заявил о краже 440 ГБ файлов с сервера SharePoint, принадлежащего компании.
Финансовые организации
Доля финансовых организаций в успешных атаках, закончившихся утечками составила 8%. И снова наибольшее их число случилось в Азии.
Кража персональных и банковских данных ставит под большой удар любую финансовую организацию, грозит ей серьезными штрафами и оттоком клиентов. В связи с этим, как правило, банки и страховые компании имеют неплохой уровень защищенности от кибератак. Однако злоумышленники находят лазейки, например через поставщиков IT-услуг и специализированных банковских решений.
В августе группировка IRLeaks совершила кибератаку на компанию Tosan, которая предоставляет цифровые услуги финансовому сектору Ирана. В результате, чтобы предотвратить утечку данных личных счетов и кредитных карт клиентов более чем 20 банков, киберпреступникам было выплачено 3 млн долларов.
Медицинские учреждения
Медицина входит в список тех отраслей, которые наиболее часто соглашаются платить выкуп вымогателям. Согласно исследованию Microsoft за 2024 год, основанному на опросе 402 медицинских организаций, 67% из них подверглись атаке программ-вымогателей. Среди этих организаций 53% признались в выплате выкупа, средняя сумма которого составила 4,4 млн долларов.
Самая высокая цена, указанная в проанализированных нами объявлениях о продаже данных из медицинских организаций, составила 50 тыс. долларов. Это была база данных азиатского медучреждения, включающая порядка 230 тыс. записей о пациентах. Однако, как и в случае с другими организациями, цена во многих объявлениях о продаже является договорной, а значит — суммы сделок могут быть и выше.
Пиши «попало»… в дарквеб. Анализ дампов, представленных на теневом рынке
После кражи информации из организации злоумышленники могут пытаться монетизировать ее в киберпреступном подполье. На тематических теневых ресурсах регулярно появляются объявления о продаже, раздаче или покупке различного рода информации. Периодически правоохранительные органы закрывают подобные площадки. Например, в ноябре 2024 года стало известно, что американские власти закрыли ресурс PopeyeTools, где продавались ворованные данные, в том числе данные платежных карт, а в декабре американские правоохранители объявили о ликвидации маркетплейса Rydox, на котором торговали украденными данными. Одним из основных форумов для распространения утекших данных является BreachForums. В мае 2024 года ФБР взяло под контроль этот ресурс и его телеграм-каналы, однако две недели спустя форум вновь стал доступен.
Рост спроса на данные
На теневых площадках публикации об утечках преимущественно связаны с раздачей либо продажей баз данных. Количество объявлений о бесплатной раздаче в два раза превышает количество объявлений о продаже данных (60% против 28%).
В то же время во втором полугодии мы отмечаем существенный рост (с 3% до 12%) доли объявлений о покупке данных, причем если в первом полугодии средняя цена, указанная в таких объявлениях, составила 600 долларов, то во втором полугодии она выросла до 1700 долларов. Более половины объявлений о покупке данных связаны с организациями в Азии (36%) и Северной Америке (26%). Наибольшим спросом пользуется информация из финансовых организаций (18%), сферы услуг (16%) и торговли (13%).
Во втором полугодии 2024 года мы обнаружили в дарквебе объявления о покупке исходных кодов программ, использующих алгоритмы искусственного интеллекта (ИИ). Цена в публикациях не была указана и являлась договорной. Цели у авторов таких объявлений могут варьироваться. Например, кто-то может покупать чужой исходный код, чтобы напрямую на его основе или на базе украденных оттуда идей и решений, создавать свои собственные коммерческие проекты с применением технологий ИИ. Еще одна возможная цель покупки — поиск в исходном коде уязвимостей для атак на модели ИИ. Получив исходный код популярной модели и разобравшись, как ее атаковать, киберпреступники могут пробовать проводить атаки на все продукты и проекты, в которых эта модель используется.
Сколько стоят данные
Большое количество данных, которые распространяются свободно, может быть обусловлено несколькими причинами. Во-первых, значительная часть таких данных — это утечки в результате атак хактивистов, которые руководствуются идеологическими соображениями и не преследуют финансовой выгоды. Во-вторых, далеко не все данные, украденные из организаций, оказываются востребованными. Продавец бывает вынужден постепенно снижать цену либо, если покупатель так и не находится, выкладывать данные в публичный доступ. В-третьих, данные могут раздаваться, если имела место кибератака вымогательской группировки и пострадавшая компания отказалась платить выкуп.
Более чем в половине объявлений о продаже (55%) стоимость данных не превышает 1 тыс. долларов. Большая часть приходится на организации сферы услуг (19%), торговли (18%) и онлайн-сервисы (13%). В половине объявлений о продаже (49%) цена не указана и является договорной между продавцом и потенциальным покупателем.
Всего в 6% объявлений указана цена больше 10 тыс. долларов. В основном это данные из финансовых организаций (21%), IT-компаний (17%) и госучреждений (17%).
Самые высокие цены установлены на данные платежных карт, медицинские данные и исходный код. Типовые наборы персональных данных (Ф. И. О., номер телефона, эл. почта) представлены на теневом рынке в большом количестве, в том числе в бесплатных раздачах. По данным DLBI, в 2024 году утекли почти 164 млн уникальных адресов электронной почты (83 млн в 2023 году) и 229 млн уникальных номеров телефонов (153 млн в 2023 году). Это объясняет их сравнительно невысокую стоимость. Средняя цена на простые (не содержащие паспортные, биометрические и другие критически важные данные) базы данных во втором полугодии составила всего 200 долларов.
Утечки становятся более объемными
Во втором полугодии мы наблюдали тенденцию к увеличению размеров баз данных, которые продаются либо раздаются бесплатно в дарквебе. Доля баз данных с количеством строк меньше 10 тыс. сократилась с 20% до 18%, а доля баз данных, в которых более 100 тыс. строк, выросла с 52% до 56%. Это может свидетельствовать о постепенном смещении фокуса киберпреступников с предприятий малого бизнеса на средний.
Если говорить об объеме информации, то во втором полугодии наиболее часто попадались архивы и базы объемом в диапазоне от 1 ГБ до 100 ГБ (41%).
Региональная специфика
В указанный период две трети (66%) всех объявлений об утечках в дарквебе пришлись на три региона — Азию, Северную Америку и Европу.
Азия
Как и в первом полугодии, существенная часть публикаций в дарквебе касалась данных, принадлежащих азиатским компаниям. Среди азиатских стран наиболее часто встречались объявления о раздаче, продаже либо покупке данных из Индии (28%), Индонезии (24%) и Таиланда (10%).
Для правительства Индонезии 2024 год был непростым в вопросах кибербезопасности, несмотря на достижения в области цифровизации. В июне из-за атаки шифровальщика на национальный центр обработки данных произошел сбой в работе ряда государственных служб, а вскоре после этого последовало увольнение одного из директоров Министерства связи и информационных технологий. Во втором полугодии 2024 года мы выявили на теневых ресурсах более сотни объявлений, свидетельствующих об утечках данных из индонезийских госучреждений. В общемировом рейтинге отдельных стран по количеству объявлений на теневых форумах Индонезия поднялась с пятого места на третье, ее доля составила почти 9%, что вдвое больше, чем в первом полугодии.
Высокая доля объявлений, свидетельствующих об утечках данных в индийских организациях, является следствием быстрого темпа цифровизации в стране вкупе с медленным развитием кибербезопасности, о чем мы рассказывали в нашем исследовании, посвященном ландшафту киберугроз в Индии. Помимо этого, в конце 2024 года для Индии мы выпустили отдельное исследование, посвященное анализу теневого рынка киберуслуг. В рейтинге отдельных стран по количеству объявлений на теневых форумах Индия заняла второе место, ее доля составила 10%.
Северная Америка
Выросла (с 10% до 16%) доля объявлений, связанных со странами Северной Америки. Этот регион стал вторым по числу объявлений на теневых площадках, сместив Латинскую Америку на четвертую позицию. Главным образом так произошло за счет утечек из компаний в США. Во втором полугодии Соединенные Штаты стали лидером в рейтинге отдельных стран по количеству объявлений на теневых форумах — их доля составила 15%, что на 6 п. п. больше, чем в первом полугодии. Прежде всего это связано с атаками операторов шифровальщиков, которые крадут данные из скомпрометированных организаций и требуют за них выкуп.
Европа
Доля европейских стран, напротив, снизилась на 5 п. п. и во втором полугодии составила 15%. Более половины всех объявлений, касающихся Европы, пришлось на три страны: Францию (23%), Великобританию (17%) и Испанию (11%). Летние Олимпийские игры 2024, проходившие в Париже в июле-августе, привлекли во Францию множество туристов и болельщиков. В период Олимпиады растет спрос со стороны потребителей на билеты, спортивные товары и атрибутику. На этом фоне страна становится привлекательной целью для кибератак как со стороны хактивистов, так и со стороны финансово мотивированных злоумышленников, что ведет среди прочего к росту утечек данных.
В период проведения Олимпиады во Франции киберпреступники атаковали центральную систему данных Большого дворца (Grand Palais) в Париже и 40 других музеев, угрожая опубликовать похищенную финансовую информацию в случае отказа платить выкуп.
Россия и СНГ
Во втором полугодии 2024 года доля России и других стран СНГ в объявлениях, связанных с утечками, снизилась с 10% до 4%. По сравнению с Азией, Северной Америкой и Европой цены в объявлениях о продаже невысокие — в среднем 450 долларов за набор данных (базу либо файлы), а почти три четверти баз данных (72%) и вовсе раздавались бесплатно. Большая доля дампов в бесплатной раздаче связана с высокой интенсивностью хактивистских атак в этом регионе.
За 2024 год Роскомнадзор зафиксировал 135 случаев распространения в интернете баз данных, содержащих более 710 млн записей о россиянах. Это на 33 случая меньше, чем в 2023 году (по данным Роскомнадзора, в 2023 году было выявлено 168 случаев). Несмотря на это, общий объем утекших персональных данных вырос. Для сравнения: в 2023 году в киберподполье попали порядка 300 млн записей о россиянах.
Больше всего объявлений на теневых ресурсах связано с утечками из магазинов, аптек, онлайн-сервисов, сайтов ресторанов и служб доставки. Часть из них произошла вследствие компрометации подрядных организаций и поставщиков программных продуктов.
В октябре на теневом форуме был опубликован дамп базы данных российских посетителей сети заведений быстрого питания «Бургер Кинг». Автор объявления заявил, что полный дамп содержит порядка 30 млн записей, однако в бесплатную раздачу попали только 5 млн. В их числе — персональные данные и информация о заказах. Как выяснилось впоследствии, данные утекли из-за кибератаки на платформу для автоматизации маркетинга Mindbox.
На теневых ресурсах встречаются и объявления о продаже баз данных из организаций ключевых сфер экономики стран СНГ.
Какие типы данных утекают чаще всего
Как и в первом полугодии, во второй половине 2024 года персональные, учетные данные и коммерческая тайна составили основную массу всех утечек. Рассмотрим динамику доли успешных кибератак на организации, закончившихся кражей этих видов информации.
Персональные данные
На протяжении первых трех кварталов 2024 года мы отмечали снижение доли успешных атак, закончившихся утечками персональных данных (с 37% до 23%), однако в IV квартале их доля немного выросла и достигла 29%. Это самый распространенный «товар» на тематических маркетплейсах: персональные данные предлагаются в 79% объявлений о продаже или бесплатной раздаче информации.
В число крупнейших операторов персональных данных входят госучреждения и телекоммуникационные компании. Компрометация организаций из этих секторов потенциально ведет к многомиллионным утечкам.
В октябре на теневом форуме киберпреступники заявили о взломе компании Free — второго по величине французского интернет-провайдера. По словам злоумышленников, им удалось похитить личные данные почти трети населения Франции (19,2 млн клиентов), в том числе международные номера банковских счетов (IBAN) более 5 млн абонентов.
Средняя цена на базу персональных данных во втором полугодии составила 835 долларов. На формирование цены, по нашим наблюдениям, значительно влияет актуальность дампа, уникальность собранных в нем данных и субъективная оценка их значимости автором объявления.
Учетные данные
На протяжении всего 2024 года мы наблюдали высокую долю утечек учетных данных по сравнению с двумя предыдущими годами. На теневых ресурсах каждое четвертое объявление (25%) связано с покупкой, продажей или бесплатной раздачей баз данных, содержащих логины и пароли. Средняя цена на базу, содержащую учетные данные, составила 1150 долларов.
Преимущественно пароли хранятся в хешированном виде с добавлением соли, однако в случае использования слабой хеш-функции и отсутствия соли злоумышленник может восстановить пароль, задействовав собственные вычислительные ресурсы или воспользовавшись специализированными сервисами. Чаще всего такие недостатки в хранении парольной информации обнаруживаются в небольших интернет-магазинах и онлайн-сервисах. Однако в регионах с невысоким уровнем кибербезопасности подобные бреши встречаются и в крупных организациях, в том числе в госучреждениях.
Злоумышленники проявляют особый интерес к учетным данным IT-специалистов. Многие из них являются сотрудниками технологических компаний, выступающих в роли подрядчиков IT-услуг в организациях из других, в том числе ключевых, сфер экономики.
В декабре специалисты Checkmarx и Datadog Security Labs сообщили о нескольких киберкампаниях, направленных на IT-специалистов и исследователей в области кибербезопасности. Целью злоумышленников было заражение компьютеров жертв бэкдором для кражи приватных ключей SSH, ключей доступа Amazon Web Services и другой конфиденциальной информации. На момент обнаружения эти киберкампании продолжались в течение года. За это время злоумышленники использовали два способа доставки бэкдора. Первым вектором распространения стали фишинговые письма под видом уведомлений об обновлении микрокода процессора. Второй вектор основан на заражении цепочки поставок (supply chain). Используя репозитории на GitHub, злоумышленники распространяли троянизированные пакеты, замаскированные под PoC-эксплойты, и инструмент для валидации логинов и паролей для сайтов на базе WordPress. По данным Datadog Security Labs, через последний злоумышленникам удалось собрать около 390 тыс. учетных данных для доступа к сайтам под управлением WordPress.
Коммерческая тайна
На теневых ресурсах 8% объявлений связаны с покупкой, продажей или бесплатной раздачей данных, составляющих коммерческую тайну, в основном это внутренние конфиденциальные документы и исходный код. Средняя цена на архив со внутренними файлами скомпрометированной компании составила 1500 долларов, на исходный код — 2 тыс. долларов.
В октябре злоумышленник под псевдонимом IntelBroker, ранее взявший на себя ответственность за кражу информации у Apple, AMD и ряда других компаний, выставил на продажу большой объем конфиденциальных данных компании Cisco. По словам хакера, в числе похищенной информации — исходный код, учетные данные, SSL-сертификаты, открытые и закрытые ключи, API-токены и множество других данных. Как выяснилось, доступ к закрытой информации был получен через подрядчика услуг DevOps и разработки ПО. В качестве других жертв киберпреступник называет целый ряд компаний, в числе которых Verizon, AT&T, Bank of America, Barclays, British Telecom, Microsoft.
Рост числа атак через подрядчиков — тренд, который мы отмечали на протяжении всего 2024 года.
В ноябре хакер IntelBroker заявил, что ему удалось скомпрометировать учетную запись на сервере, принадлежащем вендору Nokia, в результате чего был получен доступ к исходному коду, некоторым учетным данные, ключам и ряду другой конфиденциальной информации.
Методы атак, в результате которых происходили утечки данных
Использование вредоносного ПО
Во втором полугодии в 71% атак на организации, которые закончились утечками данных, использовалось вредоносное ПО, в 38% из них — шифровальщики. Среди хакерских группировок наиболее агрессивным вымогателем стала группа RansomHub, которая существует около года (с февраля 2024 года) и активно использует модель двойного вымогательства. В таких кибератаках сначала похищаются данные, после чего шифруется инфраструктура, и, если компания отказываются платить, ее информация публикуется на DLS-ресурсе.
Наряду с RansomHub высокую активность во втором полугодии проявляли группировки LockBit, Play, Akira, IncRansom, Rhysida и Medusa. В числе жертв утечек данных, случившихся по вине шифровальщиков, такие крупные компании, как американское издание The Washington Times, производитель микросхем Microchip Technology, мексиканский оператор аэропортов Grupo Aeroportuario del Centro Norte.
В 28% атак с использованием вредоносного ПО, повлекших за собой утечку данных, использовалось шпионское ПО, или инфостилеры. Большинство из них распространяется по модели malware as a service (MaaS), которая подразумевает, что приобретатель (аффилированное лицо) получает документацию, техническую поддержку и регулярные обновления, что существенно снижает порог вхождения в киберпреступный бизнес. По результатам анализа маркетплейса журналов, представленных в отчете The State of Cyber Security 2025 компании Check Point, наибольшей популярностью пользуется инфостилер Lumma (51% журналов), на втором и третьем месте — RisePro (15%) и Vidar (13%) соответственно. Данные, похищенные инфостилерами с пользовательских устройств, продаются на теневых площадках либо используются для дальнейших кибератак.
В июле 2024 года злоумышленники взломали сервер компании Otelier, используя учетные данные сотрудника, которые им удалось извлечь из журналов инфостилера. Otelier — это платформа для управления гостиничным бизнесом, которую используют тысячи отелей по всему миру. В результате инцидента предположительно утекли персональные данные миллионов постояльцев и сведения о бронировании номеров в таких крупных гостиничных сетях, как Marriott, Hilton и Hyatt.
Социальная инженерия
Во втором полугодии в 60% успешных атак на организации, закончившихся утечками данных, использовались методы социальной инженерии. Это второй после вредоносного ПО метод в таких атаках.
Фишинговые рассылки по электронной почте по-прежнему остаются основным каналом распространения вредоносного ПО, в частности шифровальщиков и инфостилеров.
В декабре стало известно об утечке личной, медицинской и финансовой информации около 5,6 млн пациентов и сотрудников медицинской компании Ascension, после того как сотрудник открыл фишинговое письмо и загрузил вредоносное ПО.
В ближайшие несколько лет, благодаря быстрым темпам развития новых сценариев социальной инженерии за счет достижений в сфере искусственного интеллекта, мы ожидаем рост доли этого метода в ландшафте киберугроз.
Эксплуатация уязвимостей
В 30% атак, в результате которых были похищены конфиденциальные данные, злоумышленники эксплуатировали различные уязвимости. Прежде всего речь идет об эксплуатации веб-уязвимостей в атаках на различные онлайн-сервисы и интернет-магазины. К примеру, осенью стало известно, что несколько тысяч интернет-магазинов на базе Adobe Commerce и Magento были скомпрометированы путем эксплуатации уязвимости XML External Entity (XXE), получившей название CosmicSting (CVE-2024-34102). Уязвимость позволяет внедрять вредоносный JavaScript-код (веб-скиммер) в блоки, обрабатывающие оформление заказов, и похищать данные, которые вводят покупатели на этапе совершения покупок. Это могут быть учетные данные, данные платежных карт, почтовые адреса, адреса электронной почты и номера телефонов.
В IV квартале стало известно о двух уязвимостях (CVE-2024-50623 и CVE-2024-55956) в системах защищенной передачи данных (managed file transfer, MFT) от компании Cleo. Группировка Cl0p, известная атаками через эксплуатацию уязвимостей в подобного рода решениях, взяла на себя ответственность за кражу данных из ряда компаний, в которых использовались уязвимые системы. В 2023 году мы отмечали, что массовые атаки на MFT-решения стали одной из причин всплеска утечек персональных данных.
Компрометация учетных данных
Под конец года доля утечек в результате компрометации учетных данных, выросла до 19%. Причинами таких утечек могут стать незащищенные ключи API или токены аутентификации.
В ноябре 2024 года стало известно, что жертвой утечки стала не менее известная организация — французский производитель электротехнического оборудования Schneider Electric. Используя скомпрометированные учетные данные, группировка вымогателей Hellcat получила доступ к серверу компании c Atlassian Jira, в результате чего в руки киберпреступников попали 40 ГБ данных. Позже злоумышленники опубликовали архив с украденными данными на своем DLS-ресурсе. В 2024 году это уже вторая крупная утечка данных из компании Schneider Electric.
Кризис защиты данных: почему старые методы больше не работают
Благодаря повсеместной цифровой трансформации, объем данных, генерируемых и обрабатываемых человечеством, стремительно растет. Согласно прогнозу, в 2025 году он может достичь порядка 180 ЗБ (один зеттабайт (1 ЗБ) равен одному триллиону гигабайт.). К тому же за последние 10–15 лет инфраструктура данных претерпела значительные изменения. Конфиденциальные сведения в организациях представлены в самых различных форматах и распределены между многочисленными системами. Традиционные средства обеспечения безопасности данных, разработанные еще в 2000-х годах, не успевают за динамикой технологического прогресса, что и становится одной из причин растущего числа утечек данных и инцидентов кибербезопасности.
По данным глубинных интервью, которые мы проводим в рамках программы «Ранние ПТашки», в 100% случаев компании отмечают эту проблему. Информация, которую хранит и обрабатывает современная организация, распределена по сегментам IT-инфраструктуры, ресурсам партнеров и подрядчиков, приватным и публичным облачным сервисам. Данные в этой инфраструктуре существуют в различных форматах: таблицах, текстовых документах, изображениях, видеозаписях и других типах. Классические методы защиты уже не справляются с этим многообразием, поскольку каждое из них «заточено» под конкретный тип хранилища, а ручной процесс сбора информации обо всех данных в инфраструктуре становится все более трудоемким.
Процесс классификации данных в компаниях слабо автоматизирован. Наиболее распространенными остаются методы классификации, основанные на регулярных выражениях. Они обладают существенными недостатками: высокая частота ложных срабатываний, ограниченность в обработке данных с высокой энтропией (например, имен, паролей и персональных идентификаторов), сложность их поддержки.
Накопившиеся проблемы требуют смены подхода к защите: необходимо устранить отставание старых методов. Так, в начале 2020-х годов появилась концепция data security platform (DSP). Она подразумевает защиту самих данных, а не места их хранения. Это означает, что компании должны в первую очередь понимать, какие данные для них критически важны, и выявлять существующие в их защите недостатки, а место нахождения и форма хранения информации становятся второстепенными факторами.
Заключение
Вопросы, связанные с технической и правовой защитой конфиденциальных данных от утечек, были и остаются крайне актуальными. Высокая интенсивность хактивистских атак вследствие напряженной геополитической обстановки в ряде регионов, неуемный аппетит операторов программ-вымогателей, промышленный и прогосударственный кибершпионаж ведут к процветанию маркетплейсов данных, несмотря на непрерывную борьбу с ними со стороны правоохранительных органов.
Компаниям как никогда важно извлекать уроки из прошлых утечек и использовать эти знания для укрепления своей защиты. Организации, допускающие повторные утечки, рискуют столкнуться с большими штрафами и непоправимым репутационным ущербом. Чтобы этого не допустить, мы советуем использовать современные средства и технологии защиты информации, которые помогут избежать компрометации сети и устройств пользователей. В их числе:
межсетевые экраны для глубокой фильтрации трафика (next generation firewall, NGFW);
средства защиты веб-приложений (web application firewall, WAF);
системы управления информацией и событиями безопасности (security information and event management, SIEM);
системы поведенческого анализа сетевого трафика (network traffic analysis, NTA);
изолированные среды для анализа вредоносных объектов (sandbox, песочницы);
решения для обнаружения и реагирования на события, связанные с вредоносной активностью на конечных узлах (endpoint detection and response, EDR), и их современные расширенные версии (extended detection and response, XDR);
системы контроля привилегированных учетных записей (privileged access management, PAM).
Кроме того, мы советуем обратить внимание на следующие рекомендации.
Регулярно проводите аудит периметра инфраструктуры на наличие уязвимостей и неиспользуемых общедоступных сервисов.
Своевременно обновляйте программное обеспечение, используйте только актуальные версии ПО. Это позволит избежать компрометации инфраструктуры вследствие эксплуатации известных уязвимостей.
Не храните конфиденциальные данные в открытом виде. При хранении файлов с конфиденциальной информацией рекомендуется использовать зашифрованные разделы или контейнеры, для доступа к которым используются стойкие пароли. Для хранения и использования учетных данных рекомендуется использовать менеджер паролей.
Установите требования к минимальной сложности паролей, исключающие возможность использования словарных комбинаций. Внедрите защиту учетных данных с помощью Credential Guard.
Используйте многофакторную аутентификацию для получения доступа к критически важным ресурсам. Это снизит риск утечки, если учетные данные будут скомпрометированы.
Повышайте уровень осведомленности сотрудников в вопросах кибербезопасности. Согласно отчету Verizon 2024 Data Breach Investigations Report, 68% утечек связаны с человеческим фактором. Сценарии фишинговых атак становятся все более сложными и изощренными, в том числе за счет использования искусственного интеллекта, поэтому необходимо быть бдительными и не попадаться на уловки кибермошенников.
Переходите на современные средства защиты от утечек данных. Инфраструктура данных представляет собой сложную систему со множеством внутренних связей и высокой динамикой изменений. Чтобы обеспечить защиту такой инфраструктуры, необходимо единое решение, которое способно проводить ее инвентаризацию, классифицировать информацию по уровню значимости и защищать ее независимо от структурированности и места хранения.
Яна Авезова
Старший аналитик департамента аналитических исследований, Positive Technologies
Автор: ptsecurity
