Кибератаки – преступления новой эры: коротко о расследовании и мерах профилактики

Кибератаки – преступления новой эры: коротко о расследовании и мерах профилактики
В 2021 году киберпреступники успели загрузить на сайт казахстанского электронного правительства вирус, который пользователи портала скачивали при получении государственных услуг, взломали паспортную информационную систему в Беларуси, атаковали американскую компанию JBS (крупнейший в мире производитель мяса) и спровоцировали введение режима ЧС в одном из округов Германии. Преступники не обошли своим вниманием и российские компании. В августе крупную DDoS атаку успешно отразил Сбер. 8 сентября 2021 года полутораминутному “нападению” со стороны нового ботнета подвергся Хабр. Также в начале сентября этого года стало известно о крупнейшей в истории рунета кибератаке, которой подвергся Яндекс.

Благодаря устройству инфраструктуры Яндекс и проработанной системе информационной безопасности, сервису удалось не только выдержать рекордную DDoS атаку, но даже выдавать ответы настоящим пользователям в момент атаки.

Mẽris против Яндекс – что известно о крупнейшей DDoS атаке в истории рунета
Первые сообщения об атаке на Яндекс появились в сети 7 сентября. Специалисты компании успешно справились с фантастической атакой более чем 21 000 000 запросов в секунду и предотвратили полный отказ системы. Эта кибератака стала рекордной в истории рунета и имеет все шансы занять место в тройке самых крупных DDoS атак в мире.

Расследование атаки ещё не завершено, но в блоге Яндекс уже появились данные о его промежуточных результатах. Яндекс расследует беспрецедентную атаку совместно с компанией Qrator Labs. На сегодняшний день известно, что её источником стал новый ботнет Mẽris (в переводе с латышского на русский – «чума»), о котором пока известно немного. В частности, MikroTik признала , что часть ботнета Mēris была из ее устройств, взломанных ещё в 2018 году (злоумышленники воспользовались одной из уязвимостей RouterOS). Для проверки сетевых устройств компания даже разработала специальную инструкцию для пользователей.

Первые признаки появления в глобальной сети нового агрессивного ботнета были замечены еще в июне текущего года. На тот момент Mẽris располагал примерно 30-ю тысячами хостов. В рамках расследования сентябрьской атаки Яндексу удалось собрать данные уже о 56-ти тысячах устройств, однако специалисты по кибербезопасности уверены, что ботнет не демонстрирует всю свою истинную мощь. По предварительным оценкам уже сейчас Mẽris располагает примерно 200 тысяч устройств, и их число пока растет. Помимо огромного количества задействованных устройств особенностью «Чумы» является их высокая производительность.
Что ещё известно о Mẽris:
  • RPS-ориентированные атаки;
  • ботнет использует конвейерную обработку;
  • подтвержденный открытый порт 5678.
Атаки с чудовищными показателями RPS фиксируются не только в России, аналогичным DDoS атакам уже подверглись компании США и Новой Зеландии. Благодаря схожему «почерку преступника» их на данный момент также относят к деятельности Mẽris.

Как расследуют кибератаки
Любая компания может стать целью киберпреступников. Воспользовавшись «брешами» в информационной безопасности, злоумышленники могут заблокировать серверы, похитить деньги со счетов или украсть важную информацию. Если это уже произошло, в дело вступают специалисты по расследованию киберинцидентов. Единого алгоритма, по которому ведется «следствие», не существует, однако некоторые контрольные точки, которые приходится пройти специалистам, всё-таки есть:
  • сбор информации об инциденте;
  • преобразование данных;
  • анализ собранной информации;
  • сопоставление имеющихся и полученных сведений.
Для того, чтобы выяснить, как именно произошел инцидент, через какое слабое место в «обороне» проникли преступники, а также не допустить аналогичных повторных атак, нужно не только собрать и проанализировать данные информационных систем. При расследовании приходится изучать общие данные о компании, беседовать с персоналом, анализировать сведения, на первый взгляд мало относящиеся к сфере IT-технологий. При этом, если кибератака уже произошла, предотвратить потерю данных/денежных средств или вернуть похищенное удается не всегда.

Как защитить компанию от кибератаки
Современные киберпреступники практически никогда не выбирают свою жертву случайно. Злоумышленники, как правило, готовятся к атаке, анализируют данные о компании, планируют киберпреступление также, как и обычное. Если компания уже выбрана киберпреступниками в качестве объекта для атаки, отменить её не получится. Главная цель организации – устоять и ничего не потерять, оставив преступников ни с чем.

Для обеспечения достаточной защиты в сфере информационной безопасности, необходимо пройти минимум 7 базовых шагов:
  • выявить уязвимые места и компоненты инфраструктуры, подготовить планы реагирования на атаки киберпреступников;
  • разработать методы и способы идентификации атак;
  • выбрать и внедрить меры по ликвидации последствий компьютерных атак, опираясь например, на такой стандарт как ISO 27000 ;
  • предусмотреть резервное копирование для восстановления критичных данных;
  • проводить аудиты информационной безопасности не реже чем 1 раз в год;
  • проводить тестирования на проникновения в условиях приближенных к реальным;
  • защитить рабочие места (в том числе удаленные).
Профилактика в сфере информационной безопасности в современном мире крайне важна. Лучше потратить время и силы на защиту от киберпреступников, чем впоследствии считать убытки от их противоправных действий.
DDoS-атака информационная безопасность кибербезопасность
Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

ITGLOBAL

ITGLOBAL про IT