В 2021 году киберпреступники успели загрузить на сайт казахстанского электронного правительства вирус, который пользователи портала скачивали при получении государственных услуг, взломали паспортную информационную систему в Беларуси, атаковали американскую компанию JBS (крупнейший в мире производитель мяса) и спровоцировали введение режима ЧС в одном из округов Германии. Преступники не обошли своим вниманием и российские компании. В августе крупную DDoS атаку успешно отразил Сбер. 8 сентября 2021 года полутораминутному “нападению” со стороны нового ботнета подвергся Хабр. Также в начале сентября этого года стало известно о крупнейшей в истории рунета кибератаке, которой подвергся Яндекс.
Благодаря устройству инфраструктуры Яндекс и проработанной системе информационной безопасности, сервису удалось не только выдержать рекордную DDoS атаку, но даже выдавать ответы настоящим пользователям в момент атаки.
Mẽris против Яндекс – что известно о крупнейшей DDoS атаке в истории рунета
Первые сообщения об атаке на Яндекс появились в сети 7 сентября. Специалисты компании успешно справились с фантастической атакой более чем 21 000 000 запросов в секунду и предотвратили полный отказ системы. Эта кибератака стала рекордной в истории рунета и имеет все шансы занять место в тройке самых крупных DDoS атак в мире.
Расследование атаки ещё не завершено, но в блоге Яндекс уже появились данные о его промежуточных результатах. Яндекс расследует беспрецедентную атаку совместно с компанией Qrator Labs. На сегодняшний день известно, что её источником стал новый ботнет Mẽris (в переводе с латышского на русский – «чума»), о котором пока известно немного. В частности, , что часть ботнета Mēris была из ее устройств, взломанных ещё в 2018 году (злоумышленники воспользовались одной из уязвимостей RouterOS). Для проверки сетевых устройств компания даже разработала специальную инструкцию для пользователей.
Первые признаки появления в глобальной сети нового агрессивного ботнета были замечены еще в июне текущего года. На тот момент Mẽris располагал примерно 30-ю тысячами хостов. В рамках расследования сентябрьской атаки Яндексу удалось собрать данные уже о 56-ти тысячах устройств, однако специалисты по кибербезопасности уверены, что ботнет не демонстрирует всю свою истинную мощь. По предварительным оценкам уже сейчас Mẽris располагает примерно 200 тысяч устройств, и их число пока растет. Помимо огромного количества задействованных устройств особенностью «Чумы» является их высокая производительность.
Что ещё известно о Mẽris:
- RPS-ориентированные атаки;
- ботнет использует конвейерную обработку;
- подтвержденный открытый порт 5678.
Атаки с чудовищными показателями RPS фиксируются не только в России, аналогичным DDoS атакам уже подверглись компании США и Новой Зеландии. Благодаря схожему «почерку преступника» их на данный момент также относят к деятельности Mẽris.
Как расследуют кибератаки
Любая компания может стать целью киберпреступников. Воспользовавшись «брешами» в информационной безопасности, злоумышленники могут заблокировать серверы, похитить деньги со счетов или украсть важную информацию. Если это уже произошло, в дело вступают специалисты по расследованию киберинцидентов. Единого алгоритма, по которому ведется «следствие», не существует, однако некоторые контрольные точки, которые приходится пройти специалистам, всё-таки есть:
- сбор информации об инциденте;
- преобразование данных;
- анализ собранной информации;
- сопоставление имеющихся и полученных сведений.
Для того, чтобы выяснить, как именно произошел инцидент, через какое слабое место в «обороне» проникли преступники, а также не допустить аналогичных повторных атак, нужно не только собрать и проанализировать данные информационных систем. При расследовании приходится изучать общие данные о компании, беседовать с персоналом, анализировать сведения, на первый взгляд мало относящиеся к сфере IT-технологий. При этом, если кибератака уже произошла, предотвратить потерю данных/денежных средств или вернуть похищенное удается не всегда.
Как защитить компанию от кибератаки
Современные киберпреступники практически никогда не выбирают свою жертву случайно. Злоумышленники, как правило, готовятся к атаке, анализируют данные о компании, планируют киберпреступление также, как и обычное. Если компания уже выбрана киберпреступниками в качестве объекта для атаки, отменить её не получится. Главная цель организации – устоять и ничего не потерять, оставив преступников ни с чем.
Для обеспечения достаточной защиты в сфере информационной безопасности, необходимо пройти минимум 7 базовых шагов:
- выявить уязвимые места и компоненты инфраструктуры, подготовить планы реагирования на атаки киберпреступников;
- разработать методы и способы идентификации атак;
- выбрать и внедрить меры по ликвидации последствий компьютерных атак, опираясь например, на такой стандарт как ;
- предусмотреть резервное копирование для восстановления критичных данных;
- проводить не реже чем 1 раз в год;
- проводить в условиях приближенных к реальным;
- защитить рабочие места (в том числе удаленные).
Профилактика в сфере информационной безопасности в современном мире крайне важна. Лучше потратить время и силы на защиту от киберпреступников, чем впоследствии считать убытки от их противоправных действий.
