Год красного локдауна — как COVID-19 повлиял на кибербезопасность

Смотрим на год, прошедший с начала локдауна, через призму угроз IT и рассказываем, какой след оставила пандемия в этой сфере.

Массовый переход на удаленную работу, атаки на здравоохранение и фишинг на тему коронавируса — ключевые события года пандемии для специалистов по ИБ

В марте 2020-го эпидемия COVID-19 охватила более 100 стран и официально получила статус пандемии. Уже год мир борется с небывалым вирусом. Кроме очевидных последствий для здоровья отдельных людей и экономик целых стран, его распространение вызвало внезапные и радикальные перемены в повседневной жизни миллионов: работа и учеба переехали на дом, совещания с коллегами и встречи с друзьями сменились видеоконференциями. Массовый переход в онлайн обострил проблемы кибербезопасности. Мы решили разобраться, как изменился за этот год ландшафт цифровых угроз для бизнеса и простых пользователей.

Угрозы кибербезопасности в домашнем офисе

Пожалуй, главное изменение в трудовом процессе — вынужденный переход на удаленку. Наше глобальное исследование, проведенное в апреле 2020 года, показало, что почти половина из 6000 опрошенных никогда ранее не работала из дома. При этом в 73% случаев работодатели не проводили никаких специальных тренингов по безопасному взаимодействию с корпоративными ресурсами через Интернет, которые могли бы снизить число инцидентов, обусловленных человеческим фактором. Рисков прибавилось и из-за снижения контроля за устройствами, ПО и действиями пользователей со стороны ИТ-служб компаний.

Домашнее оборудование

Запретив посещать офисы, многие компании не обеспечили сотрудников корпоративным оборудованием устройствами, а разрешили им работать и подключаться к офисной IT-инфраструктуре с домашних устройств, зачастую слабозащищенных. Согласно опросу, на личных компьютерах дома работали 68% респондентов. Осенью мы провели еще одно исследование и узнали, что таких людей стало еще больше — 80% опрошенных использовали домашние компьютеры для работы, несмотря на то, что больше половины (51%) респондентов работодатели обеспечили всей необходимой техникой.

На личных же машинах удаленные сотрудники и развлекались: рубились в онлайн-игры (31%) и смотрели фильмы (34%). Впрочем, корпоративные ноутбуки и смартфоны многие тоже использовали не по назначению. Например, 18% респондентов смотрели на них контент для взрослых. Кибермошенники активно эксплуатировали возросший интерес к онлайн-развлечениям, пытаясь заманить пользователей на поддельные сайты и убедить их скачать зловред под видом фильма или установочного файла. 61% пользователей, опрошенных осенью, признались, что скачивали с торрентов программное обеспечение, 65% — музыку и 66% — фильмы. По данным нашей телеметрии, самыми популярными наживками весной 2020 года были игра Minecraft и сериал «Очень странные дела».

Незащищенные каналы для удаленной работы

Если в офисе за защитой интернет-канала присматривают IT-администраторы, то при работе из дома каждый сотрудник настраивает свои роутеры и сети сам — это повышает риски безопасности.

Так, с марта по апрель 2020 года число атак на незакрытые порты RDP, самого популярного протокола для удаленного подключения к компьютерам под управлением Windows, выросло в России в 10 раз, а в США — в 7 раз.

Уязвимости инструментов для совместной работы

Если в офисе править документы и ходить на совещания можно было лично, то в мире удаленной работы резко возрос спрос на программы для видеоконференций и средства совместной работы с файлами. Рост спроса, как и следовало ожидать, привлек повышенный интерес кибермошенников.

В легальном ПО для видеоконференций также были обнаружены дыры. Так, год назад в корпоративном мессенджере Microsoft Teams закрыли уязвимость, через которую взломщик мог получить доступ ко всем учетным записям в организации. Примерно в то же время разработчики Zoom для macOS исправили ошибки, которые позволяли захватить контроль над устройством.

Для совместной работы с документами и обмена файлами сотрудники нередко использовали личные аккаунты на бесплатных сервисах, например Яндекс.Диск и Google Docs. Как правило, для них недоступно централизованное управление правами, которое позволило бы защитить конфиденциальные данные. Кроме того, известны случаи, когда содержимое документов из таких хранилищ попадало в поисковую выдачу.

Медики под прицелом злоумышленников

В период пандемии, когда на медицинскую сферу легла колоссальная нагрузка, киберпреступники пытались атаковать профильные министерства, больницы и даже непосредственно врачей.

Так, в марте 2020 года серверы Министерства здравоохранения и социальных служб США (HHS) подверглись массированной DDoS-атаке. В том же месяце пострадали базы данных Университетской клиники в Брно — одного из крупнейших центров по анализу крови на COVID-19 в Чехии. В результате врачи не могли работать с тестами на коронавирус и даже отменили несколько хирургических операций.

Организации, ведущие борьбу с COVID-19, становились жертвами целевых атак продвинутых киберпреступников. Есть подтверждения тому, что в сентябре 2020 года участники группировки Lazarus атаковали фармкомпанию, которая разрабатывала вакцину от коронавируса, а месяцем позже они переключились на профильное министерство.

Мишенью стали не только медицинские организации, но и отдельные сотрудники. В Великобритании мошенники выманивали у медработников логины и пароли от электронной почты, предлагая зарегистрироваться на несуществующий семинар по теме «Смертельный вирус COVID-19».

Мешали работе системы здравоохранения и те, кто, казалось бы, должен понимать угрозу, — сотрудники профильных компаний. Так, весной прошлого года смещенный с должности вице-президента американской компании Stradis Healthcare мужчина на протяжении нескольких месяцев срывал поставки средств индивидуальной защиты для врачей из мести за увольнение. По данным ФБР, ему удалось сохранить секретную учетную запись, через которую он и саботировал работу бывших коллег. В январе 2021 года стало известно, что ему дали год тюрьмы.

Фишинг на тему COVID-19

Пока правительства стран по всему миру боролись с COVID-19 и разрабатывали меры по поддержке бизнеса и граждан, кибермошенники пытались извлечь выгоду из страха перед вирусом и потребности в помощи. Согласно нашему опросу, четверть пользователей получала вредоносные электронные письма на темы, связанные с COVID-19.

Фальшивые письма от ведомств и клиентов

К примеру, мошенники рассылали поддельные письма от имени Центра по контролю и профилактике заболеваний (CDC). Предлагая заполнить сводку о недавних случаях заболевания коронавирусом среди соседей, жертв просили перейти по ссылке и ввести логин и пароль от электронной почты. Учетные данные попадали в руки преступников.

Во время волны локдаунов возросло число писем, маскирующихся под запросы клиентов на поставку товаров. Чтобы придать им достоверность, злоумышленники жаловались на «проблемы с логистикой из-за COVID-19» или же торопили с обработкой посылки, ссылаясь на сбои у китайских контрагентов. Во вложениях таких писем обычно содержался троян или бэкдор, которые позволяли преступникам дистанционно управлять зараженной машиной.

Фейковые выплаты по COVID-19

По нашим данным, в сравнении с предыдущим годом в 2020-м мошенники в пять раз чаще рассылали вредоносные письма о якобы положенных получателям социальных выплатах и пособиях. Отправители подписывались, опять же, правительственными ведомствами, Международным валютным фондом и даже ВОЗ.

Под новой оберткой чаще всего скрывалась классическая схема: пообещать жертве компенсацию и попросить небольшую комиссию за перевод.

Киберпреступники также использовали для наживы вполне реальную новость о том, что Facebook раздает гранты малому бизнесу. Со ссылкой на нее они заявляли, будто выплаты положены всем пользователям популярной соцсети. В заявке у жертвы просили логин и пароль от аккаунта, адрес, номер социального страхования и фото удостоверения личности — набор, за который можно получить неплохую цену на черном рынке.

Вместо итогов: как защититься

Хотя за год пандемии злоумышленники и не придумали кардинально новых киберпреступных схем, они активно эксплуатировали тему COVID-19. И поскольку большая часть работы переместилась в онлайн, число атак в Интернете закономерно выросло.

Чтобы не стать их жертвой, мы рекомендуем ознакомиться с нашей подборкой текстов о том, как защитить себя на удаленной работе. И несколько универсальных советов напоследок:

  • Не переходите по ссылкам от незнакомцев и не загружайте файлы из писем, если не уверены в надежности отправителя.
  • Пользуйтесь для работы корпоративными решениями, одобренными вашей компанией, и не забывайте о правильной настройке программ и устройств.
  • Попросите работодателя установить на корпоративные устройства надежную защиту и позаботьтесь о безопасности личных компьютеров и смартфонов.
Советы