Positive Technologies

Утечки конфиденциальных данных из организаций – 1-е полугодие 2024

Утечки конфиденциальных данных из организаций – 1-е полугодие 2024

Ирина Зиновкина

Ирина Зиновкина

Руководитель направления аналитических исследований Positive Technologies

Анна Голушко

Анна Голушко

Старший аналитик направления аналитических исследований Positive Technologies

Виктор Рыжков

Виктор Рыжков

Руководитель развития бизнеса по защите данных Positive Technologies

Введение

Утечка конфиденциальных данных является наиболее распространенным последствием успешных кибератак на организации. По нашим данным, более половины успешных атак на организации в 2023 и 2024 годах привели к утечкам.

Конфиденциальные данные представляют особую ценность для компаний, поскольку позволяют им иметь определенные конкурентные преимущества на рынке товаров и услуг или же обеспечивают достижение организациями стратегических целей. Несанкционированное раскрытие критичных для организации и ее клиентов и контрагентов сведений может являться одним из недопустимых событий (НС) и, как правило, ведет к реализации других НС, таких как финансовые потери, прерывание бизнес-процессов или работоспособности отдельных систем, последующие атаки на контрагентов и так далее. Кроме того, особое место среди информации, подлежащей защите, занимают персональные данные граждан — клиентов и сотрудников, поскольку абсолютное большинство компаний мира в том или ином виде и объеме обрабатывает личные данные, а их утечка ведет ко многим неприятным последствиям как для частных лиц, так и для компаний.

Интерес же злоумышленников к конфиденциальным данным различных компаний обусловлен возможностью получения значительной финансовой выгоды — например, за счет вымогательства денежных средств в обмен на неразглашение украденных данных, проведения мошеннических операций и фишинговых кампаний с использованием личных данных частных лиц или же за счет продажи данных на теневом рынке. Кроме того, обостренная геополитическая обстановка способствует развитию кибершпионажа и хактивизма, целью которых является нарушение стабильной работы инфраструктуры и публикация украденных данных в открытом доступе.

В этом исследовании расскажем подробнее о ключевых трендах в утечках данных, наблюдаемых нами по результатам первого полугодия 2024 года, о том, к каким последствиям и недопустимым событиям они приводят, о методах проникновения киберпреступников в инфраструктуру и о причинах, которые помогают злоумышленнику в успешном извлечении конфиденциальных данных из системы.

Ключевые тренды и цифры

Подводя итоги первой половины 2024 года, можно отметить следующие основные тенденции:

  • Каждая вторая успешная атака на организации в первом полугодии 2024 года привела к утечке конфиденциальных данных. При этом атаки на финансовые организации и медицинские учреждения приводили к утечке чаще всего — данные были украдены в четырех из пяти успешных атак на организации этих отраслей.
  • Чаще всего жертвами успешных атак, повлекших утечку конфиденциальной информации, оказывались государственные органы. На их долю пришлось 13% таких атак, что на 3 п.п. выше по сравнению с аналогичным периодом прошлого года. Отдельно стоит отметить, что утечки из государственных учреждений происходили в том числе и вследствие утечек у подрядчиков и контрагентов.
  • Общее количество утечек конфиденциальной информации незначительно, на 4 п. п., снизилось по сравнению с предыдущим полугодием — при этом 2024 год может стать рекордным по количеству информации, содержащейся в скомпрометированных базах данных.
  • В первом полугодии 2024 года отмечен всплеск утечек учетных данных. Доля аутентификационной информации среди утечек других типов информации в первой половине 2024 года увеличилась на 9 п. п. по сравнению с аналогичным периодом прошлого года и достигла рекордных 21%. ИТ-компании являются одними из лидеров по утечке учетных данных, что приводит к дальнейшим атакам на их клиентов.
  • Чаще всего в результате успешных атак в публичный доступ снова попадали персональные данные — на их долю приходится 31% от всех украденных у организаций данных в первой половине 2024 года. Однако общая доля утечек персональных данных из организаций в первом полугодии значительно — на 15% — снизилась по сравнению c аналогичным периодом прошлого года, где мы наблюдали всплеск таких инцидентов (в том числе ввиду массовых атак на системы защищенной передачи данных).
  • Утечка коммерческой тайны и информации ограниченного доступа занимает второе место в рейтинге украденных данных. Доля утечек подобной информации показала рост на 3 п. п. по сравнению с прошлым полугодием и составила 24% по итогам первой половины 2024 года. При этом госучреждения, ИТ-компании, промышленный сектор и транспортные компании сохраняют лидерство — каждая третья утечка данных в этих отраслях содержала подобные сведения.
  • В первом полугодии 2024 года действия злоумышленников в ряде успешных атак (в том числе на ИТ-компании) были направлены на кражу исходного кода, что может повлечь за собой негативные последствия не только для компании-разработчика, но и для ее клиентов.
  • Вымогатели не отступают — шифровальщики применялись злоумышленниками практически в каждой третьей успешной атаке на организации, которые закончились утечкой конфиденциальной информации. При этом общий тренд на рост количества атак с применением ВПО для удаленного управления подтверждается и в утечках.

Последствия утечек данных для организаций

Утечка конфиденциальных данных является недопустимым событием для организаций и может привести к ряду крайне негативных последствий.

Недопустимое событие — событие, возникшее в результате кибератаки, которое делает невозможным достижение операционных и (или) стратегических целей организации или приводит к значительному нарушению ее основной деятельности.

По данным исследования SANS и CrashPlan, наибольшие опасения у организаций вызывают репутационные риски, которые могут наступить в случае утечки информации. В результате компании могут потерять клиентов, долю на рынке или стоимость акций. Например, летом 2023 года крупная торговая компания Estee Lauder стала жертвой масштабной кибератаки программ-вымогателей, в результате чего к началу 2024 года компания зафиксировала потери в стоимости акций на уровне 3% от полугодового оборота. На втором месте находится риск наступления юридических последствий после утечки данных: например, в результате исков от пострадавших лиц и компаний может быть заведено административное или уголовное дело и назначены штрафы и взыскания. К примеру, UnitedHealth Group, крупнейшая компания в США в области медицинского страхования, в начале этого года подверглась кибератаке, в результате которой были похищены 6 ТБ данных и были остановлены несколько сервисов в сети компании, необходимых для выставления счетов, обработки претензий и обмена медицинской информацией по всей Америке. Впоследствии в отношении UnitedHealth Group и ее дочерних компаний было подано несколько коллективных исков, и теперь компания вынуждена провести авансовые платежи на сумму более 2 миллиардов долларов для оказания финансовой помощи поставщикам медицинских услуг, пострадавшим в результате кибератаки.

Утечка информации может привести не только к репутационным рискам, снижению прибыльности бизнеса, потере доли на рынке, но и к прямым финансовым потерям. Например, первая половина 2024 года запомнилась громкой утечкой более 500 млн персональных данных клиентов TicketMaster — компании по продаже билетов на концерты и мероприятия. Инцидент информационной безопасности не ограничился только утечкой личных данных — в ходе развития инцидента информационной безопасности злоумышленникам удалось скомпрометировать внутреннюю систему SafeTix, которая предназначена для предотвращения кражи билетов путем непрерывного обновления штрихкодов. В результате кибератаки злоумышленникам удалось выпустить около 10 млн несанкционированных билетов и штрихкодов на концерты популярных артистов, которые TicketMaster не может аннулировать. Вероятно, последствия кибератаки на TicketMaster будут сказываться и во второй половине 2024 года, поскольку украденные данные позволили злоумышленникам не только завладеть информацией, но и вмешаться в бизнес-процессы компании.

Финансовые потери в результате утечки информации могут затронуть не только компании, но и государство вследствие мошеннических операций с украденными личными данными граждан и их учетных записей. К примеру, в результате использования недоверенного бесплатного VPN-сервиса 911 S5, который, возможно, является одним из крупнейших примеров ботнет-сети, огромное количество личных данных частных лиц было скомпрометировано в течение нескольких лет. За это время, по оценкам министерства юстиции США, было подано более 560 тыс. мошеннических запросов на получение страхования по безработице со скомпрометированных устройств пользователей, в результате чего подтвержденный ущерб от мошенничества превысил 5,9 млрд долларов.

В первой половине 2024 года злоумышленники продолжали активно использовать программы-вымогатели в атаках на организации (более 40% от всех зафиксированных видов ВПО). Вследствие этого организации по-прежнему рискуют не только стать жертвой утечки информации, но также потерять свои данные из-за шифрования. В результате организации вынуждены либо платить выкуп злоумышленникам, что не гарантирует расшифровки информации и предотвращения ее публичного раскрытия, либо же компании приходится понести ущерб и восстанавливать бизнес-процессы в условиях потери доступа к ценным данным. Кроме того, в случае подозрения на атаку вируса-шифровальщика и утечку информации компании часто прибегают к вынужденному отключению своих информационных систем, чтобы предотвратить дальнейшее распространение атаки и получить время на анализ инцидента. Отключение систем и приостановка бизнес-процессов могут существенно повлиять на операционную деятельность компании, приводя к потерям доходов. Более того — по данным исследования Comparitech, каждая пятая атака вирусов-шифровальщиков с кражей данных в 2023 году привела к судебным искам. В результате многие компании были оштрафованы за непринятие достаточных мер защиты информации, сбои в работе компании из-за успешной кибератаки и утечку конфиденциальных данных, а средний размер взыскания составил 2,2 млн долларов.

После атаки компании сталкиваются с необходимостью восстановления своей инфраструктуры. Это включает в себя восстановление информации, программного обеспечения и конфигураций систем защиты информации. Процесс восстановления может занять от нескольких недель до нескольких месяцев, в течение которых компания не может полноценно функционировать, что также приводит к потерям доходов и репутационным рискам.

Для того чтобы организации выстраивали зрелые процессы обработки персональных данных и принимали надлежащие меры информационной безопасности, законодательные акты многих стран предусматривают наложение штрафов за нарушение требований по обработке и защите личных данных граждан. Утечки персональных данных могут привести к судебным искам от пострадавших лиц и выплате штрафов и компенсаций. Например, в мае было опубликовано решение суда о наложении штрафа в размере 360 тыс. евро на компанию 4Finance Spain Financial Services в связи с утечкой, в результате которой были скомпрометированы персональные и финансовые данные клиентов, вследствие чего злоумышленникам удалось использовать украденные данные для подачи мошеннических кредитных заявок. Максимальный размер штрафов в разных странах отличается: к примеру, в соответствии с европейским стандартом по защите данных GDPR и стандартом Великобритании UK Data Protection Act штраф может составить до 4% от годового оборота компании, тогда как законы в Сингапуре и Австралии предусматривают штрафы до 10% от годового оборота, а в Бразилии — только 2%. При этом некоторые страны, например Иран, пока только рассматривают законопроект о защите персональных данных, и когда его введут в действие, неизвестно.

Рост количества крупных утечек в компаниях телекоммуникационного сектора, а также выявленных фактов незаконной передачи компаниями личных данных третьим лицам побудил Федеральную комиссию по связи США в начале года ввести новое требование для поставщиков телекоммуникационных и VoIP-услуг — сообщать об утечках персональных данных клиентов. Напомним, что аналогичное требование для российских операторов персональных данных — сообщать в Роскомнадзор об утечках данных — вступило в силу в сентябре 2022 года.

Вместе с тем российским законодательством предусмотрены сравнительно невысокие штрафы за нарушение закона «О персональных данных» — в конце 2023 года они составили в общей сложности около 4,6 млн рублей. При этом в декабре 2023 года Госдума приняла закон об ужесточении наказания за нарушения требований по обработке и защите персональных данных, который в том числе вводит штраф до 1,5 млн рублей для юридических лиц за повторное нарушение правил обработки и защиты персональных данных. Кроме того, на протяжении первой половины 2024 года на рассмотрении в Государственной Думе находится законопроект о введении оборотных штрафов за утечки персональных данных. Если данный законопроект будет принят, потенциальный размер штрафов может значительно увеличиться.

Теневой рынок данных — общая статистика

Анализ утечек конфиденциальной информации тесно связан с исследованием теневого рынка, на котором похитители обычно сбывают украденные данные. Если говорить о региональном интересе злоумышленников, то чаще всего в первом полугодии 2024 года встречались предложения о продаже и бесплатной раздаче данных из стран Азии — на их долю пришлось около трети объявлений (30%). Это связано в том числе и с ростом активности злоумышленников в регионе. По результатам нашего исследования по киберугрозам в Азии за 2022-2023 гг., утечкой информации закончилась практически половина успешных атак на организации в регионе.

Рисунок 1. Распределение объявлений по регионам

В рейтинге отдельных стран по количеству объявлений на теневых форумах пятерку лидеров возглавляет Россия с долей в 10%, за ней в порядке убывания следуют США, Индия, Китай и Индонезия.

Самым популярным типом данных в дарквебе в первом полугодии 2024 года стали персональные данные — доля объявлений, связанных с продажей или раздачей персональных данных, составила 83%.

Прежде чем говорить о цене данных на теневом рынке, отдельно стоит отметить, что не все базы продаются — количество объявлений о бесплатной раздаче (64%) практически в два раза превышает количество объявлений о продаже данных (33%). Наибольшая доля предложений о бесплатной раздаче отмечена среди российских компаний и составляет 88% от утечек из российских компаний. Также высокая доля бесплатно раздаваемых баз данных в странах Латинской Америки, США, Индии и Индонезии, где она составляет в среднем более 70%. А вот базы данных китайских компаний, напротив, чаще продаются, и доля таких объявлений составляет 60%.

Это связано с тем, что не у всех злоумышленников главным мотивом является получение денежных средств — зачастую злоумышленники требуют выкуп за нераскрытие украденных данных, и не все жертвы его платят. Кроме того, если нет спроса на продаваемые данные, то мошенники могут спустя какое-то время опубликовать их бесплатно.

Более чем в половине объявлений на теневом рынке стоимость данных не превышает 1000 долларов. Дешевле всего продается стандартный набор персональных данных (ФИО, телефон, email и дата рождения) из компаний по всему миру, преимущественно из сферы услуг, торговли, онлайн-сервисов, науки и образования. Общее же количество уникальных номеров телефонов или email-адресов незначительно влияет на стоимость объявления — 10 тыс. строк и 10 млн строк могут стоить одинаково. Стоимость продаваемых данных начинает меняться в сторону увеличения, когда появляются дополнительные сведения о человеке, например паспортные данные, данные водительского удостоверения или страхового полиса, сведения о финансовых счетах и банковских картах, биометрические данные и другие. Предложения о продаже данных среднего ценового диапазона до 10 000 долларов чаще встречаются среди ИТ-компаний, финансовых организаций, государственных учреждений, медицинских организаций и промышленных компаний.

Важно отметить, что в половине объявлений о продаже (53%) не указана цена, и она является договорной между продавцом и потенциальным покупателем. Поэтому на деле доля более дорогих объявлений может быть больше.

Рисунок 2. Диапазон цен объявлений на теневом рынке о продаже баз данных

Каждое десятое объявление приходится на долю наиболее дорогих предложений стоимостью от 10 000 долларов. Наиболее дорогие объявления (свыше 50 000 долларов за 2 ТБ данных) относились к крупным финансовым организациям, торговым компаниям и ИТ-компаниям. К примеру, во втором квартале 2024 года кибератаке подверглась компания Cylance, известный разработчик EDR-решений. В результате произошла утечка 34 млн электронных писем, а также неуточненный объем персональных данных клиентов и сотрудников, которые были выставлены на продажу за 750 тыс. долларов на теневом форуме. Другой яркий пример — торговая компания Advanced Auto Parts, ставшая жертвой крупной утечки данных, которые оцениваются на теневом рынке в 1,5 млн долларов. По словам злоумышленника, база данных включает в себя 380 млн профилей клиентов, 140 млн заказов клиентов, 44 млн номеров карт лояльности, 358 тыс. записей о сотрудниках.

Рисунок 3. Объявление на теневом форуме о продаже базы данных Advanced Auto Parts

Рисунок 3. Объявление на теневом форуме о продаже базы данных Advanced Auto Parts

Какие отрасли чаще других становились жертвами утечек информации

После резкого повышения доли утечек конфиденциальных данных (до 59%) среди других последствий успешных кибератак на организации, наблюдаемого нами в первой половине 2023 года, этот процент немного снизился и составил 54% по итогам первого полугодия 2024 года. Наибольшее число утечек конфиденциальной информации за рассматриваемый период пришлось на госучреждения (13%), ИТ-компании (12%) и компании промышленной отрасли (11%).

Рисунок 4. Распределение количества утечек по отраслям

На теневых форумах больше всего предложений с данными из государственных учреждений пришлось на страны Азии (33%), Латинской Америки и Карибского бассейна (18%), а также Ближнего Востока (16%). Это объясняется тем, что эти регионы находятся под прицелом APT-группировок, которые преимущественно атакуют государственные организации. Об этом мы писали в наших исследованиях деятельности APT-группировок на Ближнем Востоке и в Юго-Восточной Азии.

Рисунок 5. Объявление на теневом форуме с предложением данных, украденных из министерства иностранных дел Саудовской Аравии

Рисунок 5. Объявление на теневом форуме с предложением данных, украденных из министерства иностранных дел Саудовской Аравии

По итогам первого полугодия 2024 года, количество утечек в ИТ-компаниях выросло на 3 п. п. по сравнению с предыдущим полугодием и достигло уровня первой половины 2023 года — 12%. Одним из факторов, который повлиял на рост утечек конфиденциальной информации из ИТ-компаний, включая утечку учетных данных, являются множественные заражения вредоносным ПО открытых репозиториев, которые активно используют разработчики. Так, в начале этого года исследователи Apiiro раскрыли новую волну скоординированной кампании, в результате которой на GitHub было загружено более 100 000 вредоносных репозиториев. В марте создатели репозитория Python Package Index (PyPI) столкнулись с масштабной кампанией тайпсквотинга Python-пакетов и в результате на некоторое время закрыли регистрацию новых пользователей. Более подробно об этом мы рассказывали в нашем исследовании об актуальных угрозах по итогам первого квартала 2024 года. Позднее в мае исследователи компании CheckPoint обнаружили тысячи вредоносных расширений в магазине плагинов для бесплатного редактора исходного кода VSCode. Стало известно, что вредоносные расширения были установлены пользователями миллионы раз. Поскольку ИТ-компании являются подрядчиками организаций многих отраслей, то успешное проникновение в их инфраструктуру влечет за собой цепную реакцию успешных атак и на другие организации, что является для них недопустимым событием. Например, в первой половине 2024 года жертвой успешной фишинговой атаки стала российская ИБ-компания SoftMall, в результате чего были раскрыты отчеты аудита информационной безопасности нескольких крупных контрагентов. В SoftMall подтвердили информацию об инциденте и разместили официальное сообщение на сайте компании.

Однако стоит отметить, что и утечки из промышленных организаций, которые замыкают топ-3 по доле утечек от общего количества в первом полугодии 2024 года, могут привести к компрометации их клиентов. Учитывая критичность данных, обрабатываемых у промышленных организаций, можно утверждать, что эта информация может сильно повлиять на взлом тех или иных организаций, а также на возможность реализации недопустимых событий. Так, в результате кибератаки из корпоративной сети Schneider Electric были похищены терабайты конфиденциальных данных. Согласно имеющейся информации, в числе клиентов подвергшегося атаке подразделения Schneider Electric значатся такие крупные международные корпорации, как Clorox, DHL, Hilton, PepsiCo и Walmart. Украденные злоумышленниками данные могут содержать конфиденциальную информацию об инфраструктуре и системах энергопотребления, а также о решениях в области автоматизации производства, внедренных на предприятиях клиентов компании.

Доля утечек данных из медицинских учреждений, занимавших первое место на протяжении всего 2023 года, заметно снизилась — на 11 п. п. по сравнению со второй половиной 2023 года. Однако стоит отметить, что утечки из медицинских организаций отличаются как большим объемом по количеству строк, так и разнообразием утекших данных. Так, например, Sav-Rx — медицинская компания, базирующаяся во Фримонте, штат Небраска, в первом полугодии 2024 года сообщила о серьезной утечке данных, затронувшей более 2,8 миллиона человек. Данные, скомпрометированные во время кибератаки на Cooper Aerobics, включают в себя  конфиденциальную информацию, такую как имена, адреса, номера телефонов, адреса электронной почты, финансовые данные (номера кредитных и дебетовых карт, даты истечения срока действия, номера счетов, идентификационные номера налогоплательщиков, номера паспортов, имена пользователей и пароли, номера социального страхования и данные, связанные со здоровьем (медицинские записи, номера счетов пациентов, информация о рецептах, поставщиках медицинских услуг, процедурах, сведения о медицинском страховании).

Финансовые организации по итогам первой половины 2024 года закрывают топ-5 отраслей по количеству утечек информации. При этом доля инцидентов, закончившихся утечкой данных, наиболее высока среди финансовых организаций — четыре из пяти успешных кибератак привели к утечке. Эта тенденция объяснима: сложные атаки на хорошо защищенные финансовые организации с целью кражи денег стали редким явлением на фоне роста более простых в реализации атак вымогателей и крупных утечек данных клиентов. Так, во втором квартале 2024 года злоумышленники украли реквизиты банковских счетов 30 миллионов человек, 6 миллионов номеров счетов и балансов, а также 28 миллионов номеров кредитных карт клиентов банка Santander в Испании, Чили и Уругвае.

Рисунок 6. Объявление на теневом форуме с предложением о продаже базы данных Santander

Рисунок 6. Объявление на теневом форуме с предложением о продаже базы данных Santander

Отдельно стоит сказать о компаниях в сфере ритейла. Чаще всего на теневых форумах предлагались базы данных компаний именно из сферы торговли и e-commerce, что составляет одну пятую долю от всех объявлений (21%). Так, например, в марте этого года жертвой утечки данных стала PandaBuy — крупная платформа e-commerce, предоставляющая покупателям по всему миру возможность приобретения различных товаров из Китая. В результате утечки были раскрыты более 1,3 млн действующих уникальных email-адресов, что подтвердил создатель сервиса Have I Been Pwned (HIBP), а также имена, фамилии, телефонные номера, IP-адреса, даты заказов, домашние адреса и другие сведения. Позднее стало известно, что компания PandaBuy заплатила киберпреступникам выкуп за нераспространение данных, однако злоумышленники на этом не остановились и продолжили вымогательство.

Рисунок 7. Объявление на теневом форуме с предложением данных, украденных с платформы электронной коммерции PandaBuy

Рисунок 7. Объявление на теневом форуме с предложением данных, украденных с платформы электронной коммерции PandaBuy

Однако чаще всего на теневых форумах размещаются данные, похищенные из российских ритейл-компаний, на их долю приходится 14% всех предложений баз данных по торговой отрасли. В самом начале 2024 года жертвой утечки данных стал интернет-магазин одежды и обуви Rendez-vous. На теневом форуме выставлены данные 7,6 млн уникальных номеров телефонов и 4,5 млн электронных адресов, а также имена, фамилии, даты рождения, адреса прописки, хеши паролей (MD5 с солью), стоимость покупки, код подарочного сертификата и ПИН для активации.

Рисунок 8. Объявление на теневом форуме с предложением данных, украденных из интернет-магазина одежды и обуви Rendez-vous

Рисунок 8. Объявление на теневом форуме с предложением данных, украденных из интернет-магазина одежды и обуви Rendez-vous

А в завершение первой половины года, в конце июня, жертвой утечки информации дважды стал интернет-магазин сети супермаркетов «Магнолия». В обоих случаях хакеры получили доступ к дампам баз данных, которые в общей сумме содержат личные данные 253 тыс. клиентов, включая ФИО, адреса доставки, номера телефонов, электронные адреса, состав заказов, хешированные пароли и купоны на скидки клиентов «Магнолии».

Рисунок 9. Объявление на теневом форуме с предложением данных, украденных из интернет-магазина сети супермаркетов «Магнолия»

Рисунок 9. Объявление на теневом форуме с предложением данных, украденных из интернет-магазина сети супермаркетов «Магнолия»

Российские ритейлеры в целом являются достаточно популярной целью для злоумышленников: по данным нашего исследования за 2023 год, российские онлайн-магазины и маркетплейсы вошли в топ-3 по количеству сообщений о краже данных.

Организации сферы науки и образования реже были отмечены в числе жертв утечек данных — их доля от общего числа утечек в первой половине 2024 года составила только 4% по сравнению с 9% за аналогичный период прошлого года. Однако в дарквебе подобных объявлений все равно остается достаточно много — 10% от всех объявлений. Это может быть связано с тем, что в 2023 году учреждения этой сферы активно атаковались, и теневые форумы пока продолжают раздавать ранее украденные сведения.

Рисунок 10. Объявление на теневом форуме с предложением данных, украденных из KISTI SMART K2C (Корейский институт науки и технологий)

Рисунок 10. Объявление на теневом форуме с предложением данных, украденных из KISTI SMART K2C (Корейский институт науки и технологий)

Активный рост числа утечек учетных данных

Первые два квартала 2024 года показали аномальный рост числа утечек учетных данных в организациях по всему миру. Доля утечек учетных данных в первой половине 2024 года стремительно увеличивалась и по итогам второго квартала достигла рекордного уровня в 24%. Общий рост на первое полугодие составил 9 п. п. по сравнению с аналогичным периодом прошлого года и достиг 21%. В результате успешных кибератак были раскрыты учетные данные различного типа, в том числе логины и пароли веб-сервисов, аутентификационные данные протоколов удаленного доступа (SSH, RDP и других), локальные и доменные учетные записи операционных систем, сохраненные пароли в браузерах пользователей, учетные данные для доступа к электронной почте и так далее.

Рисунок 11. Динамика утечек учетных данных у организаций (2022 год — первое полугодие 2024 года)

Наибольшая доля утечек учетных данных отмечается среди ИТ-компаний (24%), компаний финансовой отрасли (22%), телекоммуникационного сектора (25%) и государственных учреждений (16%). Стоит отметить, что компрометация компаний, предоставляющих услуги или разрабатывающих ПО, является критичной не только для них, но и для их клиентов — утекшие учетные данные подобных компаний могут помочь злоумышленникам скомпрометировать организации других отраслей. Так, в первой половине 2024 года были скомпрометированы клиенты сразу нескольких провайдеров облачных услуг. Например, компания Dropbox сообщила, что злоумышленники скомпрометировали инструмент администрирования системы Dropbox Sign и получили доступ к токенам аутентификации, данным многофакторной аутентификации (МФА), хешированным паролям и информации о клиентах. Инцидент, затронувший облачного провайдера SnowFlake и его клиентов, стал наиболее громким в этом периоде и потребовал проведения длительного расследования. До сих пор не до конца известно, были ли клиенты SnowFlake, среди которых Santander Bank и TicketMaster (об атаке на которых мы говорили ранее), скомпрометированы именно из-за плохо настроенных механизмов аутентификации, в особенности MFA, или же каким-то образом были раскрыты учетные данные для доступа к среде SnowFlake и его клиентов.

Раскрытие учетных данных также может произойти из-за неправильной конфигурации веб-сайтов и сервисов. Так, несколькими независимыми исследователями в начале года было обнаружено, что как минимум на 900 сайтах в сети интернет неправильно сконфигурирован сервис Google Firebase, что приводит к потенциальной утечке более 20 млн паролей и более 27 млн платежных данных и других конфиденциальных данных.

Компрометация учетных данных, как правило, не является конечной целью злоумышленников и служит промежуточным этапом между проникновением в атакуемую инфраструктуру и развитием атаки до наступления иных последствий — например, нарушения работоспособности системы, кражи денежных средств или иной конфиденциальной информации. По этой причине аутентификационная информация представляет особую ценность для киберпреступников. Учетные данные также активно продаются на теневых форумах и являются одним из способов заработка для киберпреступников. Например, в марте на теневом форуме за 10 тыс. долларов был выставлен доступ к веб-сайту инвестиционного банка Emirates, а во втором квартале на теневых форумах за 25 тыс. долларов был выставлен на продажу административный доступ к инфраструктуре крупной телекоммуникационной компании в Латинской Америке. Также на одном из теневых форумов было найдено объявление о продаже учетных данных для доступа к Индонезийской нефтегазовой компании Pertamina. Точная цена в объявлении не указана и обсуждается с каждым потенциальным покупателем индивидуально. Это связано с тем, что ценность этой информации определяется в том числе совокупностью возможностей покупателя для успешного использования этих данных в других кибератаках, а следовательно, разные покупатели будут готовы заплатить разную цену. Объявление, по словам автора, содержит учетные данные 22 тыс. сотрудников и 790 учетных записей с правами администратора.

Рисунок 12. Продажа учетных данных Индонезийской нефтегазовой компании Pertamina на теневом форуме

Рисунок 12. Продажа учетных данных Индонезийской нефтегазовой компании Pertamina на теневом форуме

Также стоит отметить крупнейшую опубликованную базу паролей: в начале июля 2024 года была опубликована подборка паролей RockYou2024, включающая в себя почти 10 миллиардов (9 948 575 739) паролей. RockYou2024 является расширенной версией подборки RockYou2021, к которой с 2021-го по 2024 год прибавили еще 1,5 миллиарда паролей. Злоумышленники могут использовать такую подборку для атак типа credential stuffing. В сочетании с другими утекшими базами данных на хакерских форумах и торговых площадках, которые, например, содержат адреса электронной почты пользователей и другие учетные данные, RockYou2024 может способствовать каскаду утечек данных, финансового мошенничества и кражи личных данных.

В будущем мы ожидаем рост числа объявлений на теневых форумах с продажей доступа к скомпрометированной инфраструктуре компаний. Активный рост числа утечек учетных данных уже отразился на теневом рынке — на форумах появились объявления о продаже доступов сразу к нескольким десяткам или сотням компаний в одном объявлении. Например, по данным портала Daily Dark Web, в июне было выставлено объявление о продаже учетных данных более чем 400 компаний, включая доступ через такие сервисы и платформы, как Jira, Bamboo, Bitbucket, GitHub, GitLab, SSH, SFTP, Zabbix, AWS S3, AWS EC2, SVN и Terraform. Такое объявление представляет особую ценность, и по этой причине точная цена в объявлении не указана и является договорной между продавцом и покупателем. По заявлению автора объявления, данные были получены в результате компрометации компании-подрядчика. Ранее, в апреле, было выставлено другое объявление — о продаже доступа в 16 компаний разных отраслей из стран Латинской Америки, Ближнего Востока, Европы и Азии. Стоимость доступов варьируется от 250 до 5000 долларов.

Коммерческая не-тайна — всплеск утечек исходного кода

Мы наблюдаем рост доли утечек из организаций коммерческой тайны и иной информации ограниченного доступа, которая по итогам первой половины 2024 года составила 24%, что на 10 п. п. больше по сравнению с аналогичным периодом прошлого года.

Рисунок 13. Динамика утечек коммерческой тайны и информации ограниченного доступа у организаций (2022 г. — первое полугодие 2024 г.)

По результатам первого полугодия 2024 года, промышленный сектор (39%), госучреждения (36%) и транспортные компании (29%) сохраняют лидерство по доле утечек коммерческой тайны и иной информации ограниченного доступа. Так, например, Kenya Airways подверглась атаке  группы вымогателей Ransomexx, что привело к массовой утечке данных. Просочившиеся документы охватывают авиационные происшествия, отчеты о расследованиях неправомерных действий сотрудников, таких как мошенничество, кражи, нарушения политики, а также страховые полисы, конфиденциальные соглашения, пароли, жалобы клиентов, предполагаемые случаи сексуальных домогательств. Раскрытые файлы также содержат сведения, относящиеся к несчастным случаям.

Утечка подобных данных может привести не только к репутационным, но и к финансовым рискам. Это может быть связано, среди прочего, с утратой конкурентных преимуществ. Так, в апреле 2024 года стало известно об утечке у Volkswagen 19 000 документов, которые включают важную информацию о запатентованных технологиях в области электромобилей и производственных стратегиях. Эта кража напрямую угрожает конкурентным преимуществам Volkswagen на быстрорастущем рынке электромобилей и вызывает тревогу по поводу потенциального неправильного использования этой информации. Ранее, в начале 2024 года, стало известно об утечке 3 ТБ данных у другого автоконцерна — Hyundai Motor Europe — из-за атаки вымогателя Black Basta. Украденная информация связана с различными отделами компании, включая юридический, отдел продаж, отдел кадров, бухгалтерию, ИТ и менеджмент.

ИТ-компании также подвержены утечкам конфиденциальной информации, связанной с внутренними процессами, разработками, продуктами и так далее — в первом полугодии доля утечек подобной информации из отрасли составила 29%. При этом стоит отметить, что первое полугодие 2024 года ознаменовалось утечками исходного кода ПО и конфиденциальной информации о разрабатываемых продуктах. Это еще раз подтверждает все растущую угрозу взлома компаний различных отраслей через использование стороннего ПО, причем эта проблема затрагивает ПО даже крупных и проверенных разработчиков. Так, например, один из злоумышленников утверждает, что продает данные, полученные в результате взлома AMD в июне 2024 года. Сообщается, что скомпрометированные данные включают в себя широкий спектр конфиденциальной информации, начиная с исходного кода и подробностей о будущих продуктах и ​заканчивая базами данных сотрудников и клиентов. Причем этот же хакер заявил, что исходный код нескольких внутренних инструментов был украден также и у Apple.

Последствия подобных утечек могут быть следующими:

  • Потеря конкурентного преимущества: утекший исходный код может содержать, например, еще не выпущенные функции.
  • Репутационные риски: любая компрометация немедленно влияет на репутацию компании, но потеря чего-то столь важного, как исходный код, оказывает еще более существенное влияние на доверие.
  • Риски безопасности разрабатываемых продуктов: при помощи исходного кода злоумышленники могут найти и проэксплуатировать существующие уязвимости, что особенно критично, если данное приложение массово используется многими организациями.

В апреле 2024 года злоумышленники заявили о получении исходного кода ПО, разрабатываемого в 150 компаниях, общий объем архивов которых достигает 853 ГБ. Объем данных в распакованном виде составляет почти 2 ТБ, что подчеркивает масштаб взлома. Среди скомпрометированных организаций есть такие имена, как Fujitsu, Dracena Smart City и Kraken Robotics.

Персональные данные — количество падает, масштаб растет

В общем срезе наибольшую долю среди утечек традиционно составляют персональные данные клиентов и сотрудников организаций. Если смотреть на динамику количества утечек персональных данных (ПДн) начиная с начала 2023 года, то наибольший всплеск отмечался во 2-м квартале 2023 года: на долю ПДн пришлось более половины утечек (53%). Именно тогда начались массовые атаки на защищенные системы передачи данных, о которых мы говорили в исследовании по итогам 2023 года.

Постепенно доля персональных данных в утечках стала снижаться, но вместе с тем мы наблюдаем активный рост числа утечек других типов информации, о которых расскажем дальше. Доля инцидентов, завершившихся утечкой ПДн, снизилась в первом квартале 2024 года до уровня 2022 года и составила 37%, а затем, во втором квартале 2024 года, снизилась до 25%.

Рисунок 14. Динамика утечек персональных данных у организаций (2022 г. — первое полугодие 2024 г.)

Тем не менее, несмотря на некоторое снижение общего количества утечек ПДн и их доли среди других типов данных, злоумышленникам удается компрометировать крупные компании и извлекать большие базы данных. Количество строк данных в утечках только за первую половину года, по данным Data Breaches Digest, превысило количество за любой предшествующий год.

Первое полугодие запомнилось рядом крупных утечек персональных данных в масштабах целого государства. Так, в апреле стало известно об утечке персональных данных более 5 млн граждан Сальвадора, что составляет около 80% от всего населения страны. Злоумышленник разместил дамп данных объемом 144 ГБ с 5,1 млн фотографий жителей страны с указанием соответствующих номеров удостоверения личности гражданина Сальвадора (DUI). В состав опубликованных персональных данных также входят имя, фамилия, дата рождения, телефон, электронная почта и адрес места жительства. Эта утечка данных знаменует собой один из первых случаев в истории киберпреступности, когда практически все население страны пострадало от компрометации биометрических данных. Утечка персональных данных граждан Сальвадора предположительно связана с компрометацией криптокошелька Chivo, используемого в государстве для совершения платежных операций в криптовалюте. Напомним, что Сальвадор стал первым государством в мире, официально принявшим криптовалюту в качестве законного платежного средства. Впоследствии на теневом форуме также были опубликованы конфиденциальные данные самого криптокошелька Chivo — исходный код и учетные данные VPN для доступа к сети банкоматов.

Рисунок 15. Объявление на теневом форуме о предоставлении дампа персональных данных граждан Сальвадора

Рисунок 15. Объявление на теневом форуме о предоставлении дампа персональных данных граждан Сальвадора

Государственные организации в первом полугодии 2024 года являлись мишенью киберпреступников — зачастую именно для кражи персональных данных. Группировка DAIXINTeam объявила о вымогательской атаке на муниципалитет Дубая. Она заявляет о похищении 60-80 ГБ сканов и файлов PDF, содержащих списки удостоверений личности, паспортов и других файлов с персональными данными. Еще один крупный инцидент произошел с французским правительственным агентством France Travail, ответственным за регистрацию безработных: произошла утечка персональных данных 43 млн граждан (что составляет 60% от всего населения), которые в течение последних 20 лет регистрировались в качестве нетрудоустроенных. Данные, которые были раскрыты в результате этой атаки, включают имя, дату рождения, место рождения, номер социального страхования (NIR), France Travail identifier, адрес электронной почты, почтовый адрес, номер телефона.

В самом начале года с другой крупной утечкой персональных данных столкнулись операторы связи в Индии. Утечка предположительно затронула около половины граждан Индии (750 млн человек) и включает в себя имена, номера мобильных телефонов, адреса, а также, в ряде случаев, данные из состава национальной биометрической системы Индии Aadhaar, в которой зарегистрирована большая часть населения страны. Позднее, в мае этого года, на теневом форуме был выставлен на продажу за 80 000 долларов обширный дамп данных, полученный из государственной индийской телекоммуникационной компании (BNSL), который включал в себя сведения о IMSI (международная идентификация абонента мобильной связи), данные SIM-карт, включая PIN- и PUK-коды, сведения HLR (реестр домашнего местоположения), а также данные, компрометирующие инфраструктуру организации.

Похищенные персональные данные граждан затем используются злоумышленниками в разных целях, например для мошеннических операций, шантажа или фишинговых кампаний с целью выманивания денежных средств или для продажи каких-то услуг. Злоумышленники используют специализированные сервисы, основанные на технологии искусственного интеллекта, для генерации фейковых сканов паспортов или удостоверений личности (National ID Card). Например, в начале года стали известны случаи применения сервиса OnlyFake для генерации фейковых документов, удостоверяющих личность, всего за 15 долларов, и их успешном использовании для подтверждения личности на криптобиржах и иных ресурсах, работающих по принципу Know Your Customer (KYC, «Знай своего клиента»). Ниже на рисунках показан пример поддельных документов, сгенерированных с помощью сервиса OnlyFake, изображающих фотографию документа на фоне ткани или ковра.

Рисунок 16. Изображение поддельного британского паспорта. Источник: 404 Media

Рисунок 16. Изображение поддельного британского паспорта. Источник: 404 Media

Отдельно необходимо отметить утечки биометрических данных. Ввиду всеобщей цифровизации биометрия все чаще используется не только в качестве метода авторизации на отдельных объектах и личных устройствах, но и, например, для оплаты. Однако при всех плюсах и удобстве использования биометрии вероятность утечки таких данных не меньше, чем остальных типов персональных данных. Более того, если биометрические данные будут скомпрометированы, то поменять их (как, например, учетные данные) так легко не получится. Во втором квартале 2024 года, во время выборов, в Индии произошла утечка базы данных размером в 500 ГБ, содержащей отпечатки пальцев и сканы лиц полицейских, военнослужащих и гражданских лиц, что вызвало опасения по поводу кражи личных данных и безопасности выборов.

Доверяй, но проверяй — государственные организации под угрозой

Утечка данных из одной компании может послужить основой для проведения атак на другие — это происходит в случае, если утечка затронула данные не только жертвы, но и, например, ее клиентов. В первом полугодии 2024 года мы выявили тенденцию на утечки информации у государственных структур вследствие компрометации их подрядчиков и контрагентов. Зачастую это не какая-то мифическая угроза, а реальные кейсы успешных атак. Так, Департамент страхования, ценных бумаг и банковского дела Вашингтона, округ Колумбия, раскрыл, что 800 ГБ данных, которые, как утверждается, были украдены программой-вымогателем LockBit, были получены в результате атаки на поставщика программного обеспечения Tyler Technologies. Компания Tyler Technologies подтвердила, что изолированная часть ее частной облачной среды хостинга, содержащая данные клиентов, была скомпрометирована в прошлом месяце, что и позволило злоумышленникам получить доступ к конфиденциальным данным государственного учреждения.

Телекоммуникационные компании наравне с ИТ также могут послужить источником конфиденциальных данных о государственных и иных организациях. В первом полугодии 2024 года злоумышленники похитили 1,7 ТБ данных после компрометации Chunghwa Telecom и выставили все это на продажу. Первоначальный анализ этого дела показал, что хакеры получили конфиденциальную информацию компании Chunghwa Telecom и ее правительственных контрагентов в Тайване, включая министерство иностранных дел, береговую охрану и другие подразделения.

Также отдельно стоит отметить критичность утечек, которые происходят у компаний, предоставляющих различного рода услуги. Один из злоумышленников опубликовал документы, предположительно украденные у государственного подрядчика — консалтинговой компании Acuity. Эти данные принадлежат сразу нескольким государственным органам, включая Государственный департамент, министерство обороны и Агентство национальной безопасности США. Acuity — это консалтинговая компания со штатом около 400 сотрудников и годовым доходом более 100 млн долларов. Она предоставляет услуги в областях DevSecOps, ИТ-операций и модернизации, кибербезопасности, анализа данных и операционной поддержки, и активно работает с государственными органами. Киберпреступник заявляет, что опубликованные им документы содержат секретную информацию, принадлежащую разведывательному альянсу Five Eyes, который объединяет спецслужбы Австралии, Канады, Новой Зеландии, США и Великобритании. По его словам, дамп содержит полные имена, email-адреса, номера рабочих и личных телефонов сотрудников правительства, военных и Пентагона, а также их личные email-адреса.

Какими методами злоумышленники атакуют организации, чтобы украсть конфиденциальные данные

Традиционно основными методами успешных атак, которые привели к утечке конфиденциальной информации в первом полугодии 2024 года, стали использование злоумышленниками вредоносного ПО, социальная инженерия и эксплуатация уязвимостей.

Рисунок 17. Методы, использованные в успешных атаках на организации, последствием которых стала утечка

В рейтинге популярности ВПО, которое злоумышленники используют для кражи конфиденциальной информации, лидируют шифровальщики. Атака вымогателей LockBit в мае 2024 года на крупного поставщика полупроводниковых решений Kulicke and Soffa привела к утечке 20 ТБ данных с более чем 2000 устройств компании. Похищенная информация включает файлы партнеров и клиентов, финансовую и бухгалтерскую информацию, резервные копии почты, архивы, личные файлы, различные исходные коды, внутреннюю переписку и переписку с клиентами.

Некоторые отрасли чаще других атакуются вымогателями — в частности, медицинские организации. По результатам 2023 года, каждая пятая атака вымогателей приходилась именно на организации этой отрасли. В первом полугодии данный тренд подтверждается — на медицину по всему миру пришлось 15% успешных атак при помощи шифровальщиков, что приводило не только к утечкам информации, но и к нарушению деятельности организаций. Так, в феврале 2024 года атака вымогателя Blackcat на Change Healthcare привела к сбоям в работе здравоохранения по всей стране и утечке 6 ТБ данных. В июне компания Change Healthcare сообщила, что в результате атаки были раскрыты конфиденциальные медицинские данные пациентов (диагнозы, лекарства, результаты тестов, изображения, показания к уходу и лечению). Другая масштабная атака программ-вымогателей RansomHUB на британскую компанию NRS Healthcare привела к утечке 578 ГБ данных, включая более 600 000 частных документов, в том числе контрактов и финансовых отчетов.

Рисунок 18. Типы ВПО, использованного злоумышленниками в атаках, где методом атаки являлось использование ВПО, а последствием стала утечка конфиденциальной информации

Тренд на рост популярности ВПО для удаленного управления среди злоумышленников мы выделили еще в первом квартале 2024 года. В целом можно сказать, что все первое полугодие подтверждает эту тенденцию и влияет на количество утечек. Предположительно пакистанская группировка Cosmic Leopard продолжила в первом полугодии 2024 года атаковать индийские организации и частных лиц из правительственных, оборонных и технологических отраслей. В атаках используется социальная инженерия и ВПО для удаленного управления GravityRAT, загрузчик HeavyLift и инструмент администрирования зараженных систем Gravity Admin. Злоумышленники похищают персональные данные, переписку и техническую информацию об устройствах жертв.

Отдельное внимание стоит уделить инфостилерам, с помощью которых злоумышленники также получали доступ к конфиденциальным данным. Например, open-source-инфостилер HackBrowserData, который может собирать учетные данные пользователя, файлы cookie и историю браузера, использовался в кампании против правительственных учреждений Индии, отвечающих за управление ИТ, национальную оборону и электронные коммуникации. Более того, злоумышленник нападал на частные индийские энергетические компании, вымогал финансовые документы, личные данные сотрудников, сведения о бурении нефтяных и газовых скважин. В общей сложности злоумышленник украл 8,81 ГБ данных, что позволяет аналитикам со средней степенью уверенности утверждать, что эти данные могут способствовать дальнейшим вторжениям в инфраструктуру правительства Индии.

Другим частым способом распространения ВПО стали уязвимости критического уровня в широко используемом программном обеспечении. Так, в первой половине 2024 года киберпреступники активно эксплуатировали уязвимость CVE-2023-7028 в программном обеспечении GitLab, которая позволяет неавторизованным лицам отправлять электронные письма для сброса пароля учетной записи и менять пароль без взаимодействия с пользователем. Компрометация доступа к CI/CD-сервису позволяет злоумышленнику получить доступ к исходному коду приложений и иной конфиденциальной информации, а также внедрить вредоносный код, который впоследствии будет автоматизированно перенесен на серверы компании, выступающей заказчиком разрабатываемого приложения или системы. По данным службы мониторинга угроз Shadowserver, в январе 2024 года в сети Интернет были доступны более 5000 уязвимых экземпляров GitLab, и по состоянию на май более 2000 экземпляров продолжали оставаться уязвимыми, причем наибольшее число уязвимых сервисов относится к компаниям США и России. Именно с несанкционированного доступа к GitLab-репозиторию начался инцидент, случившийся с крупной ИТ-компанией Sisense, занимающейся разработкой ПО для бизнес-аналитики. В скомпрометированном GitLab-репозитории были найдены учетные данные для доступа к бакетам Sisense в облаке Amazon S3. Злоумышленники использовали доступ к S3 для кражи нескольких терабайт данных клиентов Sisense. Предполагается, что были похищены миллионы токенов доступа, пароли от учетных записей электронной почты и даже SSL-сертификаты.

Для извлечения информации из скомпрометированной системы злоумышленники часто используют штатные инструменты, разрешенные для использования в организации. В первой половине 2024 года эксперты Positive Technologies Expert Security Center (PT ESC) наблюдали активное использование Telegram в качестве управляющего сервера (C2), в особенности для кражи учетных данных пользователей. По данным исследования Recorded Future, сохраняется тенденция к использованию для хранения украденных данных легитимных сервисов и платформ, таких как Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase, Trello, Discord, GitLab, BitBucket, а также стали известны случаи использования GitHub для таких целей. Облачные сервисы, разрешенные для использования сотрудниками, могут привести к серьезным утечкам данных. Например, в начале года злоумышленник, тайно работавший на две технологические компании в Китае, смог извлечь из инфраструктуры Google около 500 конфиденциальных файлов, содержащих коммерческие секреты в области искусственного интеллекта. Сначала он копировал секретные документы в Apple Notes, потом конвертировал заметки в PDF-файлы и затем отправлял на персональный аккаунт в Google Drive.

Какие места хранения данных атакуют злоумышленники

По оценкам IDC, общемировой объем данных увеличится к 2025 году в 4 раза, что связано как с повышением уровня цифровизации в различных отраслях и государствах, так и с внедрением новых технологий в бизнес-процессы, в том числе искусственного интеллекта, работа которого требует больших объемов данных. К примеру, страховая компания «Альфа Лизинг», дочерняя компания «Альфа Банка», внедряет технологии искусственного интеллекта для оптимизации продаж страховых продуктов, предоставляя ИИ-модели доступ к большому объему персональных данных о клиентах компании. Основной объем ценной информации в организациях хранится в SQL- и NoSQL-базах данных, объектных хранилищах (S3), озерах данных и файловых серверах, которые размещаются внутри инфраструктуры при наличии необходимых вычислительных и сетевых ресурсов (in-house, on-premise), или же данные передаются публичным облачным провайдерам (Яндекс.Cloud, VK.Cloud, AWS, Microsoft Azure и другие). Вместе с тем некоторые критичные сведения, например учетные данные, могут быть получены злоумышленником с конечных устройств пользователей или веб-ресурсов компании, доступных из сети, что ведет к дальнейшей компрометации других компонентов инфраструктуры.

Ниже на рисунке представлены основные типы места хранения данных в инфраструктуре организации.

Рисунок 19. Места хранения данных (Data Asset Types) в современной организации

Рисунок 19. Места хранения данных (Data Asset Types) в современной организации

Все места хранения данных подразделяются на несколько типов в зависимости от того, в каком формате хранится и обрабатывается информация. Данные бывают структурированные, полуструктурированные и неструктурированные.

Структурированные данные — информация, представленная в виде четкой, заранее определенной схемы, которая преимущественно не изменяется в процессе записи, хранения и обработки информации и состоит из полей, хранящих заранее определенные типы данных.

К структурированным данным относятся в первую очередь реляционные системы управления базами данных (PostgreSQL, MySQL и другие), а также иные табличные структуры данных, например файлы Microsoft Excel. В таком формате, как правило, хранятся персональные данные сотрудников и клиентов организации, сведения о предоставляемых услугах, статистические данные для анализа и прогнозирования дальнейшего развития компании, сведения о финансовых операциях — доходных и расходных статьях бюджета и так далее.

Утечки структурированных данных принято измерять в количестве строк — записей в таблицах и базах. Ценность таких утечек определяется несколькими факторами: полнота и детализация данных, региональная и отраслевая принадлежность компании, количество уникальных достоверных записей и потенциальная применимость данных для проведения других атак или мошеннических операций. Мы уже приводили в этом исследовании примеры масштабных утечек персональных данных, которые затронули крупные компании и целые государства. Во многих случаях были скомпрометированы от нескольких десятков до нескольких сотен миллионов записей. Результаты анализа объявлений на теневых форумах, опубликованных в течение первой половины 2024 года, показали, что в половине случаев базы содержат менее чем 100 тыс. строк, а каждое четвертое объявление содержит более 1 млн записей.

Рисунок 20. Доля объявлений на теневом рынке по количеству строк в базах данных

Полуструктурированные данные — это форма структурированных данных, которая не подчиняется табличной структуре моделей данных, связанных с реляционными базами данных или другими формами таблиц данных, но тем не менее содержит теги или другие маркеры для разделения семантических элементов и обеспечения соблюдения иерархии записей и полей внутри данных.

Далеко не все данные могут быть представлены в формате таблиц с фиксированным набором полей и типов данных. Многие задачи требуют быстрой обработки больших объемов информации, которая вместе с тем имеет определенную структуру и зависимости. Для этих задач существуют специализированные системы хранения и обработки информации, основной класс которых представлен нереляционными (NoSQL) системами управления базами данных (MongoDB, Redis, Elasticsearch, Cassandra, Neo4j и другие). Так, в марте на теневом форуме было опубликовано объявление о взломе базы данных Elasticsearch известной платформы социальных сетей в Катаре Qatar Living. Утечка содержит 115 тыс. строк, включая информацию пользователей, такую как имена, адреса электронной почты, номера телефонов, изображения, роли, разрешения и дополнительные данные.

Полуструктурированные данные часто хранятся в формате JSON, XML, YAML, syslog и других. Кроме того, многие информационные системы имеют внутренние или внешние API-endpoints для обмена информацией, входные и выходные данные которых также передаются в форматах JSON или XML. В этих форматах часто хранятся и конфигурационные параметры разных приложений и сервисов. К полуструктурированным данным может быть отнесена и телеметрия разных устройств, а также журналы событий. Кроме того, во многих компаниях по всему миру для хранения информации и совместной работы с ней применяется система Atlassian Confluence. С помощью таких инструментов компании могут централизованно хранить большие объемы конфиденциальной информации, что делает Confluence интересной целью для злоумышленников. Так, например, в начале этого года американская компания Cloudflare, предоставляющая услуги CDN, защиты от DDoS-атак, безопасного прокси-сервера для доступа к ресурсам и серверы DNS, сообщила о том, что подверглась кибератаке. Целью злоумышленников стал доступ к ресурсам Confluence, базе данных ошибок Jira и системе управления исходным кодом Bitbucket и последующее извлечение ценной информации. Однако Cloudflare удалось своевременно обнаружить вредоносную активность и остановить атаку до извлечения киберпреступниками конфиденциальной информации из системы.

Неструктурированные данные — информация, которая не соответствует заранее определенной модели или структуре данных и, как правило, представлена в виде объектов различных типов (каталоги файлов, текстовые, аудио- и видеофайлы, объекты произвольного типа и так далее).

Неструктурированные данные составляют значительную часть всей информации, хранящейся в цифровом виде. По оценкам (IDC), по состоянию на 2022 год 90% данных, создаваемых и собираемых организациями, являются неструктурированными. В неструктурированном виде обычно представлены такие формы представления информации, как документы, мультимедийные файлы (фотографии, видео- и аудиозаписи, например записи телефонных разговоров) и иные файлы произвольного типа, например исходный код, проекты, чертежи, договоры, электронные письма и так далее.

Неструктурированные данные, как правило, хранятся в таких системах хранения, как файловые серверы, объектные хранилища S3 (Object storage S3), озера данных (Data Lakes), серверы электронной почты и другие. Хранилища данных обычно хранят много ценной информации, а также имеют веб-интерфейсы, что делает их заманчивой целью для злоумышленников. Так, например, киберпреступники разрабатывают и совершенствуют инструменты для взлома облачных сервисов, систем управления контентом (CMS) и SaaS-платформ, таких как Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid и Twilio.

Утечки неструктурированных и полуструктурированных данных в основном измеряются в объеме информации. Самые маленькие утечки содержат менее 100 МБ данных и составляют 40% от всех предложений на теневом рынке. Наиболее крупные каталоги данных — от 100 ГБ и более — составляют менее одной десятой доли объявлений.

Рисунок 21. Доля объявлений на теневых форумах по размеру архивов и баз данных

Утечки неструктурированных данных часто представляют собой архив с файлами, где в том числе могут содержаться и файлы баз данных. Это происходит в тех случаях, когда злоумышленнику удается скомпрометировать сразу несколько ресурсов в организации, либо если в организации принято хранить информацию в одном месте независимо от ее назначения и ценности. К примеру, с достаточно крупной утечкой порядка 450 ГБ неструктурированных данных весной этого года столкнулась компания Pak Suzuki Motors, дочерняя компания японского автопроизводителя Suzuki. В начале второго квартала на одном из теневых форумов было опубликовано объявление о продаже за 5000 долларов информации, которая включает в себя документы по финансам, бухгалтерии, сотрудникам, соблюдению требований и административных документов, исходные коды ИТ-приложений, электронные адреса (PST) менеджеров и исполнительных директоров, паспорта, документы о зарплате и налогах, данные из SAP- и ERP-систем, внутренние базы данных, записи с VoIP (март 2024 года), контракты с другими компаниями, а также около 37 ГБ данных из главного офиса Suzuki в Японии.

Рисунок 22. Объявление на теневом форуме о продаже данных компании Pak Suzuki Motors

Рисунок 22. Объявление на теневом форуме о продаже данных компании Pak Suzuki Motors

Недостатки в процессах управления данными

Успех проведения кибератаки в части компрометации и получения первоначального доступа к инфраструктуре зависит от многих факторов: например, от наличия процесса управления уязвимостями, систем анализа вредоносных почтовых вложений для противодействия фишинговым кампаниям, зрелости политик управления аутентификацией и так далее.

Вместе с тем процесс извлечения ценной информации киберпреступниками из инфраструктуры зависит и от зрелости процессов управления данными. С ростом объема обрабатываемой информации, числа пользователей и совершаемых между ними взаимодействий подразделениям ИТ и ИБ становится сложнее контролировать и обеспечивать достаточный уровень защищенности данных. По данным исследования Immuta, треть опрошенных респондентов подтверждает, что проблема управления данными и их безопасностью в 2024 году стала даже более высоким приоритетом, чем задача внедрения алгоритмов ИИ в существующие бизнес-процессы. А по результатам исследования JupiterOne, в 2023 году данные как защищаемый актив составили 39% от всех ресурсов компании, что практически вдвое больше, чем доля защищаемых устройств.

В современной практике защиты данных выделяются следующие основные процессы, выстраивание которых важно для предотвращения утечек конфиденциальной информации и своевременного реагирования на попытки доступа к данным.

Инвентаризация инфраструктуры данных (Data Asset Management)

Процесс инвентаризации включает в себя выявление и документирование всех мест хранения данных, которые компания обрабатывает, в том числе идентификацию мест хранения, типов данных и доступов к ним. Инвентаризация данных позволяет на ранних этапах обнаружить избыточные или устаревшие сведения, выявить потенциально уязвимые места хранения и учесть их в дальнейшем планировании мер защиты информации. Отсутствие регулярного процесса инвентаризации повышает риск утечки данных вследствие кибератаки. Например, после перехода на новую платформу в инфраструктуре компании может остаться устаревшая версия базы данных, содержащая чувствительные корпоративные данные.

Кроме того, отсутствие регулярного процесса инвентаризации повышает риск нежелательного раскрытия ценной информации (Data Exposure), когда внутренняя информация компании размещается на незащищенных ресурсах (например, для проведения каких-либо технических работ), после чего специалисты забывают закрыть к ней доступ. Похожая история затронула в первом квартале 2024 года ИТ-гиганта Microsoft. В открытом доступе оказался сервер для хранения данных, размещенный в облаке Microsoft Azure, который не был защищен паролем. На сервере хранилась внутренняя информация, связанная с поисковой системой Microsoft Bing, а также фрагменты исходного кода, скрипты и файлы конфигурации, содержащие пароли, ключи и учетные данные для доступа к другим внутренним БД и системам Microsoft.

Классификация данных (Data Classification)

Классификация данных на основе их уровня конфиденциальности и критичности позволяет организациям определить, какая информация требует обеспечения более высокого уровня защищенности и соответствуют ли существующие процессы хранения и обработки такой информации требованиям информационной безопасности. Классификация данных позволяет эффективно распределять ресурсы для защиты наиболее важных данных, избегая избыточных затрат на менее критичные данные. По данным исследования 2024 Data Threat Report компании Thales, только 30% компаний сообщили, что им удается однозначно классифицировать всю обрабатываемую в компании информацию. В результате из-за отсутствия четкой видимости наиболее ценных данных организации допускают существенные нарушения в процессе хранения и обработки такой информации: в частности, конфиденциальные данные могут храниться совместно с информацией более широкого применения и назначения. Так, например, в марте этого года Национальный центр кибербезопасности Швейцарии (NCSC) обнародовал результаты расследования утечки данных, произошедшей более 9 месяцев назад, в мае 2023 года, в результате успешной кибератаки криминальной группировки Play на ИТ-компанию Xplain, которая обеспечивает программными решениями различные правительственные учреждения Швейцарии. В результате утечки были раскрыты около 65 тыс. документов правительства Швейцарии. В сообщении на официальном сайте Национального центра кибербезопасности (NCSC) было заявлено, что столь длительный срок расследования связан со сложностью анализа неструктурированных данных и большим объемом утечки.

Управление правами доступа к данным (Data Access Management)

Управление доступом к защищаемым ресурсам, и в частности к данным, является одним из ключевых аспектов информационной безопасности. Снижение числа пользователей с доступом к критически важным данным уменьшает поверхность кибератаки, а обеспечение доступа сотрудников только к необходимым для работы данным снижает риск внутренних угроз. По данным исследования Immuta 2024 State of Data Security Report, в среднем не менее трети задач по управлению данными и их безопасностью передается ИТ-подразделению (Data Platform Team). Это связано с тем, что в информационных системах обрабатывается большой объем информации, включая данные клиентов, данные бизнес-процессов, данные для обучения и работы алгоритмов ИИ, что требует разделения задач между несколькими подразделениями, в число которых помимо ИТ и ИБ также входят юристы и аудиторы. Все это создает необходимость серьезного развития направления DataSecOps, в котором особое внимание уделяется безопасности данных. Респонденты исследования Immuta отмечают также, что в 2024 году, как и годом ранее, основной проблемой остается слабая видимость реальных прав доступа к данным.

Одним из распространенных последствий недостаточного контроля за текущими правами доступа к данным являются устаревшие, неиспользуемые и тестовые учетные записи, которые находят злоумышленники и используют для компрометации систем. Так, в начале года в Microsoft была обнаружена очередная кибератака, в ходе которой злоумышленникам из группировки Midnight Blizzard удалось получить доступ к корпоративным почтовым ящикам руководителей и специалистов по кибербезопасности. Получение первоначального доступа в систему произошло благодаря подбору пароля по словарю к устаревшему неиспользуемому аккаунту, на котором была отключена многофакторная аутентификация.

Мониторинг обращений к данным и обнаружение аномалий (Data Access Monitoring, Behavioral Analysis and Anomaly Detection)

Отсутствие мониторинга обращений к данным может позволить хакерам получить доступ к системе и незаметно скачивать данные в течение длительного времени. К примеру, в феврале этого года жертвой кибератаки стала Комиссия по регистрации организаций и интеллектуальной собственности Южной Африки (CIPC), в результате чего последовала утечка конфиденциальных данных до 3 млн юридических и физических лиц. Злоумышленники заявляют, что получили доступ к инфраструктуре CIPC еще в 2021 году и все это время оставались в тени, имея доступ к информационным ресурсам организации.

Примером слабо выстроенного процесса управления правами доступа и отсутствия мониторинга операций с данными стала утечка информации о 49 млн клиентов крупного производителя электроники Dell, о которой стало известно в конце апреля после публикации злоумышленником объявления на теневом форуме. Киберпреступнику удалось проникнуть на портал для партнеров, реселлеров и розничных продавцов Dell, API которого можно было использовать для поиска информации о заказах. Доступ к порталу удалось получить путем регистрации нескольких учетных записей от имени несуществующих компаний, данные которых никак не проверялись в системе. После регистрации учетной записи присваивался статус авторизованного партнера. Затем киберпреступник создал программу, которая генерировала порядка 5000 запросов в минуту, и проводил сбор данных в течение нескольких недель. Поскольку запросы к данным никак не контролировались и не блокировались, то за отведенное время злоумышленнику удалось собрать внушительный объем информации. В Dell подтвердили информацию об утечке и направили своим клиентам письма, в которых сообщалось о случившемся.

Что поможет организациям защитить данные от утечки

Защита организации от утечки информации требует комплексного подхода, включающего технические и организационные меры во всей инфраструктуре. Мы подготовили рекомендации, которые помогут предотвратить утечку ценных данных из сети организации.

Защита от компрометации сети и устройств пользователей

Поскольку утечка конфиденциальных данных является одним из завершающих этапов компьютерной атаки, то для начала организациям необходимо обеспечить защиту от проникновения киберпреступника в инфраструктуру. По итогам тестирований на проникновение, реализованных командой PT Security Weakness Advanced Research and Modeling (PT SWARM) в 2023 году, успешное проникновение злоумышленника во внутреннюю сеть возможно из-за недостатков парольных политик, уязвимостей в коде веб-приложений и ошибок в конфигурации сервисов, находящихся на периметре сети. Одним из частых недостатков конфигурации таких систем является отсутствие двухфакторной аутентификации или недостаточная проверка авторизации пользователей. Для защиты периметра сети необходимо применять межсетевые экраны нового поколения, имеющие широкий спектр функционала. Например, PT NGFW оснащен системой предотвращения вторжений (IPS), функцией контроля пользователей и приложений, а также системой инспекции TLS- и URL-фильтрации. Для защиты веб-интерфейсов важно применять межсетевые экраны уровня веб-приложений. Например, в Positive Technologies применяется PT AF, который с высокой точностью обнаруживает и блокирует атаки, включая OWASP Top 10, WASC, DDoS уровня 7 и атаки нулевого дня. Вместе с тем необходимо также контролировать появление новых уязвимостей на периметре инфраструктуры и оперативно устранять их с помощью решений класса Vulnerability Management, например MaxPatrol VM.

ИТ-компаниям, которые разрабатывают и поставляют свои решения другим организациям, необходимо выстраивать процессы безопасной разработки таким образом, чтобы не допускать появления уязвимостей в своем программном обеспечении. Для этого на этапе разработки и тестирования нового программного продукта должны применяться решения классов SAST и DAST. Например, статический анализатор PT Application Inspector в процессе написания кода генерирует тестовые запросы-эксплойты для проверки возможности эксплуатации выявленных уязвимостей, а инструмент динамического анализа приложений PT BlackBox имитирует поведение злоумышленника, у которого нет знаний о внутреннем устройстве приложения, и позволяет автоматизированно оценивать защищенность веб-приложения без использования каких-либо исходных данных, кроме адреса веб-цели.

Также необходимо обеспечить защиту конечных точек от компрометации, внедрения ВПО и утечки учетных данных. На конечных устройствах пользователей, в особенности сотрудников, осуществляющих администрирование ключевых и целевых систем, могут находиться учетные данные для доступа к критическим системам и информационным ресурсам компании и ее контрагентов. Для защиты конечных устройств мы рекомендуем использовать решения класса EDR, например MaxPatrol EDR, а также шлюзы безопасности электронной почты (mail gateway) и решения класса «песочница», которые будут сканировать все входящие письма и вложения на предмет вредоносного содержимого. К примеру, песочница PT Sandbox использует механизмы машинного обучения, что позволяет автоматически обнаруживать ВПО, проникающее в организацию из разных источников (почтовые вложения, файлы, веб-трафик и другие), и блокировать его распространение.

Защита внутреннего периметра

В случае проникновения злоумышленника в инфраструктуру важно не допустить его продвижения до критических систем и информационных ресурсов компании. На нижележащем уровне важно обеспечить безопасность серверов и сетевой инфраструктуры от потенциальных действий киберпреступника, проникшего в инфраструктуру. Необходимо провести сегментирование сети, внедрить процессы непрерывного управления уязвимостями и конфигурациями устройств, системного и прикладного программного обеспечения. Также важно обеспечить межсетевое экранирование в соответствии с разрешенными информационными потоками как внутри инфраструктуры, так и для взаимодействия с внешними системами. Правильно настроенные политики межсетевого экранирования совместно с системами анализа сетевого трафика (например, PT NAD) помогут остановить нарушителя при попытке извлечь данные из инфраструктуры через C2-каналы. Также нельзя забывать о необходимости непрерывного мониторинга событий ИБ и управления инцидентами информационной безопасности с применением SIEM-систем, например MaxPatrol SIEM.

Вместе с тем решения класса NTA, Sandbox и EDR являются в настоящее время необходимым набором для противодействия современным атакам с применением ВПО, механизмы действия которого становятся все более изощренными и ежедневно ведут к реализации недопустимых событий для компаний по всему миру. Анализу механизмов поведения ВПО и каналам его распространения мы посвятили отдельное исследование.

Защита данных

В первую очередь организациям необходимо проводить инвентаризацию и классификацию информационных активов, чтобы знать, какие сведения хранятся и обрабатываются в системе и какие из них являются ценными и требуют повышенного уровня защищенности. Если мы не знаем, какими активами располагаем, то и не сможем их защитить. После того как у организации появляется понимание, какие ресурсы являются наиболее значимыми как для компании, так и для ее контрагентов или клиентов, можно внедрить соответствующие меры защиты. Для защиты информации важной задачей является определение минимально необходимых прав доступа сотрудников и внешних пользователей к данным в соответствии с выполняемыми ими задачами и автоматизированный контроль за соблюдением разрешенных информационных потоков и назначенных прав доступа. Мониторинг действий над обрабатываемой информацией, будь то чтение, запись, удаление, изменение прав доступа, а также анализ поведенческих аномалий, составляет одну из важнейших задач в современной практике управления информационной безопасностью данных.

Можно сказать, что решение одной или нескольких перечисленных выше задач так или иначе представлено в различных существующих ИБ-решениях. Например, DAM/DBFW созданы для защиты структурированных данных, DAG/DCAP предназначены для обеспечения безопасности неструктурированных и полуструктурированных данных, а DLP-системы специализируются на защите информации от внутреннего нарушителя. Кроме того, необходимый функционал заложен в ряде ИТ-решений, применяющихся в рамках построения корпоративных платформ хранения и обработки данных и процесса Data Governance — к примеру, в решениях класса Data Lineage и Data Catalog / Metadata Management.

С ростом размеров инфраструктуры и объема защищаемых ресурсов в организациях возникает потребность в большем количестве решений для обеспечения безопасности. Однако управление этими решениями становится сложной задачей и в результате приводит к снижению общей эффективности защиты. Мы отмечаем, что инфраструктуры компаний превращаются в сложные системы с множеством внутренних элементов и связей, а также с высокой динамикой изменений. Чтобы обеспечить защиту такой многообразной инфраструктуры данных, необходимо единое решение, которое способно защищать информационные активы независимо от их структурированности и места хранения. Мы видим потенциал концепции Data Security Platform, которая ставит перед собой задачу защиты данных исходя из их критичности, а не из того, как и где они хранятся. Также хотим подчеркнуть важность автоматизации текущих трудоемких задач в рамках процесса DataSecOps, в первую очередь инвентаризации хранилищ и классификации данных, поскольку в реальности видим, как слабая видимость инфраструктуры данных создает «слепые пятна» в системе защиты информации.

Заключение

Первая половина 2024 года была отмечена рядом значительных утечек конфиденциальной информации, которые подчеркнули уязвимость организаций по всему миру перед лицом киберугроз. В этом периоде наблюдалось снижение общего количества утечек персональных данных, однако значительно выросли объемы таких утечек в связи с атаками на провайдеров облачных услуг, операторов связи и ИТ-компании. Персональные данные активно предлагаются киберпреступниками на теневом рынке и затем используются в мошеннических схемах, что создает риски финансовых потерь как для частных лиц, так и для организаций. Отдельно мы отмечаем рост числа утечек биометрических персональных данных, что, вероятно, повлияет в будущем на появление новых мошеннических схем для обхода систем аутентификации и подтверждения личности.

Вредоносное программное обеспечение (ВПО) продолжает оставаться наиболее распространенным методом, который используют злоумышленники при осуществлении кибератак. В этом периоде ВПО нашло «золотую жилу» для массового распространения через репозитории кода, что существенно отразилось на ключевых трендах и способствовало небывалому росту утечек учетных данных. Массовое распространение ВПО через публичные репозитории привело к росту успешных атак на ИТ-компании, многие из которых являлись подрядчиками государственных учреждений по всему миру. В результате госучреждения стали лидерами по количеству утечек информации, которые в основном были реализованы через каналы связи между компаниями. Кроме того, во многих случаях утечка была связана с небезопасным хранением учетных данных и другой конфиденциальной информации подрядчиками.

В первой половине 2024 года мы также наблюдали значительный рост числа утечек коммерческой тайны, в особенности исходного кода, из компаний ИТ-сферы и промышленности. Это ведет к риску раскрытия архитектуры разрабатываемых систем и применяемых технологий, что, помимо репутационных и финансовых рисков, может позволить киберпреступникам выявить потенциальные уязвимости и в будущем использовать их при проведении других кибератак. Требования законодательства многих стран обязывают государственные и медицинские учреждения, финансовые организации и субъектов критической информационной инфраструктуры внедрять комплексную систему защиты информации, но часто оставляют без внимания подрядчиков, среди которых и ИТ-компании. Этот факт создает дополнительные риски информационной безопасности и должен учитываться организациями при оценке угроз и принятии мер защиты информации.

Об исследовании

Данный отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников.

По нашей оценке, большинство кибератак, как правило, не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.