Коронавирус
4 июня 2020, 13:16

На самоизоляции хакеры стали чаще взламывать корпоративные сети

В связи с самоизоляцией, многие компании перешли на удалённый режим работы, но не успели достаточно хорошо наладить информационную безопасность сетевой работы. В связи с этим выросло количество хакерских атак на корпоративные ресурсы. В основном, хакеры получают удалённый доступ к компьютеру, который потом продают в даркнете, или похищают данные и требуют за них выкуп.

В России с начала апреля к концу мая выросло на 230% количество компьютеров с операционной системой Windows, которые могут оказаться уязвимыми к попыткам доступа по протокола RDP. Об этом сообщает Коммерсант со ссылкой на компанию DeviceLock, которая занимается разработкой защиты от утечек данных с корпоративных компьютеров. Речь идёт о протоколе, который открывает удалённый доступ к компьютеру для других пользователей, в том числе хакеров.

Быстрый рост уязвимости компьютером директор DeviceLock Ашот Оганесян связывает с ростом серверов, в том числе открытых для интернета, в условиях самоизоляции. По словам эксперта, большинство компанию дают возможность подключиться удалённого только через VPN. При этом, некоторые сервера разрешают авторизовываться без пароля, а это представляет большую опасность для корпоративных сетей. 

Директор экспертного центра Positive Technologies Алексей Новиков добавляет, что все популярные способы подключения через VPN тоже уязвимы. По его словам, с увеличением количества уязвимых компьютеров, выросло и число случаев хакерских атак. Причиной он считает быстрый переход на удалённую работу, когда компании стремились в первую очередь обеспечить работоспособность такого режима работы, и вопрос информационной безопасности оказался второстепенным. 

По словам руководителя отдела расследования киберинцидентов JSOC CERT компании «Ростелеком» Игоря Залевского, если до апреля заказчики его услуг в день фиксировали от трёх до пяти попыток подобрать пароль к удалённому рабочему столу, то к 27 мая таких стало от девяти до 12. Выросла и продолжительность таких атак: сейчас они могут длиться от двух до четырёх часов без перерыва, хотя обычно хакеры совершали короткие попытки в течение дня. При этом, чтобы получить доступ в крупные компании, где работает большой штат отдела информационной безопасности, хакерам требуется около полутора дня.

По словам Залевского, в случае, если злоумышленникам удалось попасть на сервер, они как правило сразу стараются на нём учётную запись. Эксперт рекомендует компаниям контролировать информацию о входах на сервер, потому что точки доступа к инфраструктуре компаний потом продают в даркнете. Цена одной такой может составлять от 300 до 500 руб. Причиной низкой стоимости он называет большое количество предложений. 

Иногда злоумышленники занимаются шантажом. Залевский советует заблаговременно копировать информации, т.к. хакеры, получив точку входа в инфраструктуру компании, могут требовать выкуп для дешифрования похищенных данных.

Ещё одна компания - Positive Technologies, которая занимается вопросами кибербезопасности, провела опрос среди специалистов этой отрасли. Более половины опрошенных сказали, что им пришлось в экстренном порядке организовывать удалённый доступ к компьютерам практически с нуля или сильно дорабатывать его, так ранее им обеспечивали только некоторых сотрудников.

Ранее, эксперты по кибербезопасности компании Cyble купили через Telegram у русскоязычного хакера более 500 000 взломанных аккаунтов сервиса Zoom. Стоимость одного взломанного аккаунта с электронным адресом, логином и паролем, ссылками на чаты, а также пин-кодами для управления видеоконференциями, хакеры оценили в один пенс (0,9 руб.). При этом некоторые учетные записи принадлежали клиентам Cyble, поэтому компания смогла установить их подлинность.