Аналитические отчеты

«Лаборатории Касперского»
Содержание 2

Содержание

Ключевые результаты 3 Введение 5

Зачем анализировать факты утечек данных? 7

Распространение утечек
данных 8 Актуальность утечек данных 10

Профиль жертвы 11

Реакция бизнеса 16 Парольная информация 18

 Ключевые результаты Содержание 3

Ключевые результаты

Общие сведения о значимых¹ утечках данных в российских

компаниях в 2023 году²:

факта утечек
данных за 2023 год

За 2022 год За 2023 год

141 факт утечек данных 133 факта утечек данных

>230 млн пользовательских данных >310 млн пользовательских данных

>33 млн записей с паролями >47 млн записей с паролями

23% — представители Топ-10 утечек 54% утечек

крупного бизнеса содержат 74% всех содержали парольную информацию
от общего числа жертв скомпрометированных данных

17 фактов утечек из 133 4,5% утечек md5 (pass+salt)

были подтверждены пострадавшими содержали пароли в открытом виде самый популярный алгоритм
компаниями публично хеширования паролей

Ритейл и интернет-сервисы — лидеры по числу фактов утечек

Ритейл и финансы — лидеры по объему утечек пользовательских данных

1 Значимая утечка данных — утечка данных, в результате которой было скомпрометировано более 5 тыс. строк пользовательских данных или которая получила
резонанс в СМИ

2 С января по октябрь 2023 года

Ключевые результаты Содержание 4

Тренды 2023

Telegram — основной канал Смещение фокуса на публикацию

распространения публичных утечек данных компаний крупного бизнеса

Увеличение количества утечек в организациях сфер:

Здоровье Финансы IT

Компании выбирают «осторожную» позицию при публичном комментировании

произошедшего инцидента или полностью отрицают факт утечки данных

Атаки на 1C-Bitrix — один из основных векторов кражи данных

47% опубликованных утечек, содержащих парольную информацию, указывают
на использование данной CMS в целевой системе
Введение Содержание 5

Введение
Аналитический отчет содержит информацию о значимых утечках данных в российских компаниях,
публикация которых произошла в период с января по октябрь 2023 года. Команда Kaspersky Digital
Footprint Intelligence отслеживает факты компрометации пользовательских данных, происходящие
чуть ли не на ежедневной основе, предоставляя клиентам возможность в числе первых узнавать
о произошедших инцидентах и оперативно реагировать на них.

В отчете представляем результаты нашей аналитики, на основании которой мы можем отследить

изменения, произошедшие в сфере утечек данных российских компаний, и ответить на вопросы:

Участились ли инциденты, связанные с публикацией

скомпрометированных данных компаний и их клиентов в 2023 году?

Какие отрасли в первую очередь попали

под удар злоумышленников?

Сколько пользовательских данных было

скомпрометировано?

Сколько и в каком виде парольной информации стало

доступно атакующим?

Как бизнес реагировал на утечки?

Введение Содержание 6

Что такое утечка данных?

Утечка данных — инцидент информационной безопасности, при котором конфиденциальная
информация становится доступной для посторонних лиц. В контексте данного отчета под
конфиденциальной информацией рассматриваются данные пользователей и сотрудников российских
организаций, опубликованные в свободном доступе в интернете.

Как отличить фейковую утечку от реальных данных?

Подтвердить факт утечки пользовательских данных может только владелец данных, поэтому наличие
комментария в СМИ или на официальном сайте / форуме / Telegram-канале компании является
единственным однозначным признаком достоверности опубликованных материалов.

Во всех остальных случаях можно только сделать предположительное заключение, основанное

на анализе:

Уникальности Адекватности Структуры данных

Проверяется сопоставлением Оценка структуры Вероятность подделки

данных из утечки опубликованных данных json или sql файла ниже,
с предыдущими утечками, и их формата, путем чем обычного текстового
опубликованными сопоставления значений документа. Явные признаки
в свободном доступе. отдельных колонок таблицы. редактирования, изменения
Во внимание берутся такие документа вызывают
значения, как ФИО, дата дополнительные подозрения.
рождения, технические
даты, адрес электронной
почты и т. д.

Комментариев Источника публикации Ресурса

Анализ комментариев Регулярный анализ Проверить наличие

в Telegram-сообществах опубликованных материалов регистрации определенного
и теневых площадках является от отдельных группировок пользователя можно через
неотъемлемой частью или пользователей с теневых форму восстановления
анализа утечек данных. площадок позволяет пароля на предположительно
Также стоит обращать составить их репутацию скомпрометированном
внимание на экспертные и сформировать их паттерн ресурсе.
мнения насчет уникальности поведения, «подчерк»,
и достоверности данных. который может также
помочь сделать вывод
о достоверности данных.
 Зачем анализировать факты утечек данных? Содержание 7

Зачем анализировать факты утечек данных?

1

Скомпрометированные учетные записи, находящиеся в публичных утечках данных, также могут

использоваться злоумышленниками для получения доступа к корпоративным ресурсам компаний-
жертв. Даже если утечка является не самой новой, наличие публично скомпрометированного аккаунта,
подходящего под парольную политику, может привести к компрометации привилегированного
аккаунта через неопределенное время. Сотрудники часто используют корпоративные адреса
электронной почты для регистрации на сторонних сервисах, поэтому информация из сторонних утечек
дает возможность узнать о скомпрометированных учетных записях сотрудников.

Таблица 1 Как атакующие проникают внутрь организаций¹

2019 2020 2021 2022

Эксплуатация уязвимостей
в публично доступных 37,0% 53,6% 53,6% 42,9%
приложениях

Скомпрометированные учетные
записи 13,0% 53,6% 17,9% 23,8%

Вредоносные письма 30,0% 23,7% 11,9% 11,9%

Не все утечки остаются в поле зрения СМИ и экспертов сообщества информационной безопасности.
Поэтому важно предоставить всем организациям и пользователям возможность получать
информацию о компрометации данных как можно быстрее. Для первых — это возможность
минимизировать репутационные или регуляторные риски, для других — это повышение цифровой
осведомленности и возможность узнать о компрометации парольной информации.

Анализ жертв данных дает представление о текущих трендах, не только связанных с изменением
фокуса злоумышленников, но и о потенциальных векторах атак, использующихся атакующими, а значит,
позволяет выстроить защиту и минимизировать риски, связанные с применением этих атак.

1 Аналитический отчет Kaspersky: Природа инцидентов информационной безопасности 2022

Распространение утечек данных Содержание 8

Распространение утечек данных

За январь — октябрь 2023 года установлено 133 факта публикаций значимых баз данных, относящихся
к российским компаниям, что на 6% меньше, чем за аналогичный период 2022 года.

В большинстве случаев повышение или понижение активности публикаций не прогнозируемо

и в первую очередь зависит от желания злоумышленников разместить имеющийся материал
в конкретный момент времени.

Однако мы наблюдали как минимум 2 фактора, которые могут свидетельствовать о возможной

активизации злоумышленников в части размещения скомпрометированных пользовательских данных:

1 Наличие громких публикаций у противоборствующих группировок

2 Обострение общемировой политической обстановки

График 1 Распределение количества утечек данных по годам

35

2023
30

2022 25

20

15

10

0
янв февр март апр май июнь июль авг сент окт

Одним из факторов снижения количества публикаций в 2023 году стала приостановка работы
международной теневой площадки Breached в марте, на которой активно публиковались утечки
данных российских пользователей и компаний. В результате закрытия форума часть злоумышленников
на какое-то время потеряла доверенное место для размещения скомпрометированных данных.
Распространение утечек данных Содержание 9

Помимо краткосрочного снижения количества публикаций, объем опубликованных утечек

в марте окончательно закрепил за Telegram статус основной площадки по распространению
скомпрометированных данных (67% публикаций против 29% в 2022 году).

График 2 Распределение публикаций утечек данных и каналы

распространения

30

Telegram
25

Теневые
20
площадки

15

10

0
янв февр март апр май июнь июль авг сент окт ноя дек янв февр март апр май июнь июль авг сент окт
2022 2023

Ситуация с распространением публичных баз данных в 2023 году кардинально противоположная

2022 году, когда основным каналом распространения утечек были теневые площадки. Предпосылок
к снижению популярности Telegram, основного канала бесплатного распространения утечек,
в ближайшее время не предвидится, несмотря на периодические блокировки отдельных сообществ,
связанных с киберпреступными группировками.

График 3 Источник публикации утечки данных

89
2023 Telegram
41

2022
44
Теневые площадки
98

Twitter
2
Актуальность утечек данных Содержание 10

Актуальность утечек Диаграмма 1 Предполагаемый год

утечки
данных
В 2023 году в результате 133 значимых
утечек было опубликовано более 310 млн 13% 3%
пользовательских данных:

315 337 785 пользовательских данных

Несмотря на небольшое снижение (6%), 13%

количества публикаций утечек в 2023 году,
наблюдается рост 33% в объеме
скомпрометированных данных.

Большинство опубликованных
скомпрометированных данных (71%) датируется
текущим годом, что говорит о том, что
сами данные являются актуальными, а сами 71%
инциденты по компрометации этих данных
произошли недавно.

2023 2022 2021 До 2021

(или
не удалось
установить)

Действия злоумышленников носят Интервал времени от утечки

Диаграмма 2
системный характер, можно сказать, что данных до публикации
атаки, направленные на компрометацию
пользовательских данных, происходят
регулярно.
12%
55% опубликованных утечек
размещались в свободном 6%
доступе в течение месяца после
предполагаемой даты выгрузки
из базы данных компании. 10%

В течение До 2-х От 2-х до 6

месяца месяцев месяцев 7% 55%

От 6 месяцев Более года Не 10%

до года установлено
 Профиль жертвы Содержание 11

Профиль жертвы
Как и в 2022 году, главный удар злоумышленников пришелся на компании из сферы «Ритейл» — 23%
от всех опубликованных утечек. В первую очередь это объясняется преобладающим количеством
организаций из данной сферы в российском бизнесе¹.

Третье место по количеству утечек занимают организации сферы «Финансов», где мы наблюдаем
семикратный рост по сравнению с 2022 годом. Большой рост публичных инцидентов, связанных с
утечками данных в 2023 году, произошел в организациях сферы «Здоровье» и IT-компаниях, когда в
2022 году данные сферы являлись менее пострадавшими от утечек.

Таблица 2 Топ-5 пострадавших отраслей от утечек данных

2022 2023

Ритейл Ритейл

Рестораны и доставки еды Интернет-сервисы

Интернет-сервисы Финансы (7 раз)

Карьера и образование Карьера и образование

Транспорт IT (3,5 раз )

Увеличение количества атак на финансовые и IT-организации, в особенности на компании сферы

«Здоровье», является неутешительным трендом 2023 года по причине критичности данных, которые
обрабатываются и хранятся в этих компаниях.

1 Раздел «Отрасли и экономика»

Подробнее
Профиль жертвы Содержание 12

График 4 Количество утечек данных по отраслям

31
Ритейл
37
2023
15
Интернет-сервис
18

14
2022 Финансы
2

12
Карьера и образование
13

11
IT
3

10
Госорганы
6

9
Здоровье
1

5
Рестораны и доставка еды
18

3
Телекоммуникации
4

3
Развлечение
5

3
Некоммерческая организация
2

2
СМИ
8

2
Социальная сеть
3

2
Доставка
4

2
Недвижимость
2

1
Производство
4

1
Транспорт
6

7
Другое
5

Большая часть данных включает информацию о пользователях ресурсов и/или их историю заказов.
Базы данных сотрудников в 2023 году публиковались реже (2 публикации против 5 в 2022 году).
Профиль жертвы Содержание 13

Лидерами по объему скомпрометированных данных являются компании из сферы «Ритейл» (49%)

и «Финансы» (23%). На графике 5 показано соотношение опубликованных пользовательских данных год
к году, где можем видеть значительный рост в таких сферах, как «Финансы», «Карьера и образование».
Несмотря на значимость в количественном соотношении, что показывает интерес злоумышленников
к определенным сферам, количество опубликованных данных в первую очередь зависит от размеров
компаний и объемов хранимой информации, где произошла утечка.

График 5 Соотношение скомпрометированных пользовательских данных

по отраслям

153 784 809

Ритейл
28 308 980
2023
72 245 892
Финансы
255 675

2022 Интернет-сервис
7 380 684
23 269 837

13 145 214
Карьера и образование
3 358 430

12 045 552
Здоровье
18 166 783

10 963 439
Производство
57 506

8 133 808
IT
1 055 023

6 171 182
Госорганы
708 757

3 460 482
Недвижимость
235 374

1 504 238
Доставка
94 863 375

1 028 570
Развлечение
9 387 371

573 394
Рестораны и доставка еды
13 704 285

420 856
СМИ
28 513 401

234 773
Телекоммуникации
6 493 811

188 110
Социальная сеть
18 062 500

59 567
Некоммерческая организация
315 064

7 788
Транспорт
4 954 972

7 608 365
Другое
968 858
Профиль жертвы Содержание 14

Таблица 3 Топ-5 отраслей по объемам скомпрометированных данных

2022 2023

Доставка Ритейл (5 раз)

СМИ Финансы (282 раза)

Ритейл Интернет-сервисы (3 раза)

Здоровье Карьера и образование (4 раза)

Социальные сети Здоровье

Топ-10 утечек по объемам данных содержат в себе 74% всех

скомпрометированных данных, опубликованных в 2023 году.

В каких сферах были самые крупные утечки?

Интернет-
4 Ритейл 2 Финансы 1 сервисы

Карьера
1 Здоровье 1 и образование
1 Производство
Профиль жертвы Содержание 15

Несмотря на то, что большинство атак, как и в прошлом году, направлено на представителей малого
и среднего бизнеса, именно атаки на крупный бизнес оставляют больший общественный резонанс
и значительную часть пользовательских данных (71%). Возможно, по этой причине количество
публичных инцидентов, связанных с утечками данных, у представителей крупного бизнеса в 2023 году
на 58% больше.

График 6 Количество утечек по пострадавшим компаниям

87
2023 Малый/средний бизнес
114

2022
30
Крупный бизнес
19

15
Не применимо
8

График 7 Объем утечек по пострадавшим компаниям

220 447 609

2023 Крупный бизнес
137 665 081

2022
73 764 618
Малый/средний бизнес
74 217 674

16 584 544
Не применимо
24 908 094
Реакция бизнеса Содержание 16

Реакция бизнеса
Мы наблюдаем положительную тенденцию в части наличия публичных реакций бизнеса на утечки
данных. Но несмотря на предметный интерес СМИ к данной теме, наличие публичной реакции более
свойственно представителям крупного бизнеса в случае масштабной или резонансной утечки.

График 8 Наличие реакции на утечку данных

109

2023
93

2022

40
32

Да Нет

В 2023 году уменьшилось количество публично подтвержденных инцидентов; как результат —

все больше компаний выбирают «осторожную» позицию либо полностью отрицают какой-либо
факт утечки.

График 9 Реакция бизнеса на утечку данных

23
2023

17

2022 14

5
4

Проводят проверку Опровергли Подтвердили

Реакция бизнеса Содержание 17

Облако тегов «Типовые комментарии представителей компаний

по инцидентам об утечке данных»

Подрядчик Проверкой занимаются правоохранительные органы Фейк

Информация не соответствует действительности Сгенерированные сведения

Не было никакого слива Проводится внутреннее расследование

Скомпрометированный аккаунт Компрометация ресурса

Подверглись хакерской атаке Сторонний сервис Проходит проверка

Материалы направлены в правоохранительные органы Необходима проверка

Необходимо все проверить Причины утечки устранены Атака на сайт

Постороннего доступа к базам данным не зафиксировано Взлом админ-панели

Причины утечки устранены Атака на тестовый сервер

Сбоев не было Персональные данные находятся в безопасности

Парольная информация Содержание 18

Парольная информация
Компрометация парольной информации является одним из основных последствий утечек
баз данных. Под угрозой находятся как личные аккаунты пользователей, так и корпоративные.
Несмотря на проведение программ повышения осведомленности, пользователи часто используют
корпоративные почтовые адреса для регистрации на сторонних ресурсах.

Строк, содержащих парольную информацию,

было скомпрометировано злоумышленниками

Действительно пароли хранятся в базах данных преимущественно в хешированном виде, но в случае

использования слабого алгоритма хеширования злоумышленник без труда может получить
пароль в открытом виде, задействовав как свои вычислительные мощности, так и обратившись
к специализированным сервисам, предоставляющим услуги расхеширования паролей.

Стоит отметить, что в части публикуемых баз данных злоумышленники целенаправленно удаляли
столбцы, связанные с парольной информаций, что может говорить либо о параллельной/будущей
продаже данных или намерении использовать их в других целях.

В 54% Самым популярным sha512-crypt

алгоритмом хеширования
опубликованных является: • в 13% утечек, содержащих пароли
баз данных • более защищенный алгоритм
содержалась парольная md5 (pass+salt) • используется в современных
версиях CMS 1С-Bitrix
информация
• в 35% утечек, содержащих пароли
• используется в CMS 1C-Bitrix md5
В 8% до версии 20.5.400
• в 18% утечек, содержащих пароли
баз данных, содержащих • менее защищенный алгоритм
парольную информацию,
пароли хранились в открытом виде.
Преимущественно это небольшие
интернет-сервисы, реализованные
с использованием PHP.
 Подробнее Подробнее

[Link]

© 2023 АО «Лаборатория Касперского».

Зарегистрированные товарные знаки и знаки
#kaspersky
обслуживания являются собственностью
их правообладателей. #активируйбудущее