Специалисты Центра кибербезопасности компании F6 опубликовали новый блог, в котором подняли проблему утечки персональных данных и документов, содержащих коммерческую тайну, через публичные инструменты – «песочницы».
Например, онлайн-песочницы VirusTotal, JoeSandbox, Any.Run помогают оценить степень угрозы загружаемых на проверку пользовательских файлов, писем и ссылок. Однако, у этих сервисов есть и обратная сторона. Отчеты о проверках становятся публично доступными для всех пользователей, включая злоумышленников. Так они могут отслеживать загрузку своих инструментов и корректировать свои методы, если атака была обнаружена.
Кроме того, загружаемые файлы могут содержать персональные данные или служебную информацию, чем могут воспользоваться как атакующие, так и конкуренты. И, наконец, загруженные в публичные «песочницы» файлы могут содержать конфиденциальные данные, такие как конфигурации, IP-адреса, имена пользователей и другие артефакты, позволяющие идентифицировать организацию-жертву, что несет еще и репутационные риски.
Для исследования эксперты F6 взяли публичную онлайн-песочницу Any.Run. Эта популярная интерактивная платформа позволяет просматривать не только публичные отчеты, но и скачивать файлы из отчетов после прохождения регистрации, в отличие от платформ VirusTotal или JoeSandbox, где обычному пользователю этого сделать нельзя. В процессе анализа файлов, загруженных, согласно телеметрии Any.Run, пользователями за 2024-2025 год с территории России, эксперты выделили 3 основных типа файлов, которые могут представлять интерес для злоумышленников:
1. Содержащие персональные данные физических лиц. В ходе исследования были обнаружены не только факты распространения данных одного субъекта ПДН, но и целые списки, содержащие данные работников различных предприятий, вероятно загруженные на проверку кем-то из ответственных лиц. Подобная информация может использоваться злоумышленниками для персонализации фишинговых рассылок или, например, при реализации популярных мошеннических схем с использованием социальной инженерии, таких как FakeBoss или «Мамонт».
2. Содержащие коммерческую тайну различных предприятий, а также внутренние регламенты, производственные документы, документы контрагентов и договорную информацию.
3. Файлы и документы, свидетельствующие об инциденте ИБ внутри организации. Документы, являющиеся приманкой, а также корпоративные документы, с высокой долей вероятности являются настоящими, и не содержат признаков подделки.
Точную цифру объема утекающей информации назвать сложно, но можно назвать лидера – это персональные данные физических лиц. По объему ПДН граждан в разы превышают объем корпоративной информации, оказавшейся в публичном доступе. Цифра за год может варьироваться от сотен до нескольких тысяч уникальных записей. Только в одном документе представленном выше находилось почти 1300 записей.
Напомним, что в России меняется законодательство в области обработки персональных данных. С 30 мая 2025 года вступает в силу Федеральный закон от 30.11.2024 № 420-ФЗ, а также уже вступил в силу Федеральный закон от 30.11.2024 № 421-ФЗ, которые ужесточают административную и вводят уголовную ответственность за утечки персональных данных. Новые правила игры требуют большей ответственности, причем не только со стороны операторов персональных данных. Компании, сотрудники которых загружают на проверку файлы, содержащие персональные данные клиентов и работников, рискуют получить серьезные штрафы за утечку персональных данных, а в некоторых случаях уголовное наказание.
Читать блог на сайте F6.
Выводы и рекомендации
Хотя прямых законодательных запретов на загрузку ВПО в публичные песочницы в большинстве стран нет, существует устоявшаяся практика и рекомендации в профессиональном сообществе.
— Необходимо регулярно проводить обучения по цифровой гигиене и повышения осведомленности в ИБ для сотрудников. Каждый сотрудник, взаимодействующий с той или иной информационной системой, обязан знать основы ИБ в том объеме, который позволит повысить уровень ИБ в организации, не нарушая бизнес-процессов.
— Для проверки файлов на ВПО используйте Sandbox-решения только доверенных ИБ-вендоров, чтобы предотвратить попадание чувствительных материалов в руки злоумышленников.
— Ввести для сотрудников запрет на загрузку конфиденциальных файлов в публичные песочницы. Перед загрузкой файлов в публичные песочницы убедиться в отсутствии в них конфиденциальной информации.
— Используйте не файлы, а хеши файлов. Вместо загрузки файла можно проверить его хеш на наличие в базах данных песочниц, что позволяет получить информацию о файле без фактической его отправки.
— Регулярно проверяйте политики ИБ и адаптируйте их под современные угрозы.
— Применяйте решения класса DLP (Data Loss Prevention) для предотвращения утечки данных.
—Ограничьте круг лиц, имеющих доступ к конфиденциальной информации. Используйте виртуальные машины для просмотра подозрительных документов, которые могут содержать конфиденциальную информацию.
— Необходимо использовать наиболее устойчивые ко взлому форматы архивов 7z и RAR5. Не использовать ZIP.
Источник: habr.com