Поделиться
Опасная эволюция: Group-IB предупредила о главных киберугрозах 2023 года
Group-IB, компания, специализирующаяся на исследовании высокотехнологичной преступности и защите от кибератак, назвала главные киберриски в новом аналитическом отчете «Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023». Эксперты компании прогнозируют, что в 2023 г. программы-вымогатели останутся киберугрозой номер один для бизнеса, рынок продажи доступов в корпоративные сети продолжит расти, а украденные с помощью стилеров данные станут основным способом доступа в сети атакуемых организаций. Антирекорд 2022 г. по числу утечек баз данных российских компаний может быть побит, а целевой фишинг и таргетированные атаки на сотрудников компаний снова будут в тренде.
2023: шифровальщики остаются киберугрозой №1
В 2023 г. империя программ-вымогателей сохранит за собой лидерство в рейтинге основных киберугроз для бизнеса, уверены эксперты Group-IB. В 2022 г. самыми активными группами были Lockbit, Conti и Hive. Специалисты подчеркивают, что структура преступных группировок продолжает усложняться и все больше напоминает структуру легальных ИТ-стартапов со своей иерархией, системой найма, обучения, мотивации и отпусками.
Индустрия шифровальщиков существует и развивается за счет партнерских программ (Ransomware-as-a-Service, RaaS). Разработчики продают или сдают в аренду вредоносное ПО своим партнерам для дальнейшего взлома сети и развертывания программ-вымогателей. За анализируемый период (H2 2021 — H1 2022) Group-IB обнаружила 20 новых публичных партнерских программ. Из них в 2023 г. выживут только сильнейшие: мелкие группы, как и в 2022 г. будут распадаться, а их участники перейдут в более крупные.
Число сайтов, где злоумышленники публикуют похищенные данные компаний для более эффективного давления жертву (Dedicated Leak Sites, DLS), выросло в указанном периоде на 83%, достигнув 44. По данным Group-IB, ежедневно на DLS оказываются данные восьми жертв, атакованных шифровальщиками, а всего в публичном доступе были выложены данные 2894 компаний.
Как и ранее большинство атак вымогателей приходилось на компании из США, однако 2022 г. окончательно поставил точку в вопросе, атакуют ли шифровальщики российские компании. Количество атак с целью выкупа за расшифровку данных на бизнес в России в 2022 г. увеличилось в три раза, а рекорд по сумме выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд руб. Однако подсчитать общий ущерб или количество жертв достаточно сложно в силу того, что данные российских компаний почти не выкладываются на DLS.
Однако, благодаря тому, что билдеры и исходные коды некоторых популярных программ-вымогателей, например, Conti и LockBit, попали в публичное пространство, криминалисты Group-IB зафиксировали их использованием и на территории России. Были замечены и другие тренды, например, активное использование в качестве шифровальщика легального ПО — BitLocker, а также атаки вымогателей с целью уничтожения ИТ-инфраструктуры жертвы, а не для получения финансовой выгоды.
2023: продажа доступов к взломанным корпоративным сетям будет расти
Рост спроса на рынке продажи доступов в скомпрометированные сети компаний подпитывает индустрию вымогателей с новой силой. За анализируемый в отчете период рынок продавцов доступов в даркнете вырос более чем в два раза, при этом средняя цена доступа уменьшилась вдвое по сравнению с аналогичным периодом ранее. Чаще всего злоумышленники реализуют свой «товар» в виде доступов к VPN и RDP (протокол удаленного рабочего стола).
Всего Group-IB обнаружила 380 брокеров по продаже доступов к скомпрометированной инфраструктуре компаний, которые опубликовали более 2300 предложений на даркнет-форумах. Самыми активными были злоумышленники под никами Novelli, orangecake, Pirat-Networks, SubComandanteVPN, zirochka — их предложения в сумме составили 25% от всего рынка продажи доступов.
2023: данные стилеров станут главным источником доступов в компании
Использование стилеров — вредоносных программ для кражи данных с зараженных компьютеров и смартфонов пользователей — становится новым способом получения доступов в инфраструктуру компаний.
В 2022 г. данные, украденные с помощью стилеров, вошли в топ-3 самого продаваемого «товара» в даркнете наряду с продажей доступов и текстовыми данными банковских карт (имя владельца, номер карты, срок истечения, CVV).
Заражение стилером обычно происходит через инфицированный файл, загруженный на компьютер жертвы. Это не целевая атака, но она затрагивает большую группу пользователей. В результате хакеры получают текстовые данные, содержащие логины, пароли, cookie-сессии, фингерпринты браузера, системные данные пользователя, личные файлы жертвы, доступы к мессенджерам и криптовалютным кошелькам.
С ростом популярности удаленной работы и сервисов единого входа (SSO) доступы к критической инфраструктуре компаний стали чаще попадать в логи стилеров. За анализируемый период в логах стилеров на андеграундных маркетах было обнаружено более 400 тыс. доступов к сервисам единого входа (SSO), 18 тыс. – к VPN и 3000 – к сервисам Citrix. За период H2 2021 – H1 2022 специалисты Group-IB обнаружили более 200 объявлений о продаже стилеров и более 150 тем с бесплатной раздачей этого типа вредоносного ПО на киберпреступных форумах.
В целом, стилеры стали второй по значимости киберугрозой 2022 г. после программ-вымогателей. Также русскоязычные скамеры, раньше работавшие в 2019-2021 гг. по схеме «Мамонт» с курьерской доставкой, арендой, фейковыми свиданиями в 2022 г. переключились на атаки с помощью стилеров для кражи данных с целью последующей монетизации.
Еще один тренд — данные, похищенные с помощью стилеров, злоумышленники все чаще хранят на облаках логов – специальном сервисе для доступа к украденной конфиденциальной информации. Впервые эти сервисы появились в 2018 г., однако пик популярности пришелся на 2022 г., когда было обнаружено 102 облака. В облаках логов было обнаружено более 12 тыс. доступов к сервисам Auth0, 1700 Okta, и 700 OneLogin.
Аналитики Group-IB Threat Intelligence отмечают высокий спрос на логи, который в свою очередь приведет к росту числа атак с использованием стилеров.
2023: увеличится количество утечек баз данных
Подавляющее большинство утечек баз данных российских компаний, которые появлялись в 2022 г. на андеграундных форумах и тематических Telegram-каналах были выложены бесплатно в публичный доступ. На фоне текущего геополитиче-ского кризиса у киберпреступников изменился мотив: не заработать, а нанести ре-путационный или экономический ущерб российскому бизнесу и его клиентам.
За три летних месяца в сеть попало 140 баз, причем антирекорд был поставлен в августе — 100 утечек, включавших базы данных 75 российских компаний. Среди жертв оказались интернет-сервисы доставки, транспортные, строительные и медицинские компании, онлайн-кинотеатры, телеком-операторы и др. В целом, общее количество строк всех летних сливов, по оценкам экспертов Group-IB, составило 304 млн.
В 2023 г. количество скомпрометированных баз данных может увеличиться, а интенсивность самого противостояния в киберпространстве будет возрастать.
«Российский рынок сервисов на основе киберразведки переживает новое рождение, своего рода ренессанс, поскольку большинство российских компаний в 2022 г. осознали, что огромное количество решений для кибербезопаности бесполезны, они не укомплектованы технологиями сканирования даркнета, не сопоставляют атаку и атакующего, не имеют предикативной аналитики и не позволяют строить собственную картину киберугроз для каждой отдельно взятой компании, — сказал Валерий Баулин, генеральный директор Group-IB в России и СНГ. — Используя уникальные решения для слежения за инфраструктурой, тактикой и инструментами киберпреступников, эксперты Group-IB в своем новом аналитическом отчете дают детальный срез киберугроз и ответы на вопросы, кто, как и зачем атакует бизнес».
***
Group-IB — разработчик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. Штаб-квартира регионального подразделения Group-IB (Россия и СНГ) расположена в Москве. Компания является резидентом «Сколково» и Иннополиса. Международные Центры исследования киберугроз Group-IB находятся в Азиатско-Тихоокеанском регионе (Сингапур), на Ближнем Востоке (Дубай), в Европе (Амстердам).
Короткая ссылка
