Поделиться
Киберпреступный триумвират: F.A.С.С.T. назвала главные киберугрозы 2024 года — шпионы, хактивисты, вымогатели
Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, проанализировала актуальные киберугрозы в новом ежегодном отчете «Киберпреступность в России и СНГ, 2023–2024 гг. Тренды, аналитика, прогнозы». По мнению авторов исследования, в условиях продолжающегося геополитического конфликта российские компании и госучреждения в текущем году столкнутся с новыми более мощными кибератаками со стороны групп «двойного назначения», хактивистов и банд вымогателей. Итогом подобных атак может стать разрушение инфраструктуры, крупный материальный ущерб и появление очередных утечек — похищенных баз данных компаний на андеграундных форумах и в тематических Telegram-каналах.
Новый флагманский отчет является единственным и наиболее полным источником стратегических и тактических данных о киберугрозах, актуальных для России и СНГ в период острого геополитического конфликта. Исследование станет практическим руководством по стратегическому и тактическому планированию проактивной киберзащиты для руководителей групп кибербезопасности, аналитиков SOC, CERT, специалистов по реагированию на инциденты, Threat Intelligence и Threat Hunting, а также компаниям из различных секторов.
Аналитики департамента Threat Intelligence компании F.A.С.С.T. выделили в прошлом году 14 прогосударственных хакерских групп (APT, Advanced Persistent Threat), которые атаковали организации на территории России и стран СНГ. Чаще всего цели APT-группировок находились в России (28 атак), Азербайджане (6 атак), Белоруссии, Киргизии, Казахстане (по 4 атаки). В основном, мишенями атакующих оказывались госучреждения, организации, связанные с критически важной инфраструктурой, военные ведомства и предприятия оборонно-промышленного комплекса.
За большинством DDoS-атак и публикацией скомпрометированных баз данных российских компаний в 2023 г., как выяснили эксперты F.A.C.C.T., стояли проукраинские хактивисты. В то же время кибершпионажем в России и СНГ по-прежнему занимаются и группировки из не участвующих прямо в конфликте стран, например, Китая или Северной Кореи.
Кроме того, были зафиксированы инциденты, когда инфраструктуры российских компаний были скомпрометированы с участием бывших сотрудников. Многие из них совершали свои противоправные действия, находясь за пределами России.
В 2024 г. в условиях продолжающегося острого геополитического конфликта приоритетными целями хактивистов и прогосударственных хакерских групп будут шпионаж, кража интеллектуальной собственности и получение доступа к базам данных компаний — в первую очередь госорганизаций, предприятий военно-промышленного и научно-исследовательского сектора. Кроме того, эксперты F.A.С.С.T. предупреждают о рисках проведения новых сложных кибератак на российские организации через компрометацию их поставщиков, вендоров и партнеров.
В 2023 г. эксперты F.A.C.C.T. вновь наблюдали взрывной рост киберугроз и высокотехнологичных атак на российские компании. Так, количество атак программ-вымогателей для получения выкупа выросло на 160%, средняя сумма первоначального выкупа по итогам 2023 года составила 53 млн рублей. Жертвами чаще всего становились ритейлеры, производственные, строительные, туристические и страховые компании.
Обнаруженный экспертами F.A.C.C.T. преступный синдикат Comet (Shadow) — Twelve стал «открытием года», поскольку продемонстрировал новую тенденцию — появление групп «двойного назначения», которые преследуют как финансовые, так и политические цели. Одной из новых тактик злоумышленников стала кража учетных записей в Telegram на устройствах жертв, что уже после проведения атаки позволяло шпионить за сотрудниками атакованной компании.
Кроме того, впервые в России некоторые группировки вымогателей, например Shadow (Comet) и Werewolves, стали выкладывать данные об атакованных российских компаниях на собственные DLS-ресурсы. Публичное сообщение об атаке и угроза публикации украденных данных — это дополнительный инструмент давления на жертву, который уже давно и успешно применялся за пределами России.
По мнению экспертов F.A.C.C.T., программы-вымогатели в 2024 г. сохранят за собой первое место в списке главных киберугроз для российских компаний. Одной из причин успеха их атак является и растущий теневой рынок продажи скомпрометированных доступов в инфраструктуру потенциальных целей. Возможность получения доступа к скомпрометированному хосту намного упрощает работу атакующих.
Для хранения, продажи и распространения похищенных данных злоумышленники всё чаще используют облака логов (Underground Cloud of Logs, UCL), специальные сервисы для доступа к украденной конфиденциальной информации, через которые проходят огромные потоки украденных данных, полученных в основном с помощью вредоносных программ-стилеров. Облака логов являются для киберпреступников ценным источником скомпрометированных данных для развития атак на компании в России и СНГ.
По сравнению с прошлым годом количество облаков логов выросло в три раза в 2023 г.: эксперты F.A.C.C.T. обнаружили около 300 облаков логов (в прошлом году — 102 облака).
В 2023 г. в облаках зафиксирован пятикратный рост количества данных, имеющих отношение к крупным банкам в России и СНГ: с 496 до 2282 скомпрометированных хостов — рабочих станций, компьютеров, на которых с помощью стилера была скомпрометирована учетная запись хотя бы одной крупной финансовой организации.
Еще одним источником приобретения данных банковских карт, доступов к серверам, панелям управлениям или аккаунтам пользователей являются теневые андеграундные маркеты. Благодаря тому, что все подобные ресурсы собираются и обрабатываются автоматическими системами F.A.C.C.T. в реальном времени, читатели отчета могут ознакомиться со статистикой скомпрометированных хостов — компьютеров или серверов пользователей. Среди стран СНГ, чьи скомпрометированные данные были выставлены на продажу на андеграундных маркетах, кроме России, оказались Азербайджан (5523), Узбекистан (2183) и Армения (798).
«Согласно нашим прогнозам, в наступившем 2024 г. российские компании и госучреждения снова столкнутся с повышенной активностью кибершпионов, атаками программ-вымогателей, утечками данных, DDoS и дефейсами сайтов в исполнении хактивистов, — сказал Валерий Баулин, генеральный директор компании F.A.C.C.T. — Для эффективного предупреждения кибератак еще на этапе их подготовки, мы настоятельно советуем использовать как данные Threat Intelligence, так и комплексные решения для защиты от сложных и неизвестных киберугроз — атак периметра, электронной почты, поиска уязвимостей и теневых активов компании. Обязательно изучите собранные в отчете экспертами F.A.C.C.T. рекомендации по защите цифровой инфраструктуры, а также прогнозы об актуальных киберугрозах на 2024 г., которые, как мы уже не раз убеждались, имеют обыкновение сбываться».
Данные о тактиках, об инструментах и активности атакующих были получены благодаря использованию платформы киберразведки F.A.С.С.T. Threat Intelligence, флагманского решения для защиты от сложных и неизвестных киберугроз F.A.С.С.T. Managed XDR, а также непосредственно во время реагирований на инциденты информационной безопасности в России и странах СНГ.
Короткая ссылка
