BI.ZONE выяснила подробности хищения данных у 40 российских компаний
Группировка Leak Wolf взламывает российские компании и публикует их данные в своем Telegram-канале. При этом хактивисты не применяют вредоносное ПО. Они маскируются под реальных сотрудников организаций и ускользают от служб кибербезопасности. Об этом CNews сообщили представители BI.ZONE.
В 2022 г. именно хактивисты обеспечили рост инцидентов, связанных с утечками данных. У таких преступников нет финансовых мотивов, как у кибервымогателей, или шпионских целей, как в случае со спонсируемыми государством группировками. Они стремятся взломать компании из «моральных» побуждений.
Leak Wolf — один из характерных примеров этого типа злоумышленников. Основную деятельность они начали в апреле 2022 г. — именно тогда в подконтрольном группе Telegram-канале были размещены данные нескольких жертв. Leak Wolf провела атаки более чем на 40 российских компаний. Чаще всего от ее действий страдали организации из сфер розничной торговли, образования и информационных технологий.
В отличие от других группировок Leak Wolf не пыталась эксплуатировать популярные уязвимости в публично доступных приложениях, использовать вредоносное ПО или фишинговые почтовые рассылки. По данным управления киберразведки BI.ZONE, атакующие использовали аккаунты сотрудников компаний или доступы ИТ-подрядчиков. Так злоумышленникам удавалось долго оставаться незамеченными. Чтобы не привлекать внимания, преступники также арендовали серверы на территории России, либо использовали VPN для удаленного доступа. Учитывая популярность дистанционной работы, в том числе из ближнего зарубежья, это не вызывало подозрения у служб безопасности.
Помимо взлома ИТ-провайдеров, злоумышленники получали несанкционированный доступ, анализируя утечки данных физических лиц. Сотрудники компаний нередко пренебрегают цифровой гигиеной: регистрируются в сторонних сервисах с рабочими email, используют простые пароли, не меняют их от аккаунта к аккаунту.
После проникновения в инфраструктуру компании злоумышленники сканировали сеть, собирали важную для бизнеса информацию (например, клиентскую базу), загружали в облачное хранилище и публиковали ссылку в своем Telegram-канале.
«Почти 60% инцидентов, которые довелось расследовать нашей команде в 2022 г., были связаны с утечками. Количество подобных атак по сравнению с 2021 г. увеличилось в четыре раза. Действия Leak Wolf в очередной раз доказывают, что злоумышленникам вовсе не обязательно использовать для своих целей вредоносное программное обеспечение. Обнаружить подобные инциденты без эффективного мониторинга практически невозможно, более того, необходим проактивный поиск угроз», — сказал Олег Скулкин, руководитель управления киберразведки BI.ZONE.
Чтобы снизить риски подобных атак, необходимо наладить мониторинг событий кибербезопасности в рамках SOC. Если инцидент уже произошел, важно быстро отреагировать и запустить расследование. Это позволит понять, как злоумышленники попали в системы компании, изолировать скомпрометированные ресурсы от корпоративной сети, исключить возможность повторной атаки по схожему пути.
***
BI.ZONE — компания по управлению цифровыми рисками, которая помогает организациям по всему миру безопасно развивать бизнес в цифровую эпоху. Специализируется на подготовке индивидуальных стратегий для сложных проектов на основе более чем 40 собственных продуктов и услуг, а также предлагает автоматизированные решения и аутсорсинг для небольших компаний. С момента основания в 2016 г. реализовала более 1000 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и др.