Bi.Zone: каждая пятая атака происходит с использованием утекших данных пользователей
Эксперты управления киберразведки Bi.Zone проанализировали данные с платформы Bi.Zone Threat Intelligence и рассказали, как изменился российский ландшафт киберугроз с января по октябрь 2023 г.
В 20% киберинцидентов злоумышленники получали первоначальный доступ к инфраструктуре с помощью легитимных учетных данных. Достать такие актуальные сведения преступникам зачастую несложно. Так, за первые 10 месяцев 2023 г. данные российских компаний попадали в Telegram-каналы и на теневые форумы почти в три раза чаще, чем за аналогичный период в 2022 г. Этот метод проникновения в периметр организации позволяет атакующим продолжительное время оставаться незамеченными в скомпрометированной сети. Об этом CNews сообщили представители Bi.Zone.
Ситуацию осложняет то, что злоумышленники без труда получают доступ к инструментам компрометации. Все большей популярностью пользуется ВПО, продаваемое по модели malware-as-a-service. Этот способ дистрибуции позволяет проводить успешные атаки даже технически неподготовленным преступникам.
Также на ландшафт киберугроз повлияла геополитическая ситуация. Например, если ранее многие разработчики ВПО запрещали покупателям использовать его для атак на Россию и страны СНГ, то сейчас это ограничение не всегда действует. Более того, сами покупатели стали чаще модифицировать вредоносные программы, после чего атаки с использованием купленного на теневых ресурсах ПО становятся еще более популярными. Другой пример — из-за геополитической обстановки и конфликтов внутри киберпреступных групп в сети появились исходные коды программ-вымогателей, которые и раньше были востребованы, а теперь пользуются большим спросом среди злоумышленников.
«Фишинговые рассылки остаются одним из главных методов получения первоначального доступа в ходе целевых атак. Мы обнаружили, как с помощью одной такой рассылки с применением ВПО атакующие скомпрометировали до 400 компаний. Чаще всего злоумышленники распространяют таким образом стилеры и средства удаленного доступа», — сказал Олег Скулкин, руководитель управления киберразведки Bi.Zone.
Чтобы повысить эффективность атак, киберпреступники меняют методы и расширяют возможности инструментов. Так, на теневых площадках стало активно распространяться ВПО, совместимое со всеми основными операционными системами. Это увеличивает масштаб распространения угроз, не меняя при этом затраты преступников на кибератаки.
Появляются новые способы мотивировать компании-жертвы платить выкуп. Некоторые группировки, нацеленные на российские организации, начали публиковать данные о жертвах на специально созданных страницах в интернете: например, группировка Enigma Wolf через подобный сайт позволяла жертве даже купить пароли для расшифровки.
Злоумышленники также чаще экспериментируют с фреймворками постэксплуатации. На замену Cobalt Strike для атак на российские организации приходят Sliver и Mythic. Использование менее популярных фреймворков позволяет эффективнее обходить средства защиты.
Кроме того, увеличилось количество атак с применением ВПО, которое распространяется через USB-устройства. Так атакующие получают доступ в том числе к изолированным сетям.
***
Bi.Zone — компания по управлению цифровыми рисками. Bi.Zone разрабатывает собственные продукты для обеспечения устойчивости ИТ-инфраструктур любого размера и оказывает услуги по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 г. компания реализовала более 1200 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и др., защитив свыше 500 клиентов в 15 странах мира.