Поделиться
Positive Technologies: злоумышленники атакуют ИТ-специалистов для взлома более крупных целей
Эксперты Positive Technologies провели исследование актуальных киберугроз за III квартал 2024 г. Оно показало, что чаще остальных атакам на частных лиц подвергались ИТ-специалисты. Злоумышленники через них получали возможность проникать в ИТ-компании и реализовывать атаки на цепочки поставок. Хакеры использовали вредоносную рекламу, ВПО, а также назначали фиктивные собеседования, на которых вынуждали специалистов загрузить ВПО. Об этом CNews сообщили представители Positive Technologies.
Исследование показало, что количество инцидентов на частных лиц и на организации увеличилось на 15% по сравнению с аналогичным периодом 2023 г. Эксперты выявили, что одними из самых атакуемых частных лиц стали ИТ-специалисты (13%). Атаки на них совершались с использованием ВПО — оно стало одним из распространенных методов атак (72%) на частных лиц в III квартале 2024 г. Для заражения им злоумышленники использовали фейковые собеседования, менеджеры пакетов и публичных репозиториев, а также вредоносную рекламу.
«Рост числа атак на ИТ-специалистов, помимо финансовой выгоды, можно объяснить желанием перейти к более крупным целям, например к компаниям, в которых они работают. Кроме того, используя ИТ-специалистов в качестве начальной точки атаки, киберпреступники могут вклиниться в цепочку поставок программного обеспечения и нанести непоправимый вред большому количеству организаций. Эксперты по кибербезопасности отмечают, что в 2024 г. такие атаки происходили как минимум раз в два дня», — сказала Валерия Беседина, младший аналитик исследовательской группы Positive Technologies.
Исследователи Positive Technologies отметили, что кадровый дефицит на рынке ИТ-специалистов в России достигает 500–700 тыс. человек, а количество специалистов, публикующих резюме, выросло на 7%. Такая ситуация позволяет злоумышленникам применять тактику подставных собеседований. Киберпреступники проводят фиктивное интервью, на котором вынуждают разработчика загрузить ВПО. Злоумышленники используют разные способы воздействия: например, решение задачи может требовать загрузки вредоносного кода, приложение для видеоконференции может содержать ВПО.
В III квартале 2024 г. в атаках на ИТ-специалистов прослеживался тренд на использование ВПО для удаленного управления — remote access trojan (RAT). Оно позволяет злоумышленникам иметь постоянный доступ к скомпрометированным системам. RAT распространялся через менеджеров пакетов и публичные репозитории, а также вредоносную рекламу. Злоумышленники создавали и продвигали в поисковой системе сайты, имитирующие популярное программное обеспечение для сетевого сканирования, на которых скрывался RAT. Исследователи обнаружили метод, основанный на политике удаления пакетов PyPI, под названием Revival Hijack, который затронул 22 тыс. существующих пакетов. Пользователи не получали предупреждения об удалении пакетов и обновляли их, не подозревая, что их используют злоумышленники.
По данным исследования, в атаках на организации также чаще всего использовалось ВПО для удаленного управления (44%) и шифровальщики (44%). В 79% успешных атак были скомпрометированы компьютеры, серверы и сетевое оборудование. Самыми популярными среди киберпреступников инструментами стали AsyncRAT, XWorm и SparkRAT. Эксперты PT Expert Security Center зафиксировали фишинговые рассылки в виде счетов, нацеленные на промышленные предприятия, банки, сферу здравоохранения и разработчиков программного обеспечения в России. Такие фишинговые атаки в конечном итоге приводили к заражению трояном XWorm.
Кроме того, злоумышленники использовали сервисы для продвижения вредоносного сайта на первое место в поисковых запросах, распространяя шпионское ПО. В III квартале 2024 г. киберпреступники распространили таким образом малвари DeerStealer, Atomic Stealer и Poseidon Stealer.
Социальная инженерия по-прежнему является ключевой угрозой для частных лиц (92%) и применяется в половине (50%) атак на организации. Основным каналом социальной инженерии для организаций остается электронная почта (88%), для частных лиц — сайты (73%). Следствиями атак на организации стали утечки конфиденциальных данных (52%), а также нарушение основной деятельности организаций (32%).
Эксперты Positive Technologies рекомендуют компаниям выстраивать результативную кибербезопасность. Она направлена на создание комплексной автоматизированной системы защиты от недопустимых событий — последствий кибератак, которые могут сделать невозможным достижение операционных и стратегических целей компании. Для защиты от ВПО рекомендуется использовать песочницы, которые позволяют проанализировать поведение файлов в виртуальной среде, выявить вредоносную активность и вовремя предотвратить ущерб. Эксперты также советуют внедрить NTA-систему, которая детектирует все современные киберугрозы, в том числе использование вредоносного и шпионского ПО, активность шифровальщиков в сети. Рекомендуется проводить регулярную инвентаризацию и классификацию активов, устанавливать политики разграничения доступа к данным, осуществлять мониторинг обращения к чувствительной информации. Кроме того, необходимо выстроить процессы управления уязвимостями, проводить тестирования на проникновение (в том числе автоматизированные) и участвовать в программах багбаунти.
Учитывая увеличивающееся число атак с распространением ВПО через легитимные сервисы, разработчикам следует внимательно относиться к используемым репозиториям и менеджерам пакетов в своих проектах, внедрить инструменты application security. Для защиты периметра рекомендуется применять межсетевые экраны уровня приложений. Для предотвращения возможных утечек корпоративной информации важно уделить внимание защите данных. Специалистам следует быть осторожными в сети, не переходить по подозрительным ссылкам и не скачивать вложения из непроверенных источников.
Поделиться
Короткая ссылка
