От финансовой грамотности к финансовой безопасности
09 марта 2024
F.A.С.С.T. назвала главный киберпреступный триумвират 2024 года: шпионы, хактивисты, вымогатели
Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, проанализировала актуальные киберугрозы в новом ежегодном отчёте «Киберпреступность в России и СНГ, 2023–2024 гг. Тренды, аналитика, прогнозы». Национальный банковский журнал (NBJ) публикует наиболее интересные фрагменты этого исследования.
В F.A.С.С.T. уверены, что в условиях продолжающегося геополитического конфликта российские компании и госучреждения в текущем году столкнутся с новыми более мощными кибератаками со стороны групп «двойного назначения», хактивистов и банд вымогателей. Итогом подобных атак может стать разрушение инфраструктуры, крупный материальный ущерб и появление очередных утечек – похищенных баз данных компаний на андеграундных форумах и в тематических Telegram-каналах.
Проправительственные группы и хактивисты усилят давление на Россию и СНГ
Аналитики департамента Threat Intel-ligence компании F.A.С.С.T. выделили в прошлом году 14 прогосударственных хакерских групп (APT, Advanced Persistent Threat), которые атаковали организации на территории России и стран СНГ. Чаще всего цели APT-группировок находились в России (28 атак), Азербайджане (6 атак), Белоруссии, Киргизии, Казахстане (по 4 атаки). В основном, мишенями атакующих оказывались госучреждения, организации, связанные с критически важной инфраструктурой, военные ведомства и предприятия оборонно-промышленного комплекса.
За большинством DDoS-атак и публикацией скомпрометированных баз данных российских компаний в 2023 году, как выяснили эксперты F.A.C.C.T., стояли проукраинские хактивисты. В то же время кибершпионажем в России и СНГ по-прежнему занимаются и группировки из не участвующих прямо в конфликте стран, например, Китая или Северной Кореи.
Кроме того, были зафиксированы инциденты, когда инфраструктуры российских компаний были скомпрометированы с участием бывших сотрудников. Многие из них совершали свои противоправные действия, находясь за пределами России.
В 2024 году в условиях продолжающегося острого геополитического конфликта приоритетными целями хактивистов и прогосударственных хакерских групп будут шпионаж, кража интеллектуальной собственности и получение доступа к базам данных компаний – в первую очередь госорганизаций, предприятий военно-промышленного и научно-исследовательского сектора. Кроме того, эксперты F.A.С.С.T. предупреждают о рисках проведения новых сложных кибератак на российские организации через компрометацию их поставщиков, вендоров и партнёров.
Шифровальщики-вымогатели остаются киберугрозой номер один
В 2023 году эксперты F.A.C.C.T. вновь наблюдали взрывной рост киберугроз и высокотехнологичных атак на российские компании. Так, количество атак программ-вымогателей для получения выкупа выросло на 160 %, средняя сумма первоначального выкупа по итогам 2023 года составила 53 млн рублей. Жертвами чаще всего становились ритейлеры, производственные, строительные, туристические и страховые компании.
Обнаруженный экспертами F.A.C.C.T. преступный синдикат Comet (Shadow) – Twelve стал «открытием года», поскольку продемонстрировал новую тенденцию – появление групп «двойного назначения», которые преследуют как финансовые, так и политические цели. Одной из новых тактик злоумышленников стала кража учётных записей в Telegram на устройствах жертв, что уже после проведения атаки позволяло шпионить за сотрудниками атакованной компании.
Кроме того, впервые в России некоторые группировки вымогателей, например Shadow (Comet) и Werewolves, стали выкладывать данные об атакованных российских компаниях на собственные DLS-ресурсы. Публичное сообщение об атаке и угроза публикации украденных данных – это дополнительный инструмент давления на жертву, который уже давно и успешно применялся за пределами России.
По мнению экспертов F.A.C.C.T., программы-вымогатели в 2024 году сохранят за собой первое место в списке главных киберугроз для российских компаний. Одной из причин успеха их атак является растущий теневой рынок продажи скомпрометированных доступов в инфраструктуру потенциальных целей. Возможность получения доступак скомпрометированному хосту намного упрощает работу атакующих.
Облака логов стали полезным источником данных для атакующих
Для хранения, продажи и распространения похищенных данных злоумышленники всё чаще используют облака логов (Underground Cloud of Logs, UCL), специальные сервисы для доступа к украденной конфиденциальной информации, через которые проходят огромные потоки украденных данных, полученных в основном с помощью вредоносных программ-стилеров. Облака логов являются для киберпреступников ценным источником скомпрометированных данных для развития атак на компании в России и СНГ.
По сравнению с прошлым годом количество облаков логов выросло в три раза в 2023 году: эксперты F.A.C.C.T. обнаружили около 300 облаков логов (в прошлом году – 102 облака).
В 2023 году в облаках зафиксирован пятикратный рост количества данных, имеющих отношение к крупным банкам в России и СНГ: с 496 до 2282 скомпрометированных хостов – рабочих станций, компьютеров, на которых с помощью стилера была скомпрометирована учётная запись хотя бы одной крупной финансовой организации.
Ещё одним источником приобретения данных банковских карт, доступов к серверам, панелям управлениям или аккаунтам пользователей являются теневые андеграундные маркеты. Благодаря тому, что все подобные ресурсы собираются и обрабатываются автоматическими системами F.A.C.C.T. в реальном времени, читатели отчёта могут ознакомиться со статистикой скомпрометированных хостов – компьютеров или серверов пользователей. Среди стран СНГ, чьи скомпрометированные данные были выставлены на продажу на андеграундных маркетах, кроме России, оказались Азербайджан (5523), Узбекистан (2183) и Армения (798).
В F.A.С.С.T. уверены, что в условиях продолжающегося геополитического конфликта российские компании и госучреждения в текущем году столкнутся с новыми более мощными кибератаками со стороны групп «двойного назначения», хактивистов и банд вымогателей. Итогом подобных атак может стать разрушение инфраструктуры, крупный материальный ущерб и появление очередных утечек – похищенных баз данных компаний на андеграундных форумах и в тематических Telegram-каналах.
Проправительственные группы и хактивисты усилят давление на Россию и СНГ
Аналитики департамента Threat Intel-ligence компании F.A.С.С.T. выделили в прошлом году 14 прогосударственных хакерских групп (APT, Advanced Persistent Threat), которые атаковали организации на территории России и стран СНГ. Чаще всего цели APT-группировок находились в России (28 атак), Азербайджане (6 атак), Белоруссии, Киргизии, Казахстане (по 4 атаки). В основном, мишенями атакующих оказывались госучреждения, организации, связанные с критически важной инфраструктурой, военные ведомства и предприятия оборонно-промышленного комплекса.
За большинством DDoS-атак и публикацией скомпрометированных баз данных российских компаний в 2023 году, как выяснили эксперты F.A.C.C.T., стояли проукраинские хактивисты. В то же время кибершпионажем в России и СНГ по-прежнему занимаются и группировки из не участвующих прямо в конфликте стран, например, Китая или Северной Кореи.
Кроме того, были зафиксированы инциденты, когда инфраструктуры российских компаний были скомпрометированы с участием бывших сотрудников. Многие из них совершали свои противоправные действия, находясь за пределами России.
В 2024 году в условиях продолжающегося острого геополитического конфликта приоритетными целями хактивистов и прогосударственных хакерских групп будут шпионаж, кража интеллектуальной собственности и получение доступа к базам данных компаний – в первую очередь госорганизаций, предприятий военно-промышленного и научно-исследовательского сектора. Кроме того, эксперты F.A.С.С.T. предупреждают о рисках проведения новых сложных кибератак на российские организации через компрометацию их поставщиков, вендоров и партнёров.
Шифровальщики-вымогатели остаются киберугрозой номер один
В 2023 году эксперты F.A.C.C.T. вновь наблюдали взрывной рост киберугроз и высокотехнологичных атак на российские компании. Так, количество атак программ-вымогателей для получения выкупа выросло на 160 %, средняя сумма первоначального выкупа по итогам 2023 года составила 53 млн рублей. Жертвами чаще всего становились ритейлеры, производственные, строительные, туристические и страховые компании.
Обнаруженный экспертами F.A.C.C.T. преступный синдикат Comet (Shadow) – Twelve стал «открытием года», поскольку продемонстрировал новую тенденцию – появление групп «двойного назначения», которые преследуют как финансовые, так и политические цели. Одной из новых тактик злоумышленников стала кража учётных записей в Telegram на устройствах жертв, что уже после проведения атаки позволяло шпионить за сотрудниками атакованной компании.
Кроме того, впервые в России некоторые группировки вымогателей, например Shadow (Comet) и Werewolves, стали выкладывать данные об атакованных российских компаниях на собственные DLS-ресурсы. Публичное сообщение об атаке и угроза публикации украденных данных – это дополнительный инструмент давления на жертву, который уже давно и успешно применялся за пределами России.
По мнению экспертов F.A.C.C.T., программы-вымогатели в 2024 году сохранят за собой первое место в списке главных киберугроз для российских компаний. Одной из причин успеха их атак является растущий теневой рынок продажи скомпрометированных доступов в инфраструктуру потенциальных целей. Возможность получения доступак скомпрометированному хосту намного упрощает работу атакующих.
Облака логов стали полезным источником данных для атакующих
Для хранения, продажи и распространения похищенных данных злоумышленники всё чаще используют облака логов (Underground Cloud of Logs, UCL), специальные сервисы для доступа к украденной конфиденциальной информации, через которые проходят огромные потоки украденных данных, полученных в основном с помощью вредоносных программ-стилеров. Облака логов являются для киберпреступников ценным источником скомпрометированных данных для развития атак на компании в России и СНГ.
По сравнению с прошлым годом количество облаков логов выросло в три раза в 2023 году: эксперты F.A.C.C.T. обнаружили около 300 облаков логов (в прошлом году – 102 облака).
В 2023 году в облаках зафиксирован пятикратный рост количества данных, имеющих отношение к крупным банкам в России и СНГ: с 496 до 2282 скомпрометированных хостов – рабочих станций, компьютеров, на которых с помощью стилера была скомпрометирована учётная запись хотя бы одной крупной финансовой организации.
Ещё одним источником приобретения данных банковских карт, доступов к серверам, панелям управлениям или аккаунтам пользователей являются теневые андеграундные маркеты. Благодаря тому, что все подобные ресурсы собираются и обрабатываются автоматическими системами F.A.C.C.T. в реальном времени, читатели отчёта могут ознакомиться со статистикой скомпрометированных хостов – компьютеров или серверов пользователей. Среди стран СНГ, чьи скомпрометированные данные были выставлены на продажу на андеграундных маркетах, кроме России, оказались Азербайджан (5523), Узбекистан (2183) и Армения (798).
«Согласно нашим прогнозам, в наступившем 2024 году российские компании и госучреждения снова столкнутся с повышенной активностью кибершпионов, атаками программ-вымогателей, утечками данных, DDoS и дефейсами сайтов в исполнении хактивистов, – заявил Валерий Баулин, генеральный директор компании F.A.C.C.T. – Для эффективного предупреждения кибератак ещё на этапе их подготовки, мы настоятельно советуем использовать как данные Threat Intelligence, так и комплексные решения для защиты от сложных и неизвестных киберугроз – атак периметра, электронной почты, поиска уязвимостей и теневых активов компании. Обязательно изучите собранные в отчёте экспертами F.A.C.C.T. рекомендации по защите цифровой инфраструктуры, а также прогнозы об актуальных киберугрозах на 2024 год, которые, как мы уже не раз убеждались, имеют обыкновение сбываться».Материал также опубликован в печатной версии Национального банковского журнала (январь-февраль 2024)