Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, назвала основные вызовы, с которыми столкнулись компании в России в 2023 г. Программы-вымогатели остаются киберугрозой номер один для российского бизнеса: в уходящем 2023 г. количество атак шифровальщиков с целью получения выкупа выросло в 2,5 раз, а рекорд по запрошенной сумме достиг 321 млн руб. Также актуальными киберугрозами для России остаются утечки — в уходящем 2023 г. на андеграундных форумах и в тематических Telegram-каналах было опубликовано 246 баз данных российских компаний, а также фишинг — выявлено 29 221 домен, которые использовали мошенники. Об этом CNews сообщили представители F.A.С.С.T.
Открытие года: группа «двойного назначения»
По данным аналитиков Лаборатории цифровой криминалистики F.A.С.С.T., за неполные 12 месяцев 2023 г. количество атак программ-вымогателей в 2023 г. выросло на 160% по сравнению с предыдущим периодом. Жертвами финансово-мотивированных групп в этом году чаще всего становились ритейлеры, производственные, строительные, туристические и страховые компании.
Средняя сумма первоначального выкупа за расшифровку данных по итогам 2023 г. достигла 53 млн руб. А самой «жадной» оказалась группа Comet (ранее Shadow), потребовавшая от зашифрованной компании 321 млн руб.
Именно этот преступный синдикат Comet (Shadow) — Twelve стал «открытием года», поскольку продемонстрировал новую тенденцию — появление групп «двойного назначения», которые преследуют как финансовые, так и политические цели. Если одна часть преступного синдиката вымогателей под именем Comet (Shadow) в ходе атаки похищает конфиденциальные данные, а затем шифрует компанию, требуя выкуп, то Twelve, также предварительно похитив данные, уничтожают ИТ-инфраструктуру организации-жертвы, не выставляя никаких финансовых требований.
В целом, рост количества политически-мотивированных атак с целью шпионажа или кибердиверсий, в которых использовались программы-вымогатели, на российские организации в этом году составил 116%. Чаще всего прогосударственные хакерские группы атаковали организации, связанные с критически важной инфраструктурой, госучреждения, компании оборонно-промышленного комплекса.
Кроме вышеназванного синдиката, который атаковал, в основном, крупные компании для получения выкупа, в атаках на малый и средний бизнес в России в уходящем году были замечены группировки вымогателей DCHelp, Proxima, Blackbit, RCRU64. Самой популярной техникой, используемой для получения первоначального доступа в корпоративные сети, в 2023 г. стала компрометация служб удаленного доступа, в основном RDP и VPN, а также фишинговые рассылки.
Новые подтеки
В 2023 г. аналитики Threat Intelligence компании F.A.С.С.T. зафиксировали на андеграундных форумах и в тематических Telegram-каналах появление 246 новых украденных баз данных российских организаций (в 2022 г. утечек было чуть больше — 311). Если в 2022 г. киберпреступники атаковали всех, даже самые маленькие компании, то в этом году фокус сместился на атаки крупных организаций, от которых киберпреступники могут получить какую-либо выгоду, используя украденные данные.
Также в уходящем году были зафиксированы случаи, когда злоумышленники выдавали «старые» слитые данные за новые крупные утечки для привлечения повышенного внимания.
Как и ранее, большинство похищенных баз данных преступники выкладывали в публичный доступ бесплатно для нанесения наибольшего ущерба компаниям и их клиентам.
Однако часть утечек злоумышленники не публиковали в открытом доступе — продавали или использовали в последующих каскадных атаках на крупных игроков коммерческого и государственного секторов.
Фишинг и вредоносные рассылки
Фишинг оставался в 2023 г. одной из основных киберугроз для пользователей и компаний. По данным аналитиков команды мониторинга и реагирования на инциденты информационной безопасности F.A.C.C.T. (CERT-F.A.C.C.T.), в 2023 г. было обнаружено более 29 221 фишинговых домена, из них 17 315 были задействованы в схеме «Мамонт», связанной с оплатой фейковой доставки несуществующих товаров. Для сравнения, в 2022 г. за аналогичный период было выявлено всего около 20 тыс. доменов.
При этом в 2023 г. исследователи наблюдали массовый «исход» фишинговых сайтов с российских хостинг-провайдеров на серверы в Нидерландах и США: доля мошеннических ресурсов, которые размещались у хостеров в России, сократилась с 73% до 41%.
Рассылка фишинговых писем с вредоносными программами на борту остается одним из наиболее распространенных векторов атак. Как отмечают аналитики Центра кибербезопасности F.A.C.C.T., злоумышленники постоянно придумывают новые сценарии, активно используют новостную повестку. Так вредоносные письма рассылались под видом зашифрованного архива с итогами фейкового тендера, поддельных повесток, писем от следователей. Самыми часто встречающимися вредоносными программами в письмах в 2023 г. стали шпионская программа Agent Tesla и стилеры FormBookFormgrabber и Loki PWS.
«Уже четвертый год подряд кибератаки программ-вымогателей остаются киберугрозой № 1 в России, и по нашим прогнозам, эта угроза сохранится в 2024 г. Кроме шифровальщиков, бизнесу необходимо будет защищаться от рассылок вредоносных программ, утечек данных, фишинга, DDoS-атак, скама, — сказал Валерий Баулин, генеральный директор компании F.A.C.C.T. — Учитывая сложный ландшафт киберугроз, мотивацию преступных групп и различные вектора кибератак, необходимо использовать как комплексные решения для проактивной защиты периметра, электронной почты, поиска уязвимостей и теневых активов компании, так и данные F.A.C.C.T. Threat Intelligence для предотвращения кибератак еще на этапе их подготовки».
Чтобы эффективно противостоять действиям атакующих и минимизировать ущерб для компании, в начале 2024 г. эксперты Threat Intelligence F.A.C.C.T. выпустят итоговый аналитический отчет для руководителей групп кибербезопасности, аналитиков SOC, CERT, специалистов по реагированию на инциденты, Threat Intelligence и Threat Hunting, который послужит практическим руководством для стратегического и тактического планирования проактивной киберзащиты.
***
F.A.С.С.T. — Fight Against Cybercrime Technologies — российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. F.A.С.С.T. создана для работы на рынках России и СНГ путем выделения в автономную структуру бывшего российского актива международной компании Group-IB. Решения компании обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Продукты F.A.С.С.T. входят в Реестр Отечественного ПО.
Поделиться
