Циклон угроз: эксперты F.A.C.C.T. назвали основные тренды вымогателей, утечек и фишинга в 2024 году

Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, подвела итоги 2024 г. Наряду...

Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, подвела итоги 2024 г. Наряду с атаками программ-вымогателей киберугрозой №1 для российского бизнеса в уходящем году стали утечки баз данных, поскольку даже при атаках шифровальщиков кража персональных данных остается одной из приоритетных целей злоумышленников. Эксперты отмечают стабильный рост всех основных киберугроз: утечки информации российских компаний уже побили прошлогодний рекорд, количество атак шифровальщиков за год выросло на 44%, почти в два раза увеличилось число прогосударственных APT-групп, атакующих цели в России. Об этом CNews сообщили представители F.A.С.С.T.

Сливы этого года

В 2024 г. аналитики Threat Intelligence компании F.A.С.С.T. выявили в тематических Telegram-каналах и на андеграундных форумах 259 ранее не опубликованных баз данных российских компаний (в 2023 г. — 246).

В «группе риска» в 2024 г. в первую очередь оказались ритейл и интернет-магазины, медицинские организации, образовательные центры.

Как и раньше, большинство похищенных баз данных выкладываются в публичный доступ, в основном в Telegram-каналах, бесплатно для нанесения наибольшего ущерба компаниям и их клиентам.

Слитые базы чаще всего содержали данные ФИО, даты рождения, адреса пользователей, электронные почтовые ящики, номера телефонов.

В 2024 г. в Telegram появилось множество как закрытых, так и публичных каналов, которые публикуют ранее приватные утечки либо повторно распространяют уже опубликованную информацию. Самой объемной «мегаутечкой» стал архив из 404 баз данных.

Однако если самая серьезная утечка грозит компании штрафами, материальным и репутационным ущербом, то атака шифровальщика может парализовать бизнес и поставить его на грань выживания.

Градус жадности

По данным аналитиков Лаборатории цифровой криминалистики F.A.С.С.T., в 2024 г. количество атак программ-вымогателей выросло на 44% по сравнению с предыдущим годом. При этом в 10% подобных инцидентов целью киберпреступников был не выкуп, а диверсия для  нанесения  максимального ущерба жертве.

В своих атаках киберпреступники чаще всего использовали программы-вымогатели (шифровальщики) LockBit 3 Black и Mimic (на них пришлось до 50% инцидентов), а также Babuk, LokiLocker/BlackBit и Phobos.

К уже известным угрозам от вымогателей Shadow, Mimic, LokiLocker/BlackBit, Proxima, HsHarada и других атакующих российские компании, добавились новые: например, группы MorLock, Head Mare, Masque, Enmity, Proton, Sauron.

Из числа угроз в 2024 г. стоит также упомянуть группы вымогателей, которые используют для шифрования легитимное ПО: например, группы DCHelp с программой DiskCryptor, Salted2020, использующей OpenSSL и BitLocker, и другие группы, применяющие различные архиваторы.

Жертвами вымогателей чаще всего становились российские производственные, строительные, фармацевтические и ИТ-компании, предприятия добывающей промышленности, ВПК, организации из сферы услуг. Примечательно, что персональные данные остаются одной из главных целей вымогателей: атакующие сначала похищают чувствительную информацию и лишь затем шифруют инфраструктуру жертвы.

Суммы первоначального выкупа за расшифровку данных в 2024 г. для малого бизнеса составляли от 100 тыс. до пяти млн руб. ($1 тыс. — $50 тыс.), а для крупных и средних компаний, на которые приходится каждая пятая атака вымогателей, запросы преступников начинались от пяти млн руб. ($50 тыс.).

Группа двойного назначения Shadow, орудующая в настоящее время под именем Darkstar, вновь стала самым «жадным» вымогателем, потребовав от одной из жертв выкуп в 300 млн рублей ($3 млн), хотя и чуть меньше, чем в прошлом году — тогда Shadow отличились с запросом выкупа в 321 млн руб. (около $3.5 млн). А рекорд по скорости развития атаки поставила группа HsHarada — период от «пробива» инфраструктуры до «разлива» шифровальщика занял у нее менее трех часов.

Высокое давление

В условиях геополитического противостояния продолжаются кибератаки на российские и белорусские компании для диверсий или шпионажа. Всего в 2024 г. аналитики Threat Intelligence компании F.A.С.С.T. обнаружили 27 прогосударственных групп, атакующих Россию и СНГ, для сравнения — в 2023 г. было известно о 14 группировках. Наиболее активными были проукраинские APT-группы Sticky Werewolf, Cloud Atlas, PhantomCore, а также пока неатрибутированные к конкретной стране Core Werewolf и XDSpy. Их приоритетными целями в России были государственные ведомства, НИИ, производственные предприятия и структуры, связанные с участием в СВО. При этом количество кибератак на российские промышленные предприятия в 2024 году превысило число атак на госсектор.

В свою очередь политически мотивированные группы хакеров — хактивисты — обмениваются опытом и повышают свою квалификацию, что увеличивает эффективность атак. В 2024 г. не менее 17 группировок хактивистов атаковали российские и белорусские организации. Годом ранее таких групп было как минимум 13.

Почтовый шпион

Рассылка вредоносных писем остаeтся одним из самых популярных векторов атаки на российские компании. По данным аналитиков Центра кибербезопасности компании F.A.C.C.T., чаще всего в «начинке» фишинговых писем встречаются шпионское ПО и стилеры, их доля составила 69% на момент публикации релиза.

В первой половине 2024 г. самым популярным у киберпреступников, как и в предыдущие годы, было шпионское ПО AgentTesla. После ликвидации его инфраструктуры летом этого года в лидеры вышли FormbookFormgrabber, инструмент для кражи учетных записей и персональных данных, и загрузчик CloudEyE.

Чаще всего фишинговые письма с ВПО рассылали по понедельникам — на этот день приходится 21,0% всех отправлений. Киберпреступники практически отказались от использования ссылок для доставки вредоносного ПО. В 82% вредоносных писем получатели увидят во вложении архив, содержащий вредоносное вложение, чаще всего в виде исполняемого файла.

Самые популярные у злоумышленников расширения — ZIP и RAR (встречаются в пяти из 10 вредоносных писем), а среди офисных документов — PDF и DOCX. Такие письма рассылались, например, под видом финансовых документов об оплате товаров и услуг, запросов коммерческих предложений.

Ссылки в зоне .ru

Рост количества фишинговых и скам-ресурсов в 2024 г. связан с развитием киберпреступных сообществ и мошеннических партнерских программ. Минимальные требования к техническим знаниям и автоматизации жизненного цикла ресурсов позволяют легко привлекать новых участников преступных схем и масштабировать криминальный бизнес.

Можно выделить основные схемы, в которых используются мошеннические и фишинговые ресурсы: схема «Мамонт» с оплатой фейковых услуг и несуществующих товаров, партнерские программы для привлечения аудитории на поддельные сайты розыгрышей призов («коробочки»), лотерей, фишинговые сайты для входа в личные кабинеты банков, а также инвестиционное мошенничество (инвестскам).

По данным аналитиков департамента Digital Risk Protection компании F.A.C.C.T., в 2024 г. среднее число поддельных ресурсов на один бренд выросло на 28% — с 7,878 тыс. до 101,12 тыс. Число фишинговых ссылок увеличилось с 2,441 тыс. до 3,714 тыс., мошеннических (скам) ресурсов — с 5,437 тыс. до 6,398 тыс. на бренд.

Почти 95% таких ресурсов размещались у хостеров в США, у российских хостинг-провайдеров — 3%, в Германии — 1%.

Больше всего в 2024 г. ссылок с фишингом и скамом выявлено в  доменной зоне .ru — 41,3%. Также в пятерку по популярности у злоумышленников вошли зоны .pro (11,08%), .top (10,16%), .cfd (7,59%) и .shop (3,69%).

«В этом году у шифровальщиков появился серьезный конкурент за звание киберугрозы №1 — за данными российских компаний и их клиентов охотятся не только прогосударственные хакеры, хактивисты, но и группы вымогателей. В целом за последние три года в России значительно возросло количество кибератак, направленных преимущественно на промышленные предприятия, государственный и энергетический сектор, ритейл, логистику и финансовые организации. Вопросы кибербезопасности касаются сейчас абсолютно каждого, включая малый и средний бизнес, — сказал Валерий Баулин, генеральный директор компании F.A.C.C.T. — Мы видим, как киберпреступность адаптируется, появляются новые угрозы и методы обхода традиционных средств защиты. Даже хорошо защищенная инфраструктура может не выдержать, когда речь идет об атаке через поставщика и цепочку поставок. В этих условиях необходимо  использовать комплексные решения для проактивной защиты, данные киберразведки для предотвращения кибератак. При этом инструменты защиты должны постоянно совершенствоваться для сохранения эффективности в борьбе с угрозами».

Прогнозы на 2025 год

Аналитики F.A.C.C.T. Threat Intelligence поделились прогнозами на будущий год.

Рост количества атакующих. В условиях геополитического конфликта в 2025 году будут продолжаться атаки как хактивистов, так и прогосударственных APT на российские государственные и коммерческие организации. Под ударом могут оказаться КИИ — критическая информационная инфраструктура, а также предприятия оборонной промышленности. При этом финансовая мотивация злоумышленников будет все плотнее переплетаться с политической.

Рост количества целевых атак на цепочки поставок и поставщиков — Trusted Relationship. Ожидается рост числа атак, направленных на партнеров крупных компаний — ИT-интеграторов и разработчиков ПО, что позволяет хакерам получить и использовать легитимные учетные записи для входа в корпоративные сети их клиентов, не прибегая к сложным техникам получения первоначального доступа.

Рост атак на мобильные устройства. Аналитики F.A.C.C.T. фиксируют увеличение количества вредоносных программ для Android, появление новых модификаций старых вредоносных программ.

Расширение фишинговых атак на многофакторную аутентификацию (MFA). С распространением использования MFA атакующие будут искать способы обхода этой защиты, используя фишинговые схемы для получения доступа к защищенным системам и аккаунтам.

Появление новых мошеннических схем и модификации уже известных («Мамонт»). Эти схемы будут включать в себя  различные механизмы: атаки через мессенджеры, с помощью сети мошеннических файлов, атаки на пользователей мобильных устройств с помощью мошеннических приложений.

Рост атак с использованием ИИ, включая дипфейки, автоматизацию фишинга и поиск уязвимостей. Ожидается увеличение роли ИИ в кибератаках, включая создание с его помощью более убедительных дипфейков, автоматизацию фишинга для массовых атак, а также совершенствование методов поиска уязвимостей в системах и приложениях.

Архивы останутся самым популярным доставщиком вредоносной нагрузки в фишинговых письмах на первом этапе атаки, но их упаковка будет меняться. В 2025 г. атакующие продолжат экспериментировать с маскировкой основных вредоносных элементов: создавать многоуровневые вложения-«матрешки» и шифровать архивы с различными способами доставки пароля конечному пользователю.

Рост доступности вредоносного ПО расширит возможности кибератак. Наибольшую опасность как для обычных пользователей интернета, так и для компаний представляют шпионские программы. Их использование дает атакующим ключи к разным сценариям: от шантажа публикацией похищенных данных до развития более сложных атак, которые могут привести к остановке бизнес-процессов компании.