F.A.С.С.T. назвала главные киберугрозы года — шпионы, хактивисты, вымогатели

22.02.2024
Компания F.A.С.С.T. проанализировала актуальные киберугрозы в новом ежегодном отчете «Киберпреступность в России и СНГ, 2023–2024 гг. Тренды, аналитика, прогнозы».

По мнению авторов исследования, в условиях продолжающегося геополитического конфликта российские компании и госучреждения в текущем году столкнутся с новыми более мощными кибератаками со стороны групп “двойного назначения”, хактивистов и банд вымогателей. Итогом подобных атак может стать разрушение инфраструктуры, крупный материальный ущерб и появление очередных утечек — похищенных баз данных компаний на андеграундных форумах и в тематических Telegram-каналах.

Новый флагманский отчет является единственным и наиболее полным источником стратегических и тактических данных о киберугрозах, актуальных для России и СНГ в период острого геополитического конфликта. Исследование станет практическим руководством по стратегическому и тактическому планированию проактивной киберзащиты для руководителей групп кибербезопасности, аналитиков SOC, CERT, специалистов по реагированию на инциденты, Threat Intelligence и Threat Hunting, а также компаниям из различных секторов.

Проправительственные группы и хактивисты усилят давление на Россию и СНГ

Аналитики департамента Threat Intelligence компании F.A.С.С.T. выделили в прошлом году 14 прогосударственных хакерских групп (APT, Advanced Persistent Threat), которые атаковали организации на территории России и стран СНГ. Чаще всего цели APT-группировок находились в России (28 атак), Азербайджане (6 атак), Белоруссии, Киргизии, Казахстане (по 4 атаки). В основном, мишенями атакующих оказывались госучреждения, организации, связанные с критически важной инфраструктурой, военные ведомства и предприятия оборонно-промышленного комплекса.

F.A.С.С.T. назвала  главные киберугрозы года — шпионы, хактивисты, вымогатели. Рис. 1
Источник: пресс-служба F.A.C.C.T.

За большинством DDoS-атак и публикацией скомпрометированных баз данных российских компаний в 2023 году, как выяснили эксперты F.A.C.C.T., стояли проукраинские хактивисты. В то же время кибершпионажем в России и СНГ по-прежнему занимаются и группировки из не участвующих прямо в конфликте стран, например, Китая или Северной Кореи.

Кроме того, были зафиксированы инциденты, когда инфраструктуры российских компаний были скомпрометированы с участием бывших сотрудников. Многие из них совершали свои противоправные действия, находясь за пределами России.

В 2024 году в условиях продолжающегося острого геополитического конфликта приоритетными целями хактивистов и прогосударственных хакерских групп будут шпионаж, кража интеллектуальной собственности и получение доступа к базам данных компаний — в первую очередь госорганизаций, предприятий военно-промышленного и научно-исследовательского сектора. Кроме того, эксперты F.A.С.С.T. предупреждают о рисках проведения новых сложных кибератак на российские организации через компрометацию их поставщиков, вендоров и партнеров.

F.A.С.С.T. назвала  главные киберугрозы года — шпионы, хактивисты, вымогатели. Рис. 2
Источник: пресс-служба F.A.C.C.T.

Шифровальщики-вымогатели остаются киберугрозой номер один

В 2023 году эксперты F.A.C.C.T. вновь наблюдали взрывной рост киберугроз и высокотехнологичных атак на российские компании. Так, количество атак программ-вымогателей для получения выкупа выросло на 160%, средняя сумма первоначального выкупа по итогам 2023 года составила 53 млн рублей. Жертвами чаще всего становились ритейлеры, производственные, строительные, туристические и страховые компании.

Обнаруженный экспертами F.A.C.C.T. преступный синдикат Comet (Shadow) — Twelve стал «открытием года», поскольку продемонстрировал новую тенденцию — появление групп «двойного назначения», которые преследуют как финансовые, так и политические цели. Одной из новых тактик злоумышленников стала кража учетных записей в Telegram на устройствах жертв, что уже после проведения атаки позволяло шпионить за сотрудниками атакованной компании.

Кроме того, впервые в России некоторые группировки вымогателей, например Shadow (Comet) и Werewolves, стали выкладывать данные об атакованных российских компаниях на собственные DLS-ресурсы. Публичное сообщение об атаке и угроза публикации украденных данных — это дополнительный инструмент давления на жертву, который уже давно и успешно применялся за пределами России.

По мнению экспертов F.A.C.C.T., программы-вымогатели в 2024 году сохранят за собой первое место в списке главных киберугроз для российских компаний. Одной из причин успеха их атак является и растущий теневой рынок продажи скомпрометированных доступов в инфраструктуру потенциальных целей. Возможность получения доступа к скомпрометированному хосту намного упрощает работу атакующих.

Облака логов стали полезным источником данных для атакующих

Для хранения, продажи и распространения похищенных данных злоумышленники всё чаще используют облака логов (Underground Cloud of Logs, UCL), специальные сервисы для доступа к украденной конфиденциальной информации, через которые проходят огромные потоки украденных данных, полученных в основном с помощью вредоносных программ-стилеров. Облака логов являются для киберпреступников ценным источником скомпрометированных данных для развития атак на компании в России и СНГ.

По сравнению с прошлым годом количество облаков логов выросло в три раза в 2023 году: эксперты F.A.C.C.T. обнаружили около 300 облаков логов (в прошлом году — 102 облака).

F.A.С.С.T. назвала  главные киберугрозы года — шпионы, хактивисты, вымогатели. Рис. 3
Источник: пресс-служба F.A.C.C.T.

В 2023 году в облаках зафиксирован пятикратный рост количества данных, имеющих отношение к крупным банкам в России и СНГ: с 496 до 2282 скомпрометированных хостов — рабочих станций, компьютеров, на которых с помощью стилера была скомпрометирована учетная запись хотя бы одной крупной финансовой организации.

Еще одним источником приобретения данных банковских карт, доступов к серверам, панелям управлениям или аккаунтам пользователей являются теневые андеграундные маркеты. Благодаря тому, что все подобные ресурсы собираются и обрабатываются автоматическими системами F.A.C.C.T. в реальном времени, читатели отчета могут ознакомиться со статистикой скомпрометированных хостов — компьютеров или серверов пользователей. Среди стран СНГ, чьи скомпрометированные данные были выставлены на продажу на андеграундных маркетах, кроме России, оказались Азербайджан (5523), Узбекистан (2183) и Армения (798).

«Согласно нашим прогнозам, в наступившем 2024 году российские компании и госучреждения снова столкнутся с повышенной активностью кибершпионов, атаками программ-вымогателей, утечками данных, DDoS и дефейсами сайтов в исполнении хактивистов, — заявил Валерий Баулин, генеральный директор компании F.A.C.C.T. — Для эффективного предупреждения кибератак еще на этапе их подготовки, мы настоятельно советуем использовать как данные Threat Intelligence, так и комплексные решения для защиты от сложных и неизвестных киберугроз — атак периметра, электронной почты, поиска уязвимостей и теневых активов компании. Обязательно изучите собранные в отчете экспертами F.A.C.C.T. рекомендации по защите цифровой инфраструктуры, а также прогнозы об актуальных киберугрозах на 2024 год, которые, как мы уже не раз убеждались, имеют обыкновение сбываться».

Читайте также
Какие отрасли и объекты инфраструктуры наиболее уязвимы для киберфизических атак? Какие сценарии наиболее вероятны и опасны? Насколько серьезные риски для безопасности могут представлять цепочки поставок оборудования и комплектующих? Как выстроить эффективное взаимодействие и обмен информацией между службами физической и информационной безопасности на предприятии? IT-world узнал о методах проверки и анализа безопасности электронных устройств, которые практикуют специалисты АКБ «Барьер».

Данные о тактиках, об инструментах и активности атакующих были получены благодаря использованию платформы киберразведки F.A.С.С.T. Threat Intelligence, а также непосредственно во время реагирований на инциденты информационной безопасности в России и странах СНГ.

Похожие статьи