17/03/23
Лаборатория цифровой криминалистики компании Group-IB, лидера в сфере кибербезопасности, исследовала высокотехнологичные преступления 2022 года на базе проведенных реагирований на инциденты в российских компаниях. Подавляющее большинство из них (68%) составили атаки программ-вымогателей. В исследовании отмечается возросшая активность хактивистов, целью которых является кибердиверсия — остановка работы инфраструктуры организации. Наиболее популярными способами проникновения в сети организаций-жертв впервые стала эксплуатация уязвимостей публично доступных приложений компаний (61%), за ней следуют фишинг — 22% и компрометация служб удаленного доступа —17%.
Заработать или уничтожить
По данным исследования, в 2022 году количество кибератак финансово-мотивированных хакеров увеличилось почти в три раза по сравнению с 2021 годом. Самым популярным типом киберугроз, с которыми столкнулись во время реагирований эксперты Лаборатории компьютерной криминалистики Group-IB стали атаки с использованием программ-
Наиболее агрессивными группами программ-вымогателей в России в прошлом году стали Phobos, CryLock и Sojusz, а рекорд по сумме требуемого выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей. Среднее время простоя атакованной организации сократилось с 18 до 14 дней — восстановление происходило значительно быстрее.
Еще одной тенденцией прошлого года стало использование программ-вымогателей хактивистами — политически активными хакерами. Цель таких атак, как правило, не связана с финансовой мотивацией: они стремятся разрушить или остановить работу ИТ-инфраструктуры жертвы и создать общественный резонанс. Кибердиверсии — отличительная черта 2022 года. Этому во многом способствовал текущий геополитический кризис и появление в публичном пространстве исходных кодов программ-вымогателей Conti и LockBit — криминалисты Group-IB неоднократно видели их использование в атаках на организации в России.
.png?width=506&height=516&name=image%20(31).png)
Kill Chain: от заражения до вымогательства
Самой популярной техникой, используемой для получения первоначального доступа в корпоративные сети, впервые стала эксплуатация уязвимостей публично доступных приложений — ее применяли в 61% расследованных инцидентов, за ней следуют фишинг — 22% и компрометация служб удаленного доступа —17%.
Напомним, что годом ранее главным вектором атак для большинства банд вымогателей были публичные RDP-серверы (52%), фишинг (29%), и только затем — эксплуатация общедоступных приложений (17%).
Примечательно, что технику эксплуатации публично доступных приложений использовали как операторы шифровальщиков, пытавшихся получить выкуп, так и хактивисты, старавшиеся разрушить IT-инфраструктуру атакованной организации.
Впрочем, долгоиграющую угрозу — фишинг — пока рано списывать со счетов. Группа OldGremlin для атак на крупный российский бизнес традиционно использовала целевые грамотно составленные почтовые рассылки, «заточенные» под потенциальную компанию-жертву.
Еще одним способом получения первоначального доступа к ИТ-инфраструктурам компаний стала компрометация служб удаленного доступа и проникновение через публично-доступные терминальные серверы, либо через VPN-сервисы. В этом случае атакующие могли воспользоваться как методом брутфорс (brutforce, перебор паролей), так и данными, украденными с помощью инфостилеров (тип вредоносного ПО, предназначенный для кражи данных онлайн-кошельков, логинов, паролей) или купленными у брокеров первоначального доступа.
Шифровальщики и бизнес: предупрежден, но не вооружен
Почти 68% исследованных атак завершались шифрованием данных. В качестве программы-шифровальщика злоумышленники могли использовать и легитимное ПО, например, программу BitLocker от Microsoft. При этом, если атакующие хотели выгрузить ценные данные с серверов атакованной компании, их предварительно архивировали, скачивали и лишь затем запускали шифровальщик на хостах.
«Новое исследование Group-IB подтверждает наш давний прогноз — вымогатели пришли в Россию и стали одной из основных киберугроз для бизнеса, — убежден Валерий Баулин, генеральный директор Group-IB в России и СНГ — В ходе реагирований мы видели, что подавляющее большинство компаний-жертв не только технически не были готовы к отражению атак программ-вымогателей, но и не имели плана реагирования на киберинцидент. В этом случае в сжатые сроки стабилизировать работу профильных подразделений фактически невозможно. Для того, чтобы эффективно организационно и технически противостоять действиям атакующих и минимизировать ущерб для компании — необходимо или оперативно привлекать специалистов на аутсорсе, или, что проще заранее иметь подписку на ритейнер по реагированиям на инциденты».
Услуга ритейнера по реагированиям на инциденты набирает популярность на российском рынке, говорится в исследовании. Ритейнер — это пакет предоплаченных проактивных и реактивных сервисов для оперативного профессионального реагирования на атаку, когда бы она не произошла, в формате 24/7/365. По первому сигналу команда криминалистов выезжает на реагировании или проводит его удаленно для минимизации простоя инфраструктуры и ущерба от кибератаки без потерь времени на согласование договоров и других юридических документов. Впервые услуга ритейнера в России была запущена Лабораторией компьютерной криминалистики Group-IB в 2015 году.
В прошлом году международная консалтинговая компания Aite-Novarica в отчете Impact Report признала Group-IB одним из самых крупных и опытных поставщиков услуги Incident Response Retainer (IRR).
О компании:
Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. Компания является резидентом «Сколково» и Иннополиса.
В основе технологического лидерства Group-IB — 19-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB. Решения Group-IB признаны ведущими аналитическими агентствами Forrester, Gartner, IDC и только в нынешнем году получили 8 золотых наград в рамках Cybersecurity Excellence Awards.
О технологиях Group-IB
Unified Risk Platform — единая платформа решений и сервисов Group-IB для защиты от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Платформа объединяет возможности защиты внутренней инфраструктуры компании, ее внешнего периметра, ее интеллектуальной собственности (бренда), а также защиту предоставляемых ею сервисов от мошенничества, направленного на ее клиентов.
В Group-IB Unified Risk Platform входят:
- Group-IB Threat Intelligence — это комплексное решение для исследования и атрибуции кибератак, содержащее структурированные данные о тактиках, инструментах и активности злоумышленников с возможностью персонализации под конкретную отрасль или компанию. Group-IB TI позволяет выстроить проактивную систему ИБ, ориентированную на защиту активов компании с низким количеством ложных инцидентов.
- Решение Group-IB Managed XDR для проактивного поиска и защиты от сложных и неизвестных киберугроз позволяет организациям реагировать на угрозы на 20% быстрее. Разработка уже получила признание ведущего европейского аналитического агентства KuppingerCole Analysts AG, а компания Group-IB вошла в число лидеров рынка в категориях «Product Leader» и «Innovation Leader».
- Технологии Group-IB по защите от онлайн-мошенничества в интернет-банкинге и сервисах электронной коммерции Group-IB Fraud Protection получили признание Gartner, агентство присвоило Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества». Выявляют и предотвращают на 20% больше попыток финансового мошенничества.
- Решение Digital Risk Protection снижает цифровые риски для брендов и защищает интеллектуальную собственность от мошенничества, пиратства, утечек данных, предоставляя лучшую в своем классе защиту. Согласно оценкам аналитиков, Group-IB DRP обнаруживает пиратский контент в среднем за 30 минут и устраняет 80% нарушений в течение 7 дней. Решение получило престижную премию Innovation Excellence от глобального консалтингового агентство Frost & Sullivan.
- Attack Surface Management отслеживает забытые компанией ИТ-активы, незащищенные участки инфраструктуры, некорректно настроенные элементы сети, которые могут использовать атакующие. В рамках Unified Risk Platform решение позволяет увидеть всю поверхность атаки с точки зрения злоумышленника, чтобы оперативно и превентивно укрепить слабые места.
- Business Email Protection защищает корпоративную электронную почту от сложных атак. Решение отслеживает индикаторы компрометации, выявляет поведенческие маркеры вредоносной активности и извлекает артефакты для определения опасных писем прежде, чем они будут доставлены.
