22/02/24
Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, проанализировала актуальные киберугрозы в новом ежегодном отчете «Киберпреступность в России и СНГ, 2023–2024 гг. Тренды, аналитика, прогнозы». По мнению авторов исследования, в условиях продолжающегося геополитического конфликта российские компании и госучреждения в текущем году столкнутся с новыми более мощными кибератаками со стороны групп “двойного назначения”, хактивистов и банд вымогателей. Итогом подобных атак может стать разрушение инфраструктуры, крупный материальный ущерб и появление очередных утечек — похищенных баз данных компаний на андеграундных форумах и в тематических Telegram-каналах.
Новый флагманский отчет является единственным и наиболее
полным источником стратегических и тактических данных о
киберугрозах, актуальных для России и СНГ в период острого
геополитического конфликта. Исследование станет практическим
руководством по стратегическому и тактическому планированию
проактивной киберзащиты для руководителей групп кибербезопасности, аналитиков SOC, CERT, специалистов по
реагированию на инциденты, Threat Intelligence и Threat Hunting, а
также компаниям из различных секторов.
Проправительственные группы и хактивисты усилят давление на
Россию и СНГ
Аналитики департамента Threat Intelligence компании F.A.С.С.T.
выделили в прошлом году 14 прогосударственных хакерских групп
(APT, Advanced Persistent Threat), которые атаковали организации
на территории России и стран СНГ. Чаще всего цели APT-
группировок находились в России (28 атак), Азербайджане (6 атак),
Белоруссии, Киргизии, Казахстане (по 4 атаки). В основном,
мишенями атакующих оказывались госучреждения, организации, связанные с критически важной инфраструктурой, военные
ведомства и предприятия оборонно-промышленного комплекса.
За большинством DDoS-атак и публикацией скомпрометированных
баз данных российских компаний в 2023 году, как выяснили
эксперты F.A.C.C.T., стояли проукраинские хактивисты. В то же
время кибершпионажем в России и СНГ по-прежнему занимаются и группировки из не участвующих прямо в конфликте стран,
например, Китая или Северной Кореи.
Кроме того, были зафиксированы инциденты, когда инфраструктуры российских компаний были скомпрометированы с
участием бывших сотрудников. Многие из них совершали свои
противоправные действия, находясь за пределами России.
В 2024 году в условиях продолжающегося острого геополитического конфликта приоритетными целями хактивистов и прогосударственных хакерских групп будут шпионаж, кража
интеллектуальной собственности и получение доступа к базам
данных компаний — в первую очередь госорганизаций, предприятий военно-промышленного и научно-исследовательского сектора. Кроме того, эксперты F.A.С.С.T. предупреждают о рисках проведения новых сложных кибератак на российские организации через компрометацию их поставщиков, вендоров и партнеров.
Шифровальщики-вымогатели остаются киберугрозой номер
один
В 2023 году эксперты F.A.C.C.T. вновь наблюдали взрывной рост
киберугроз и высокотехнологичных атак на российские компании.
Так, количество атак программ-вымогателей для получения выкупа
выросло на 160%, средняя сумма первоначального выкупа по итогам 2023 года составила 53 млн рублей. Жертвами чаще всего
становились ритейлеры, производственные, строительные,
туристические и страховые компании.
Обнаруженный экспертами F.A.C.C.T. преступный синдикат Comet
(Shadow) — Twelve стал «открытием года», поскольку продемонстрировал новую тенденцию — появление групп «двойного назначения», которые преследуют как финансовые, так и
политические цели. Одной из новых тактик злоумышленников стала кража учетных записей в Telegram на устройствах жертв, что уже после проведения атаки позволяло шпионить за сотрудниками
атакованной компании.
Кроме того, впервые в России некоторые группировки вымогателей, например Shadow (Comet) и Werewolves, стали
выкладывать данные об атакованных российских компаниях на
собственные DLS-ресурсы. Публичное сообщение об атаке и угроза
публикации украденных данных — это дополнительный инструмент давления на жертву, который уже давно и успешно применялся за пределами России.
По мнению экспертов F.A.C.C.T., программы-вымогатели в 2024
году сохранят за собой первое место в списке главных киберугроз
для российских компаний. Одной из причин успеха их атак является и растущий теневой рынок продажи скомпрометированных доступов в инфраструктуру потенциальных целей. Возможность получения доступа к скомпрометированному хосту намного упрощает работу атакующих.
Облака логов стали полезным источником данных для атакующих
Для хранения, продажи и распространения похищенных данных
злоумышленники всё чаще используют облака логов (Underground
Cloud of Logs, UCL), специальные сервисы для доступа к украденной конфиденциальной информации, через которые проходят огромные потоки украденных данных, полученных в основном с помощью вредоносных программ-стилеров. Облака логов являются для киберпреступников ценным источником скомпрометированных данных для развития атак на компании в России и СНГ.
По сравнению с прошлым годом количество облаков логов выросло в три раза в 2023 году: эксперты F.A.C.C.T. обнаружили около 300 облаков логов (в прошлом году — 102 облака).
В 2023 году в облаках зафиксирован пятикратный рост количества
данных, имеющих отношение к крупным банкам в России и СНГ:
с 496 до 2282 скомпрометированных хостов — рабочих станций, компьютеров, на которых с помощью стилера была скомпрометирована учетная запись хотя бы одной крупной
финансовой организации.
Еще одним источником приобретения данных банковских карт,
доступов к серверам, панелям управлениям или аккаунтам пользователей являются теневые андеграундные маркеты.
Благодаря тому, что все подобные ресурсы собираются и обрабатываются автоматическими системами F.A.C.C.T. в реальном
времени, читатели отчета могут ознакомиться со статистикой
скомпрометированных хостов — компьютеров или серверов
пользователей. Среди стран СНГ, чьи скомпрометированные
данные были выставлены на продажу на андеграундных маркетах,
кроме России, оказались Азербайджан (5523), Узбекистан (2183) и
Армения (798).
«Согласно нашим прогнозам, в наступившем 2024 году российские компании и госучреждения снова столкнутся с повышенной активностью кибершпионов, атаками программ-вымогателей, утечками данных, DDoS и дефейсами сайтов в исполнении хактивистов, — заявил Валерий Баулин, генеральный директор компании F.A.C.C.T. — Для эффективного предупреждения кибератак еще на этапе их подготовки, мы настоятельно советуем использовать как данные Threat Intelligence, так и комплексные решения для защиты от сложных и неизвестных киберугроз — атак периметра, электронной почты, поиска уязвимостей и теневых активов компании. Обязательно изучите собранные в отчете экспертами F.A.C.C.T. рекомендации по защите цифровой инфраструктуры, а также прогнозы об актуальных киберугрозах на 2024 год, которые, как мы уже не раз убеждались, имеют обыкновение сбываться».
Скачать отчет «Киберпреступность в России и СНГ, 2023–2024 гг.
Тренды, аналитика, прогнозы» можно по ссылке — регистрация
исключительно с корпоративной почты!
Подчеркнем, что уникальные данные о тактиках, об инструментах и
активности атакующих были получены благодаря использованию платформы киберразведки F.A.С.С.T. Threat Intelligence, флагманского решения для защиты от сложных и неизвестных
киберугроз F.A.С.С.T. Managed XDR, а также непосредственно во
время реагирований на инциденты информационной безопасности в России и странах СНГ.
