Опасная эволюция: Group-IB предупредила оглавных киберугрозах 2023 года
17/01/23
Group-IB, первая частная компания, специализирующаяся на исследовании высокотехнологичной преступности и защите от кибератак, назвала главные киберриски в новом аналитическом отчете «Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023».
Эксперты компании прогнозируют, что в наступившем году программы-вымогатели останутся киберугрозой номер один для бизнеса, рынок продажи доступов в корпоративные сети продолжит расти, а украденные с помощью стилеров данные станут основным способом доступа в сети атакуемых организаций. Антирекорд 2022 года по числу утечек баз данных российских компаний может быть побит, а целевой фишинг и таргетированные атаки на сотрудников компаний снова будут в тренде.
2023: шифровальщики остаются киберугрозой №1
В наступившем году империя программ-вымогателей сохранит за собой лидерство в рейтинге основных киберугроз для бизнеса, уверены эксперты Group-IB. В 2022
году самыми активными группами были Lockbit, Conti и Hive. Специалисты подчеркивают, что структура преступных группировок продолжает усложняться и
все больше напоминает структуру легальных ИТ-стартапов со своей иерархией, системой найма, обучения, мотивации и отпусками.
Индустрия шифровальщиков существует и развивается за счет партнерских программ (Ransomware-as-a-Service, RaaS). Разработчики продают или сдают в аренду вредоносное ПО своим партнерам для дальнейшего взлома сети и развертывания программ-вымогателей. За анализируемый период (H2 2021 — H1 2022) Group-IB обнаружила 20 новых публичных партнерских программ. Из них в 2023 году выживут только сильнейшие: мелкие группы, как и в прошлом году будут распадаться, а их участники перейдут в более крупные.
Число сайтов, где злоумышленники публикуют похищенные данные компаний для более эффективного давления жертву (Dedicated Leak Sites, DLS), выросло в
указанном периоде на 83%, достигнув 44. По данным Group-IB, ежедневно на DLS оказываются данные 8 жертв, атакованных шифровальщиками, а всего в публичном доступе были выложены данные 2 894 компаний.
Как и ранее большинство атак вымогателей приходилось на компании из США, однако прошлый год окончательно поставил точку в вопросе, атакуют ли шифровальщики российские компании. Количество атак с целью выкупа за
расшифровку данных на бизнес в России в 2022 году увеличилось в три раза, а рекорд по сумме выкупа поставила группа OldGremlin, потребовав от жертвы 1
млрд рублей. Однако подсчитать общий ущерб или количество жертв достаточно сложно в силу того, что данные российских компаний почти не выкладываются на
DLS.
Однако, благодаря тому, что билдеры и исходные коды некоторых популярных программ-вымогателей, например, Conti и LockBit, попали в публичное пространство, криминалисты Group-IB зафиксировали их использованием и на территории России. Были замечены и другие тренды, например, активное использование в качестве шифровальщика легального ПО — BitLocker, а также атаки вымогателей с целью уничтожения IT-инфраструктуры жертвы, а не для получения финансовой выгоды.
2023: продажа доступов к взломанным корпоративным сетям будет расти
Рост спроса на рынке продажи доступов в скомпрометированные сети компаний подпитывает индустрию вымогателей с новой силой. За анализируемый в отчете период рынок продавцов доступов в даркнете вырос более чем в два раза, при этом средняя цена доступа уменьшилась вдвое по сравнению с аналогичным периодом ранее. Чаще всего злоумышленники реализуют свой «товар» в виде доступов к VPN и RDP (протокол удаленного рабочего стола).
Всего Group-IB обнаружила 380 брокеров по продаже доступов к скомпрометированной инфраструктуре компаний, которые опубликовали более 2300 предложений на даркнет форумах. Самыми активными были злоумышленники под никами Novelli, orangecake, Pirat-Networks, SubComandanteVPN, zirochka — их предложения в сумме составили 25% от всего рынка продажи доступов.
2023: данные стилеров станут главным источником доступов в компании
За три летних месяца в сеть попало 140 баз, причем антирекорд был поставлен в августе — 100 утечек, включавших базы данных 75 российских компаний. Среди
жертв оказались интернет-сервисы доставки, транспортные, строительные и медицинские компании, онлайн-кинотеатры, телеком-операторы и др. В целом,
общее количество строк всех летних сливов, по оценкам экспертов Group-IB, составило 304 миллиона.
В 2023 году количество скомпрометированных баз данных может увеличиться, а интенсивность самого противостояния в киберпространстве будет возрастать.
«Российский рынок сервисов на основе киберразведки переживает новое рождение, своего рода ренессанс, поскольку большинство российских компаний в 2022 году осознали, что огромное количество решений для кибербезопаности бесполезны, они не укомплектованы технологиями сканирования даркнета, не сопоставляют атаку и атакующего, не имеют предикативной аналитики и не позволяют строить собственную картину киберугроз для каждой отдельно взятой компании. — считает Валерий Баулин, генеральный директор Group-IB в России и СНГ. — Используя уникальные решения для слежения за инфраструктурой, тактикой и инструментами киберпреступников, эксперты Group-IB в своем новом аналитическом отчете дают детальный срез киберугроз и ответы на вопросы, кто, как и зачем атакует бизнес».
Напомним, что предназначенный для ИТ-директоров, руководителей групп кибербезопасности, аналитиков SOC, CERT, специалистов по реагированию на инциденты, Threat Intelligence и Threat Hunting, новый отчет «Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023» послужит практическим руководством для стратегического и тактического планирования проактивной киберзащиты.