Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Исследование: хакеры-одиночки наращивают атаки, избегая ассоциаций с крупными группировками

09/08/24

Согласно отчету компании Coveware, во втором квартале 2024 года число атак без явной привязки к конкретному бренду вымогательского ПО значительно возросло. Обычно такие атаки можно легко распознать по типу шифровальщика, записке с требованием выкупа или сайту в сети TOR. Однако в более чем 10% расследуемых инцидентов таких признаков не было. Это связано с тем, что некоторые преступники предпочитают действовать независимо, так называемые «одинокие волки». Содержание отчёта опубликовали Securitylab.

Преступники всё чаще меняют бренды вымогательского ПО или действуют без привязки к конкретному бренду, чтобы скрыть свою личность. В современном мире кибервымогательства преступники обычно используют один бренд, но если хакеры атакуют чувствительные и крупные цели, например, больницы или большие компании, они стараются минимизировать риски. Высокий профиль жертвы может привлечь внимание к группировке и увеличить интерес правоохранительных органов.

Когда целый бренд вымогательского ПО ликвидируется, количество атак от независимых групп резко возрастает. Например, после развала групп BlackCat/ALPHV и Lockbit наблюдался рост атак от групп BlackSuit, RansomHub, Medusa и других. Методы и процедуры атак часто совпадали с теми, что использовали ликвидированные бренды, что указывает на переход участников на новые платформы.

Некоторые преступники предпочитают оставаться независимыми, но используют инфраструктуру известных брендов. Например, они могут арендовать сайт для утечки данных, чтобы угрожать жертве, или использовать чужой шифратор. Во втором квартале члены группы Scattered Spider использовали шифратор группы Qilin.

Такие тенденции показывают, что предприятия должны сосредоточиться на методах атак, а не на брендах вымогательского ПО. Сектора безопасности и СМИ часто акцентируют внимание на «брендах», чтобы сделать истории более интересными, но это отвлекает от более важных аспектов – методов атак.

1gw6qk5605ofk1s7vhufzyx31pd9nt6h

Во втором квартале 2024 года средняя сумма выкупа слегка увеличилась до $391 015, а медианная сумма снизилась до $170 000. Увеличилось и количество случаев, когда компании выбирали оплату выкупа, особенно в случаях с утечкой данных.

d34mdzf3sew62gxp1o36s1a8hvsdtcvg

Основными векторами атак остаются удалённые взломы и фишинг. Важную роль играют системы управления событиями безопасности (SIEM), которые помогают быстрее выявлять и изолировать начальный доступ.

Основные тактики преступников включают эксфильтрацию данных, боковое перемещение в сети и влияние на доступность или целостность бизнес-процессов. Хакеры используют Megasync и Rclone для эксфильтрации данных, и активно перемещаются по сети с помощью RDP и SSH.

zunp6181ufvgqy054rode5b9us7fz9d6

 

Темы:ИсследованиеПреступленияфишингВымогателиCovewareтактики киберпреступников
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...