Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Исследование: хакеры-одиночки наращивают атаки, избегая ассоциаций с крупными группировками

09/08/24

Согласно отчету компании Coveware, во втором квартале 2024 года число атак без явной привязки к конкретному бренду вымогательского ПО значительно возросло. Обычно такие атаки можно легко распознать по типу шифровальщика, записке с требованием выкупа или сайту в сети TOR. Однако в более чем 10% расследуемых инцидентов таких признаков не было. Это связано с тем, что некоторые преступники предпочитают действовать независимо, так называемые «одинокие волки». Содержание отчёта опубликовали Securitylab.

Преступники всё чаще меняют бренды вымогательского ПО или действуют без привязки к конкретному бренду, чтобы скрыть свою личность. В современном мире кибервымогательства преступники обычно используют один бренд, но если хакеры атакуют чувствительные и крупные цели, например, больницы или большие компании, они стараются минимизировать риски. Высокий профиль жертвы может привлечь внимание к группировке и увеличить интерес правоохранительных органов.

Когда целый бренд вымогательского ПО ликвидируется, количество атак от независимых групп резко возрастает. Например, после развала групп BlackCat/ALPHV и Lockbit наблюдался рост атак от групп BlackSuit, RansomHub, Medusa и других. Методы и процедуры атак часто совпадали с теми, что использовали ликвидированные бренды, что указывает на переход участников на новые платформы.

Некоторые преступники предпочитают оставаться независимыми, но используют инфраструктуру известных брендов. Например, они могут арендовать сайт для утечки данных, чтобы угрожать жертве, или использовать чужой шифратор. Во втором квартале члены группы Scattered Spider использовали шифратор группы Qilin.

Такие тенденции показывают, что предприятия должны сосредоточиться на методах атак, а не на брендах вымогательского ПО. Сектора безопасности и СМИ часто акцентируют внимание на «брендах», чтобы сделать истории более интересными, но это отвлекает от более важных аспектов – методов атак.

1gw6qk5605ofk1s7vhufzyx31pd9nt6h

Во втором квартале 2024 года средняя сумма выкупа слегка увеличилась до $391 015, а медианная сумма снизилась до $170 000. Увеличилось и количество случаев, когда компании выбирали оплату выкупа, особенно в случаях с утечкой данных.

d34mdzf3sew62gxp1o36s1a8hvsdtcvg

Основными векторами атак остаются удалённые взломы и фишинг. Важную роль играют системы управления событиями безопасности (SIEM), которые помогают быстрее выявлять и изолировать начальный доступ.

Основные тактики преступников включают эксфильтрацию данных, боковое перемещение в сети и влияние на доступность или целостность бизнес-процессов. Хакеры используют Megasync и Rclone для эксфильтрации данных, и активно перемещаются по сети с помощью RDP и SSH.

zunp6181ufvgqy054rode5b9us7fz9d6

 

Темы:ИсследованиеПреступленияфишингВымогателиCovewareтактики киберпреступников
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Мисконфигурации 2024 года
    Два из трех хостов, по статистике, имеют хотя бы одну ошибку в конфигурации, которая с высокой вероятностью может привести к успешной кибератаке. Специалисты проанализировали кейсы более 150 российских компаний из различных отраслей, собрав данные почти с 300 тыс. серверов и рабочих станций.
  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Сколько в 2022 году стоит специалист по информационной безопасности?
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Вакансий в сфере ИБ и защиты информации с февраля по июль 2022 г. в целом по России стало больше на 96%
  • Майнеры, вымогатели, мошенники — основные киберугрозы первой половины 2021 года
    Чего опасаться в 2021 году и как предотвратить угрозы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...