Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Исследование Positive Technologies: киберпреступники атакуют жертв руками их коллег

26/08/24

PT-Aug-26-2024-07-59-41-6392-AM

Эксперты Positive Technologies зафиксировали сложные схемы фишинга: злоумышленники стали отправлять письма сотрудникам компаний с просьбой переслать их жертвам. Кроме того, во II квартале продолжила расти доля использования ВПО для удаленного управления (remote access trojan, RAT) в атаках на организации, а также было выявлено массовое распространение скиммеров[1].

Социальная инженерия использовалась в каждой второй успешной атаке на компании (51%). В мае специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировали необычную фишинговую рассылку от кибергруппировки Hive0117. Одно из писем, к которому был приложен защищенный паролем архив, содержавший бэкдор DarkWatchman, пришло сотруднику холдинговой компании. Чтобы вызвать доверие получателя, злоумышленники замаскировали сообщение под ответ на некое ранее отправленное письмо, а в тексте намекнули на срочность — якобы идет налоговая проверка — и попросили переслать информацию бухгалтеру. Такие атаки имеют высокие шансы на успех, потому что коллеги, как правило, воспринимаются как доверенные лица.

Использование вредоносного ПО по-прежнему занимает лидирующую позицию среди других методов кибернападений на компании (64%). При этом второй квартал подряд эксперты отмечают увеличение доли инцидентов с применением ВПО для удаленного управления в атаках как на организации (41%), так и на частных лиц (42%). По сравнению с первыми тремя месяцами текущего года рост составил 9% и 5% соответственно. Киберпреступники стали чаще использовать RAT, с помощью этого типа ВПО можно получить постоянный доступ ко взломанным системам для длительного шпионажа за жертвами.

«Злоумышленники активно распространяют инструменты RAT, в том числе через различные менеджеры пакетов, такие как npm, PyP, имитируя названия реальных файлов. Популярность этого способа возросла на 15% по сравнению с предыдущим кварталом, а значит, разработчики ПО стали одними из основных целей киберпреступников в первом полугодии, — комментирует Дмитрий Стрельцов, аналитик исследовательской группы Positive Technologies. — Злоумышленники искусно совершенствуют методы распространения ВПО и сами программы, чтобы оставаться незаметными. Например, новая версия зловреда CraxsRAT может обходить встроенный антивирус на устройствах под управлением Android — Google Play Protect, а также позволяет внедрять вредоносную нагрузку в APK-файлы[2], и это тревожный звонок для безопасности смартфонов на этой платформе».

По итогам II квартала доля данных платежных карт среди украденной информации в атаках на частных лиц увеличилась на 9% и составила 22%. Эксперты связывают это с массовым распространением скиммеров. Например, специалисты компании Sucuri обнаружили новый веб-инструмент — Caesar Cipher, нацеленный на системы управления контентом, такие как WordPress, Magento, OpenCart. Украденные данные злоумышленники используют в дальнейших атаках и продают в даркнете.

С учетом специфики киберугроз II квартала эксперты Positive Technologies рекомендуют:

  • Частным лицам: вдумчиво читать письма, даже если они пришли от знакомых пользователей, не открывать сразу защищенные паролем архивы, проверять подлинность подозрительных сообщений, связываясь с отправителями по другим каналам, а также изучать незнакомые ресурсы перед тем, как ввести личные данные.
  • Разработчикам ПО: регулярно обновлять инструменты для управления исходным кодом и проверять пакеты, внедрить практику безопасности цепочек поставок, используя инструменты application security.
  • Организациям: периодически проводить инвентаризацию ИТ-активов и классифицировать их по степени важности, вводить политики разграничения доступа к данным и отслеживать обращения к чувствительной информации. Для защиты периметра эксперты советуют применять межсетевые экраны веб-приложений и налаживать процессы управления уязвимостями.
Темы:Positive TechnologiesПреступленияфишингтактики киберпреступников
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • Управление уязвимостями в 2024 году: что изменилось и как перестроить процесс
    Павел Попов, лидер продуктовой практики MaxPatrol VM, Positive Technologies
    В условиях всплеска числа кибератак, ухода зарубежных вендоров, импортозамещения ПО и обновления нормативно-правовой базы у процесса управления уязвимостями в России есть ряд важных особенностей
  • Пять главных ошибок при выборе NGFW
    Анна Комша, руководитель практики NGFW в Positive Technologies
    Как, не допустив ошибок, подойти к выбору NGFW, чтобы он стал основным средством сетевой обороны и успешно справлялся с базовыми сетевыми задачами?
  • SIEM: рекомендательный инструмент для результативной кибербезопасности
    Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies
    SIEM из экспертного инструмента в руках высококвалифицированных специалистов становятся ядром построения результативной кибербезопасности. Для этого они должны научиться выдавать оператору рекомендации на каждом этапе эксплуатации, транслировать заложенную в них экспертизу.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Гонка хакеров и защитников. На чьей стороне время?
    Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies
    За 30 дней злоумышленники могут реализовать 71% событий, которые повлекут неприемлемые последствия.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...