Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

NSHC: тактики и инструменты вымогателей в 2023

31/07/24

hack192-Jul-31-2024-08-57-07-4720-AM

Программы-вымогатели стали одной из главных киберугроз в 2023 году. Специалисты из NSHC провели анализ атак и выявили множество интересных тенденций и особенностей.

В течение года было зафиксировано 304 случая атак, при этом пик пришелся на февраль и ноябрь. В феврале количество атак увеличилось из-за выявленных в начале года уязвимостей, которыми поспешили воспользоваться злоумышленники. В ноябре атаки активизировались в преддверии «черной пятницы», когда предприятия становятся особенно уязвимыми из-за увеличенного объема операций, пишет Securitylab.

Анализ показал, что за атаками стоят как киберпреступные группировки, так и поддерживаемые государством APT-группы. Наибольшее число атак зафиксировано со стороны киберпреступников, использующих модель RaaS (Ransomware-as-a-Service), которая упрощает создание и распространение вымогательского ПО.

Хакеры чаще всего атаковали США и страны Европы. Основными жертвами становились крупные корпорации и организации, которые могут выплатить выкуп. Особенно часто подвергались атакам предприятия производственного сектора и финансовые организации. В производстве атаки приводят к остановке работы заводов и серьезным финансовым потерям, что делает компании склонными к выплате выкупа. Финансовый сектор привлекателен для злоумышленников из-за большого количества обрабатываемых данных и высокой вероятности получения выкупа.

Наиболее часто атакам подвергались системы на базе Windows, затем Linux и macOS, причем большинство атак было направлено на Windows, установленную на компьютерах сотрудников. Атаки на Linux часто были направлены на серверы, что могло вызвать серьёзные сбои в работе компаний.

Для проникновения в системы хакеры использовали уязвимости и open source. В первом полугодии популярными методами были эксплуатация публичных приложений и использование скомпрометированных учетных записей. Во втором полугодии добавились атаки через удаленные сервисы.

Злоумышленники активно использовали уязвимости в программном обеспечении для проникновения в системы. Наиболее популярными оказались CVE-2021-21974 (оценка CVSS: 8.8) в VMware ESXi, CVE-2023-27350 (оценка CVSS: 9.8) в PaperCut и CVE-2021-27876 (оценка CVSS: 8.1) в Veritas Backup Exec. Ошибки позволяли удаленно выполнять код или получать несанкционированный доступ к данным.

Для распространения и управления атаками хакеры активно использовали открытые и бесплатные инструменты. Среди наиболее популярных оказались программы для удаленного доступа AnyDesk и PuTTY, а также инструмент для сбора учетных данных Mimikatz. Весьма популярным среди злоумышленников стал инструмент Cobalt Strike, который используется для тестирования на проникновение, но также отлично подходит для управления вредоносным ПО.

Киберпреступники предпочитали использовать анонимные средства связи, такие как Onion Mail и Telegram, для взаимодействия с жертвами и координации атак. Сервисы позволяют сохранять анонимность и избегать преследования правоохранительными органами.

Выкуп, как правило, требовали в криптовалюте, преимущественно в биткоинах, что также способствовало сохранению анонимности. В 2023 году стоимость биткоина продолжала расти, что делало его особенно привлекательным для получения выкупа.

Темы:ИсследованиеПреступленияAPT-группы2023NSHC
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...