21/12/23
Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, назвала основные вызовы, с которыми столкнулись компании в России в 2023 году. Программы-вымогатели остаются киберугрозой номер один для российского бизнеса: в уходящем году количество атак шифровальщиков с целью получения выкупа выросло в 2,5 раз, а рекорд по запрошенной сумме достиг 321 млн рублей. Также актуальными киберугрозами для России остаются утечки — в уходящем году на андеграундных форумах и в тематических Telegram-каналах было опубликовано 246 баз данных российских компаний, а также фишинг — выявлено 29 221 домен, которые использовали мошенники.
Открытие года: группа "двойного назначения"
По данным аналитиков Лаборатории цифровой криминалистики F.A.С.С.T., за неполные 12 месяцев текущего года количество атак программ-вымогателей в 2023 году выросло на 160% по сравнению с предыдущим периодом. Жертвами финансово-мотивированных групп в этом году чаще всего становились ритейлеры, производственные, строительные, туристические и страховые компании.
Средняя сумма первоначального выкупа за расшифровку данных по итогам 2023 года достигла 53 млн рублей. А самой "жадной" ока-залась группа Comet (ранее Shadow), потребовавшая от зашифрованной компании 321 млн рублей (около $3.5 млн).
Кстати, именно этот преступный синдикат Comet (Shadow) — Twelve стал "открытием года", поскольку продемонстрировал новую тенденцию — появление групп "двойного назначения", которые преследуют как финансовые, так и политические цели. Если одна часть преступного синдиката вымогателей под именем Comet (Shadow) в ходе атаки похищает конфиденциальные данные, а затем шифрует компанию, требуя выкуп, то Twelve, также предварительно похитив данные, уничтожают ИТ-инфраструктуру организации-жертвы, не выставляя никаких финансовых требований.
В целом, рост количества политически-мотивированных атак с целью шпионажа или кибердиверсий, в которых использовались программы-вымогатели, на российские организации в этом году составил 116%. Чаще всего прогосударственные хакерские группы атаковали организации, связанные с критически важной инфраструктурой, госучреждения, компании оборонно-промышленного комплекса.
Кроме вышеназванного синдиката, который атаковал, в основном, крупные компании для получения выкупа, в атаках на малый и средний бизнес в России в уходящем году были замечены группировки вымогателей DCHelp, Proxima, Blackbit, RCRU64. Самой популярной техникой, используемой для получения первоначального доступа в корпоративные сети, в 2023 году, стала компрометация служб удаленного доступа, в основном RDP и VPN, а также фишинговые рассылки.
Новые подтеки
В 2023 году аналитики Threat Intelligence компании F.A.С.С.T. за-фиксировали на андеграундных форумах и в тематических Telegram-каналах появление 246 новых украденных баз данных российских организаций (в 2022 году утечек было чуть больше — 311). Если в 2022 году киберпреступники атаковали всех, даже самые маленькие компании, то в этом году фокус сместился на атаки крупных организаций, от которых киберпреступники могут получить какую-либо выгоду, используя украденные данные.
Также в уходящем году были зафиксированы случаи, когда злоумышленники выдавали "старые" слитые данные за новые крупные утечки для привлечения повышенного внимания.
Как и ранее, большинство похищенных баз данных преступники выкладывали в публичный доступ бесплатно для нанесения наибольшего ущерба компаниям и их клиентам.
Однако часть утечек злоумышленники не публиковали в открытом доступе — продавали или использовали в последующих каскадных атаках на крупных игроков коммерческого и государственного секторов.
Фишинг и вредоносные рассылки
Фишинг оставался в 2023 году одной из основных киберугроз для пользователей и компаний. По данным аналитиков команды мониторинга и реагирования на инциденты информационной безопасности F.A.C.C.T. (CERT-F.A.C.C.T.), в 2023 году было обнаружено более 29 221 фишинговых домена, из них 17 315 были задействованы в схеме "Мамонт", связанной с оплатой фейковой доставки несуществующих товаров. Для сравнения в прошлом году за аналогичный период было выявлено всего около 20 000 доменов.
При этом в 2023 году исследователи наблюдали массовый "исход" фишинговых сайтов с российских хостинг-провайдеров на серверы в Нидерландах и США: доля мошеннических ресурсов, которые размещались у хостеров в РФ, сократилась с 73% до 41%.
Рассылка фишинговых писем с вредоносными программами на борту остается одним из наиболее распространённых векторов атак. Как отмечают аналитики Центра кибербезопасности F.A.C.C.T., злоумышленники постоянно придумывают новые сценарии, активно используют новостную повестку. Так вредоносные письма рассылались под видом зашифрованного архива с итогами фейкового тендера, поддельных повесток, писем от следователей. Самыми часто встречающимися вредоносными программами в письмах в 2023 году стали шпионская программа Agent Tesla и стилеры FormBookFormgrabber и Loki PWS.
"Уже четвертый год подряд кибератаки программ-вымогателей остаются киберугрозой № 1 в России, и по нашим прогнозам, эта угроза сохранится в 2024 году. Кроме шифровальщиков, бизнесу необходимо будет защищаться от рассылок вредоносных программ, утечек данных, фишинга, DDoS-атак, скама, — комментирует Валерий Баулин, генеральный директор компании F.A.C.C.T. — Учитывая сложный ландшафт киберугроз, мотивацию преступных групп и различные вектора кибератак, необходимо использовать как комплексные решения для проактивной защиты периметра, электронной почты, поиска уязвимостей и теневых активов компании, так и данные F.A.C.C.T. Threat Intelligence для предотвращения кибератак еще на этапе их подготовки".
Чтобы эффективно противостоять действиям атакующих и минимизировать ущерб для компании, в начале 2024 года эксперты Threat Intelligence F.A.C.C.T. выпустят итоговый аналитический отчет для руководителей групп кибербезопасности, аналитиков SOC, CERT, специалистов по реагированию на инциденты, Threat Intelligence и Threat Hunting, который послужит практическим руководством для стратегического и тактического планирования проактивной киберзащиты.
