Специалисты Group-IB исследовали высокотехнологичные преступления прошлого года на базе проведенных реагирований на инциденты в российских компаниях. Как оказалось, подавляющее большинство из них (68%) составили атаки программ-вымогателей. Также отмечается возросшая активность хактивистов, целью которых является кибердиверсия — остановка работы инфраструктуры организации.
По данным экспертов, в 2022 году количество кибератак финансово-мотивированных хакеров увеличилось почти в три раза по сравнению с 2021 годом.
Как уже было сказано выше, самым популярным типом киберугроз стали атаки с использованием программ-вымогателей — на них пришлось 68% всех инцидентов. Жертвами шифровальщиков чаще всего становились российские ритейлеры, производственные и страховые компании. Для сравнения: пять лет назад 70% хакерской активности было связано с целевыми атаками на финансовый сектор.
В качестве шифровальщика злоумышленники могли использовать и легитимное ПО, например, BitLocker. При этом, если атакующие хотели похитить ценные данные с серверов атакованной компании, их предварительно архивировали, скачивали и лишь затем запускали шифровальщика на хостах.
Наиболее агрессивными группами программ-вымогателей в России в прошлом году стали Phobos, CryLock и Sojusz, а рекорд по сумме требуемого выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей. Среднее время простоя атакованной организации сократилось с 18 до 14 дней — восстановление происходило значительно быстрее.
Еще одной тенденцией прошлого года стало использование программ-вымогателей хактивистами — политически активными хакерами. Цель таких атак, как правило, не связана с финансовой мотивацией: они стремятся разрушить или остановить работу ИТ-инфраструктуры жертвы и создать общественный резонанс.
Кибердиверсии в отчете называют отличительной чертой 2022 года. По словам исследователей, во многом этому поспособствовал текущий геополитический кризис и появление в публичном пространстве исходных кодов программ-вымогателей Conti и LockBit (криминалисты Group-IB неоднократно видели их использование в атаках на организации в России).
Самой популярной техникой, используемой для получения первоначального доступа в корпоративные сети, впервые стала эксплуатация уязвимостей публично доступных приложений: ее применяли в 61% расследованных инцидентов, за ней следуют фишинг (22%) и компрометация служб удаленного доступа (17%).
Годом ранее главным вектором атак для большинства банд вымогателей были публичные RDP-серверы (52%), фишинг (29%), и только затем — эксплуатация общедоступных приложений (17%).
Примечательно, что технику эксплуатации публично доступных приложений использовали как операторы шифровальщиков, пытавшихся получить выкуп, так и хактивисты, старавшиеся разрушить IT-инфраструктуру атакованной организации.
Также пока рано списывать со счетов фишшинг. Так, группа OldGremlin для атак на крупный российский бизнес традиционно использовала целевые грамотно составленные почтовые рассылки, «заточенные» под потенциальную компанию-жертву.
Еще одним способом получения первоначального доступа стала компрометация служб удаленного доступа и проникновение через публично-доступные терминальные серверы, либо через VPN-сервисы. В этом случае атакующие могли воспользоваться как брутфорсом, так и данными, украденными с помощью инфостилеров или купленными у брокеров первоначального доступа.
«Новое исследование Group-IB подтверждает наш давний прогноз — вымогатели пришли в Россию и стали одной из основных киберугроз для бизнеса. В ходе реагирований мы видели, что подавляющее большинство компаний-жертв не только технически не были готовы к отражению атак программ-вымогателей, но и не имели плана реагирования на киберинцидент. В этом случае в сжатые сроки стабилизировать работу профильных подразделений фактически невозможно», — комментирует Валерий Баулин, генеральный директор Group-IB в России и СНГ.