Специалисты Group-IB исследовали высокотехнологичные преступления прошлого года на базе проведенных реагирований на инциденты в российских компаниях. Как оказалось, подавляющее большинство из них (68%) составили атаки программ-вымогателей. Также отмечается возросшая активность хактивистов, целью которых является кибердиверсия — остановка работы инфраструктуры организации.

По данным экспертов, в 2022 году количество кибератак финансово-мотивированных хакеров увеличилось почти в три раза по сравнению с 2021 годом.

Как уже было сказано выше, самым популярным типом киберугроз стали атаки с использованием программ-вымогателей — на них пришлось 68% всех инцидентов. Жертвами шифровальщиков чаще всего становились российские ритейлеры, производственные и страховые компании. Для сравнения: пять лет назад 70% хакерской активности было связано с целевыми атаками на финансовый сектор.

В качестве шифровальщика злоумышленники могли использовать и легитимное ПО, например, BitLocker. При этом, если атакующие хотели похитить ценные данные с серверов атакованной компании, их предварительно архивировали, скачивали и лишь затем запускали шифровальщика на хостах.

Наиболее агрессивными группами программ-вымогателей в России в прошлом году стали Phobos, CryLock и Sojusz, а рекорд по сумме требуемого выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей. Среднее время простоя атакованной организации сократилось с 18 до 14 дней — восстановление происходило значительно быстрее.

Еще одной тенденцией прошлого года стало использование программ-вымогателей хактивистами — политически активными хакерами. Цель таких атак, как правило, не связана с финансовой мотивацией: они стремятся разрушить или остановить работу ИТ-инфраструктуры жертвы и создать общественный резонанс.

Кибердиверсии в отчете называют отличительной чертой 2022 года. По словам исследователей,  во многом этому поспособствовал текущий геополитический кризис и появление в публичном пространстве исходных кодов программ-вымогателей Conti и LockBit (криминалисты Group-IB неоднократно видели их использование в атаках на организации в России).

Самой популярной техникой, используемой для получения первоначального доступа в корпоративные сети, впервые стала эксплуатация уязвимостей публично доступных приложений: ее применяли в 61% расследованных инцидентов, за ней следуют фишинг (22%) и компрометация служб удаленного доступа (17%).

Годом ранее главным вектором атак для большинства банд вымогателей были публичные RDP-серверы (52%), фишинг (29%), и только затем — эксплуатация общедоступных приложений (17%).

Примечательно, что технику эксплуатации публично доступных приложений использовали как операторы шифровальщиков, пытавшихся получить выкуп, так и хактивисты, старавшиеся разрушить IT-инфраструктуру атакованной организации.

Также пока рано списывать со счетов фишшинг. Так, группа OldGremlin для атак на крупный российский бизнес традиционно использовала целевые грамотно составленные почтовые рассылки, «заточенные» под потенциальную компанию-жертву.

Еще одним способом получения первоначального доступа стала компрометация служб удаленного доступа и проникновение через публично-доступные терминальные серверы, либо через VPN-сервисы. В этом случае атакующие могли воспользоваться как брутфорсом, так и данными, украденными с помощью инфостилеров или купленными у брокеров первоначального доступа.

«Новое исследование Group-IB подтверждает наш давний прогноз — вымогатели пришли в Россию и стали одной из основных киберугроз для бизнеса. В ходе реагирований мы видели, что подавляющее большинство компаний-жертв не только технически не были готовы к отражению атак программ-вымогателей, но и не имели плана реагирования на киберинцидент. В этом случае в сжатые сроки стабилизировать работу профильных подразделений фактически невозможно», — комментирует Валерий Баулин, генеральный директор Group-IB в России и СНГ.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии