Эксперты рассказали, что активность Leak Wolf наблюдается с апреля 2022 года (именно тогда в подконтрольном группе Telegram-канале NLB были размещены данные нескольких жертв). Leak Wolf провела атаки более чем на 40 российских компаний, при этом не использовала вредоносное ПО, так как свои кампании злоумышленники строят на уязвимостях человеческого фактора.

В своем отчете аналитики компании BI.ZONE рассказывают, что основной рост инцидентов, связанных с утечками данных, в 2022 году обеспечили хактивисты, которые стремятся взламывать компании из «моральных» побуждений. Leak Wolf — один из характерных примеров этого типа злоумышленников.

Чаще всего от действий группы страдали организации из сфер розничной торговли, образования и информационных технологий.

В отличие от других группировок Leak Wolf не пытается эксплуатировать популярные уязвимости в публично доступных приложениях, использовать малварь или фишинг. По данным управления киберразведки BI.ZONE, вместо этого атакующие использовали аккаунты сотрудников компаний или доступы IT‑подрядчиков. Благодаря этому злоумышленникам удавалось долго оставаться незамеченными.

Чтобы не привлекать внимания, группировка также арендовала серверы на территории России либо использовали VPN для удаленного доступа. Учитывая популярность дистанционной работы, в том числе из ближнего зарубежья, это не вызывало подозрения у служб безопасности.

Помимо взлома IT‑провайдеров, злоумышленники получали несанкционированный доступ, анализируя утечки данных физических лиц. Сотрудники компаний нередко пренебрегают цифровой гигиеной: регистрируются в сторонних сервисах с рабочими email, используют простые пароли, не меняют их от аккаунта к аккаунту. Также исследователи отметили интерес Leak Wolf к учетным данным, полученным при помощи стилеров.

После проникновения в инфраструктуру компании (при этом хоть сколько-нибудь легко детектируемые методы хакеры применяли в единичных случаях) злоумышленники сканировали сеть, собирали важную для бизнеса информацию (например, клиентскую базу), загружали в облачное хранилище и публиковали ссылку на дамп в своем Telegram-канале.

Как уже отмечалось выше, даже в ходе постэксплуатации атакующие не использовали малварь или инструменты двойного назначения, например С2-фреймворки. Поэтому им не требовались значительные усилия, чтобы уклоняться от обнаружения. Тем не менее, злоумышленники старались не попадаться: часто организации узнавали о взломе только после публикации в телеграм-канале. Так, чтобы не привлекать внимание, после эксфильтрации архивы с собранными данными просто удалялись со скомпрометированных систем, например: rm /tmp/.zip.

Таким образом, отсутствие должного журналирования, а также архивов с собранными данными значительно снижало возможность обнаружения утечки сотрудниками пострадавших организаций.

«Почти 60% инцидентов, которые довелось расследовать нашей команде в 2022 году, были связаны с утечками. Количество подобных атак по сравнению с 2021 годом увеличилось в 4 раза. Действия Leak Wolf в очередной раз доказывают, что злоумышленникам вовсе не обязательно использовать для своих целей вредоносное программное обеспечение. Обнаружить подобные инциденты без эффективного мониторинга практически невозможно, более того, необходим проактивный поиск угроз», — говорит руководитель управления киберразведки BI.ZONE Олег Скулкин.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии