Вымогатели, утечки, фишинг

Программы-вымогатели остаются киберугрозой номер один для российского бизнеса: в уходящем году количество атак шифровальщиков с целью получения выкупа выросло в 2,5 раз, а рекорд по запрошенной сумме достиг 321 млн рублей.

Такой вывод сделали эксперты F.A.С.С.T. по результатам статистики 2023 г. Также актуальными киберугрозами для России остаются утечки — в уходящем году на андеграундных форумах и в тематических Telegram-каналах было опубликовано 246 баз данных российских компаний, а также фишинг — выявлено 29 221 домен, которые использовали мошенники.

Жертвами финансово-мотивированных групп в этом году чаще всего становились розница, производственные, строительные, туристические и страховые компании. Средняя сумма первоначального выкупа за расшифровку данных по итогам 2023 года достигла 53 млн рублей. Наибольшую сумму выкупа назначила группа Comet (ранее Shadow), потребовавшая от зашифрованной компании 321 млн рублей (около $3,5 млн).

Именно этот преступный синдикат Comet (Shadow) — Twelve стал "открытием года". Этот альянс продемонстрировал новую тенденцию — появление групп "двойного назначения", которые преследуют как финансовые, так и политические цели. Если одна часть преступного синдиката вымогателей под именем Comet (Shadow) в ходе атаки похищает конфиденциальные данные, а затем шифрует компанию, требуя выкуп, то Twelve, также предварительно похитив данные, уничтожают ИТ-инфраструктуру организации-жертвы, не выставляя финансовых требований.

Рост количества политически-мотивированных атак с целью шпионажа или кибердиверсий, в которых использовались программы-вымогатели, на российские организации в этом году составил 116%. Чаще всего прогосударственные хакерские группы атаковали организации, связанные с критически важной инфраструктурой, госучреждения, компании оборонно-промышленного комплекса.

Группировки вымогателей DCHelp, Proxima, Blackbit, RCRU64 "специализировались" на компания малого и среднего бизнеса. Самой популярной техникой, используемой для получения первоначального доступа в корпоративные сети, в 2023 году, стала компрометация служб удаленного доступа, в основном RDP и VPN, а также фишинговые рассылки.

В плане утечек в этом году фокус сместился на атаки крупных организаций, от которых киберпреступники могут получить какую-либо выгоду, используя украденные данные. Также в уходящем году были зафиксированы случаи, когда злоумышленники выдавали "старые" слитые данные за новые крупные утечки для привлечения повышенного внимания.

Как и ранее, большинство похищенных баз данных преступники выкладывали в публичный доступ бесплатно для нанесения наибольшего ущерба компаниям и их клиентам.

Однако часть утечек злоумышленники не публиковали в открытом доступе — продавали или использовали в последующих каскадных атаках на крупных игроков коммерческого и государственного секторов.

Рассылка фишинговых писем с вредоносными программами на борту остается одним из наиболее распространённых векторов атак. Как отмечают аналитики Центра кибербезопасности F.A.C.C.T., злоумышленники постоянно придумывают новые сценарии, активно используя новостную повестку. Так вредоносные письма рассылались под видом зашифрованного архива с итогами фейкового тендера, поддельных повесток, писем от следователей. Самыми часто встречающимися вредоносными программами в письмах в 2023 году стали шпионская программа Agent Tesla и стилеры FormBookFormgrabber и Loki PWS.