Group-IB назвала тренды киберпреступности в ежегодном аналитическом отчете «Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023». В материале перечисляем ключевые тенденции, основанные на результатах отчёта.
Тренд №1: шифровальщики остаются главной киберугрозой для бизнеса
Индустрия программ-вымогателей развивается как RaaS (Ransomware as a Service) – бизнес-модель, при которой разработчики вредоносного ПО сдают его в аренду по подписке. В Group-IB уверены – 20 новых подобных партнерских программ в 2023 году распадутся, их участники перейдут в более крупные.
Самые активные группы киберпреступников в 2022 году – Lockbit, Conti и Hive. Эксперты делают акцент на то, что структура группировок усложняется и напоминает полноценные ИТ-компании со своей иерархией, системой найма, обучения и мотивации, штрафов и отпусков.
Количество сайтов, на которых преступники публикуют украденные данные (Dedicated Leak Sites, DLS), выросло на 83% и достигло 58. Ежедневно на них публикуют данные 8 жертв шифровальщиков, а всего в публичном доступе были выложены данные 2 886 компаний.
Сравнив аналогичные данные за предыдущие периоды, можно сделать вывод, что рынок RaaS прошел фазу бурного роста и начинает стабилизироваться.
В России в 2022 году количество атак шифровальщиков с целью выкупа увеличилось в три раза. Рекордную сумму запросила группа OldGremlin – 1 млрд рублей.
Помимо финансовой выгоды, вымогатели преследовали и иные цели. Например, в России зафиксировали несколько случаев, когда целью преступников было уничтожение ИТ-инфраструктуры жертвы.
Тренд №2: вырастет рынок продаж доступов к корпоративным сетям
Для проникновения в инфраструктуру жертв, злоумышленники стали чаще использовать скомпрометированные доступы к корпоративным VPN и RDP (протокол удаленного рабочего стола). Это позволяет преступникам пропустить первые стадии атаки и быстрее достигнуть поставленных целей.
В связи с ростом числа вымогателей, количество продавцов доступов выросло более, чем в 2 раза – 2348 по сравнению с 1099. У 2 111 предложений была указана страна, y 1 532 – индустрия жертвы. Реальное количество жертв выше, так как брокеры доступов также проводят сделки в личной переписке.
Всего Group-IB обнаружила 380 брокеров по продаже доступов к ИТ-инфраструктуре компаний против 262 в прошлом году. Из них 327 – новые. Минимальная цена за “товар” составила $5. Средняя цена за доступ составляет примерно $2 800. Это более чем в два раза ниже средней цены за прошлый период – $6 500.
Лидерами среди индустрий стали отрасли производства, финансовых услуг, недвижимости и образования.
Тренд №3: стилеры становятся популярнее
Стилер – это вредоносная программа для кражи данных с зараженных компьютеров и смартфонов пользователей. Ими пользуются даже высококвалифицированные киберпреступники. В Group-IB обнаружили более 150 тем с бесплатными раздачами на киберпреступных форумах.
Стилеры становятся новым способом получения доступов к инфраструктуре компаний. Уже было выявлено несколько таких кейсов, например, атака на Uber в сентябре 2022 года. Данные, украденные с помощью стилеров, вошли в топ-3 самого продаваемого “товара” в даркнете, наряду с данными банковских карт.
Заражение происходит через инфицированный файл, загруженный на компьютер жертвы. Чтобы получить данные, программе необходимо заразить как можно больше пользовательских компьютеров. В итоге злоумышленники получают логины, пароли, cookie-сессии, системные данные пользователя, личные файлы жертвы, доступы к мессенджерам и электронным кошелькам.
С ростом популярности удаленной работы, доступы к критической инфраструктуре компаний стали чаще попадать в логи стилеров. На андеграундных маркетах обнаружили более 400 000 доступов к сервисам единого входа (SSO), 18 000 – к VPN и 3 000 – к сервисам Citrix.
Тренд №4: вырастет количество утечек баз данных
В 2022 году, на фоне геополитической обстановки, изменились цели киберпреступников. Теперь хакеры мотивированы не заработать, а нанести экономический или репутационный ущерб российским компаниям.
В связи с этим, большинство взломанных баз данных выкладывали в открытый доступ в тематических Telegram-каналах и андеграундных форумах.
За период H2 2021 – H1 2022 в результате публикации различных утечек баз данных было скомпрометировано 2 927 375 840 строк пользовательских данных в 1 421 опубликованных базах различных сайтов и компаний
При этом количество строк в базах значительно снизилось – примерно на 70%.
Эксперты Group-IB отмечают, что причина снижения заключается в массовых публикациях различных небольших баз с целью урона репутации организаций.
Летом 2022 года в сети оказалось 140 баз. Антирекорд поставлен в августе – 100 утечек с базами данных 75 российских компаний. Среди жертв оказались интернет-сервисы доставки, транспортные, строительные и медицинские компании, онлайн-кинотеатры, телеком-операторы и др.
В Group-IB отмечают, что, согласно текущим тенденциям, количество утечек в 2023 году увеличится, а интенсивность противостояния в киберпространстве будет возрастать.