В последние годы атаки с целью шпионажа на российские компании становятся всё более частыми и разрушительными. Доля таких инцидентов в 2023 году выросла с 15% до 21%.
Ранее злоумышленники, как правило, скрытно проникали в IT-инфраструктуру, чтобы собирать конфиденциальные данные, не нанося явного вреда. Однако в последнее время появилась новая тенденция: после сбора информации кибергруппировки начали активно разрушать инфраструктуру, парализуя работу компаний.
Особенно заметна эта тактика на примере шпионской группировки Paper Werewolf, которая с 2022 года провела как минимум семь атак на различные отрасли, включая госсектор, энергетику, финансы и медиа. Теперь злоумышленники не только получают данные, но и вмешиваются в работу инфраструктуры, например, меняют пароли учетных записей. Ранее такое поведение было характерно для вымогателей или хактивистов.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence:
«Новая активность Paper Werewolf примечательна расширением мотивации злоумышленников. Они не только проникли в IT-инфраструктуру компании для сбора информации, но и нарушили ее работоспособность — в частности, поменяли пароли к учетным записям. Обычно так действуют группировки с финансовой мотивацией, которые просят выкуп за восстановление доступа к ресурсам организации, или же хактивисты, для которых важна максимально широкая огласка».
Атаки Paper Werewolf начинались с рассылки фишинговых писем, маскирующихся под сообщения от государственных структур или крупных компаний. В письмах содержались вредоносные документы, которые при открытии активировали программы для установки шпионского ПО. Среди используемых инструментов — троян PowerRAT, вредоносный модуль Owowa и разработанные злоумышленниками программы, усложняющие их обнаружение.
Для защиты от подобных угроз эксперты рекомендуют использовать системы киберразведки. Они помогают анализировать методы атак, быстро реагировать на инциденты и усиливать безопасность IT-инфраструктуры.