Ключевые цифры и трендыУвеличение случаев использования загрузчиковОтмечается рост числа атак с использованием загрузчиков: доля применения этого вредоносного ПО в атаках на организации (21%) и частных лиц (23%) выросла на 2 и 8 п. п. соответственно. Это обусловлено массовыми фишинговыми кампаниями вымогателей Black Basta, BlackCat, Ragnar Locker и других злоумышленников, которые использовали перепрофилированные в загрузчики вредоносы Qbot и Emotet в качестве полезной нагрузки первого этапа. Такие программы закрепляются в системе, скачивают ПО для удаленного доступа, собирают локальные учетные данные и только после этого загружают шифровальщики. Распространяя Emotet через электронную почту (наиболее популярный канал социальной инженерии для организаций, 86%), преступники прикрепляли к письму искусственно «утяжеленные» документы или архивы размером более 500 МБ, чтобы обойти антивирусную защиту. Ограничение размера файлов для повышения производительности сканирования — распространенная практика. Такой же прием использовался в кампании по распространению стилера RedLine.Из-за блокирования файлов с макросами, полученных из интернета, злоумышленники возвращаются к письмам с вложенными вредоносными ISO-образами дисков и LNK-файлами.SEO poisoningОтмечается увеличение количества вредоносной рекламы в поисковых системах (отличительная черта атаки SEO poisoning) в течение I квартала 2023 года. Суть метода заключается в использовании поисковой оптимизации (SEO, search engine optimization) для опережения выдачи незаконного домена над законным. Кроме того, этот способ атаки может применяться для привлечения большого числа пользователей на сайты и для мошенничества с рекламой.В I квартале замечены подставные веб-ресурсы, которые распространяли вредоносное ПО под видом законного через сеть доставки контента (CDN, content delivery network) Discord и Dropbox: злоумышленники маскировали популярные инфостилеры RedLine и Raccoon под популярные продукты (например, Blender и OBS Studio), что приводило к утечке учетных данных, краже денежных средств и NFT-токенов.Еще один вид таких атак — распространение сайтов с фишинговыми формами входа в поисковой выдаче. Обман пользователей Amazon Web Services был замечен специалистами Permiso.Всплеск активности вымогателейАктивность вымогателей в I квартале 2023 года значительно возросла: доля использования шифровальщиков в атаках на организации с использованием ВПО составила 53%, что на 9 п. п. больше показателя прошлого квартала, а число инцидентов выросло на 77% относительно начала 2022 года. Особенно напряженная обстановка наблюдается в секторе науки и образования — на него пришлась немалая доля атак вымогателей (19%): на прицеле злоумышленников были школы и ряд высших учебных заведений по всему миру.Новшества продемонстрировали вымогатели BlackCat и HardBit. Первые начали выкладывать похищенные данные на сайты с адресами, похожими на домен скомпрометированной организации, чтобы факт утечки мог стать известен широкому кругу клиентов или партнеров компании. Вторые пытались убедить жертву раскрыть детали киберстрахования, чтобы скорректировать требования выкупа и гарантированно получить выплату от страховщика. Продолжающийся тренд — разработку кросс-платформенных версий вредоносов — подхватили уже известные вымогатели Royal, IceFire и Cl0P, а также новички из Nevada Ransomware. Количество атак вымогателей (по кварталам). Источник: Positive Technologies QR-фишинг: быстро и незаметноСоциальная инженерия остается одним из наиболее популярных методов атак на организации (50%) и частных лиц (91%). Основным каналом социальной инженерии в атаках на организации является электронная почта (86%), а на частных лиц — веб-ресурсы и сервисы (59%). Используемые злоумышленниками каналы социальной инженерии. Источник: Positive Technologies В I квартале замечено увеличение числа фишинговых писем на темы, связанные с трудоустройством, увольнением, получением льгот и пособий. В таких кампаниях злоумышленники отправляют письма с вредоносными вложениями (стилерами, похищающими учетные данные) либо размещают в письмах ссылки на фишинговые формы входа, например, в Microsoft 365 или Amazon Web Services. Помимо писем с вредоносными ссылками и вложениями атакующие используют QR-коды, чтобы обойти антиспам-фильтры и другие средства защиты, так как коды являются изображениями и не содержат подозрительных ссылок или отличительных метаданных (по этой причине число подобных фишинговых кампаний может увеличиться).Новые веяния криптовалютного мошенничестваДля мошенничества злоумышленники создавали сайты с несуществующими криптовалютами, рекламировали их среди потенциальных инвесторов, обзванивали их с якобы уникальными выгодными предложениями после чего получали деньги и исчезали. Несколько таких мошеннических центров закрыты Европолом, а их прибыль исчислялась миллионами в криптовалюте. Кроме того, исследователи Sophos сообщали о поддельных приложениях, распространяемых через официальные магазины: криптоинвесторы предоставляли персональные данные для регистрации и переводили деньги не на свои счета, а на счета преступников. Эти приложения сложно отследить: их вредоносный контент находится не в коде, а на удаленном веб-сервере.Облачные сервисы как плацдарм для фишеровОбилие схем мошенничества подстегивает пользователей быть начеку, но что, если сообщения или ссылки приходят от авторитетных источников? Мошенники размещают свои фишинговые ресурсы в доменах облачных сервисов (software as a service, SaaS), чтобы не вызвать подозрений у пользователя и остаться незамеченными для средств защиты. Исследователи Palo Alto Networks сообщили, что количество фишинговых страниц, размещенных на облачных платформах, увеличилось более чем в десять раз с середины 2021 года. Злоумышленники используют такие ресурсы, как Dropbox или OneDrive, для распространения вредоносов из-за того, что средства защиты не всегда срабатывают на файлы, полученные из этих сервисов.Аресты киберпреступников и закрытие дарквеб-форумовОтличительной чертой I квартала стала повышенная активность правоохранительных органов и спецслужб в отношении представителей киберпреступного мира. Если ранее деятельность злоумышленников пытались пресечь или осложнить преимущественно в правовом поле, то сейчас правоохранители переходят к активным действиям:После продолжительной операции правоохранительные органы Голландии объявили о перехвате контроля над защищенным мессенджером Exclu, популярным в преступном сообществе. Полиция получила доступ к перепискам администраторов, пользователей и владельцев сервиса и провела 79 обысков и 49 арестов.После длительного расследования ФБР был арестован Pompompurin — администратор популярного дарквеб-форума Breached, после чего ресурс перестал функционировать. ФБР также сообщило о наличии доступа к базе данных скомпрометированного Breached, что может обернуться новыми эпизодами арестов.В январе правоохранительные органы заявили о захвате серверов группировки вымогателей Hive. Наблюдение за злоумышленниками позволило вовремя предотвратить шифрование скомпрометированных организаций, получить ключи для дешифрования жертв, лишить вымогателей сетевой инфраструктуры и многомиллионной прибыли.Дальнейшее проведение подобных мероприятий может повлиять на активность преступников: из-за закрытия дарквеб-форумов, которые используются для продажи краденых данных, зловредов и других инструментов, труднее получить доступ к этой информации, что осложнит проведение кибератак и уменьшит их количество. Но вероятнее, что в ближайшем будущем нарушители переведут свои коммуникации в другие форматы: мессенджеры или специальные приложения. Волна арестов и обысков показывает действующим злоумышленникам их вероятное будущее, а решившимся войти в мир киберпреступности стоит дважды подумать над своим решением.Актуальные уязвимостиСогласно данным Национального института стандартов и технологий США (NIST), в I квартале стало известно свыше чем о 7 тыс. уязвимостях, что на 24% больше, чем за аналогичный период прошлого года. Из новых недостатков, по информации исследователей ReliaQuest, 29 замечены в реальных атаках и активно эксплуатируются.Для I квартала стали актуальными следующие уязвимости:CVE-2023-23397. Серьезный недостаток, связанный с повышением привилегий и не требующий взаимодействия с пользователем, был выявлен в Microsoft Outlook и использовался в реальных атаках. Злоумышленник может отправить электронное письмо и с его помощью проэксплуатировать уязвимость в Outlook на компьютере пользователя. После получения вредоносного письма на устройстве жертвы инициируется запрос к SMB-серверу преступника. В запросе содержится хеш NTLMv2, который можно перехватить и использовать для аутентификации в других системах либо для восстановления пароля.CVE-2023-0669. Уязвимость нулевого дня, выявленная в GoAnywhere MFT, возникла из-за небезопасной десериализации данных и позволила атакующим выполнять произвольный код. Исследователи безопасности выявили более 1000 уязвимых экземпляров решения по всему миру, а вымогателям Cl0P удалось скомпрометировать свыше 100 организаций.CVE-2021-21974. В феврале атакующие успешно эксплуатировали давнюю и имеющую исправление уязвимость серверов VMware ESXi, которая позволяет удаленно выполнять команды через OpenSLP. Недостаток выявлен на 19 тыс. серверов по всему миру, чем успешно воспользовались новые вымогатели ESXiArgs и известные группировки.CVE-2022-41080 и CVE-2022-41082. В сентябре эксплойт ProxyNotShell для Microsoft Exchange Server использовался в атаках, а уже в ноябре уязвимости были устранены Microsoft. Однако в I квартале злоумышленникам удалось найти другой способ эксплуатировать эти недостатки путем подделки запросов со стороны скомпрометированного сервера (server-side request forgery, SSRF) в Outlook Web Access (OWA): вымогатели Cuba и Play — одни из первых атакующих, использовавших новый метод. Последствия атакКибератаки I квартала приводили к разным последствиям: злоумышленникам удавалось успешно атаковать как небольшие предприятия, так и отраслевых гигантов; не обошлось без сбоев в работе критической информационной инфраструктуры. Основной фокус преступников был направлен на получение конфиденциальной информации и нарушение основной деятельности организаций. Кроме того, можно выделить несколько случаев серьезных финансовых потерь: атака вымогателей на MKS Instruments вызвала серьезные нарушения в цепочке поставок продукции, а процесс восстановления оказался затруднен. Упущенная прибыль составила 200 млн долларов. Инциденты информационной безопасности могут повлиять и на стоимость ценных бумаг: после атаки на системы DISH Network акции компании упали почти на 7%. Последствия атак злоумышленников (доля атак). Источник: Positive Technologies Топ-5 атак начала 2023 года, которые повлекли за собой негативные последствия и вызвали большой резонанс:RoyalMail, национальный почтовый оператор Великобритании, считающийся объектом критической инфраструктуры, подвергся атаке со стороны вымогателей LockBit, что привело к серьезному нарушению всех зарубежных поставок.ION Group, разработчик ПО для финансовых учреждений, банков и бирж, подвергся атаке вымогателей, из-за чего была нарушена работа по крайней мере 42 клиентов, включая некоторые из крупнейших в мире банков, брокерских компаний и хедж-фондов.Администрации городов Окленд и Модесто (США) подверглись атаке программ-вымогателей, в результате чего государственные службы были отключены от сети, а полиции пришлось вынужденно работать по старинке, используя портативные радиостанции, ручки и бумагу во время патрулирования.Системы телекоммуникационной компании DISH Network и ее дочерних организаций были скомпрометированы, из-за чего на несколько дней отключились веб-сайты, приложения и системы обслуживания клиентов.Критически важные системы и доступ к медицинским файлам отключились в результате киберинцидента в госпитале Ross Memorial (Канада). Был объявлен код «серый», что означает невозможность проведения операций и процедур.Не обошлось и без громких утечек. В атаках с утечками конфиденциальной информации злоумышленники чаще ориентировались на похищение персональных данных (36%) и коммерческой тайны (14%). Типы украденных данных (в атаках на организации). Источник: Positive Technologies Типы украденных данных (в атаках на частных лиц). Источник: Positive Technologies Наиболее заметные утечки I квартала:Неизвестные злоумышленники атаковали GDS Holdings и ST Telemedia и похитили учетные данные (логины и пароли) для входа в центры обработки данных в Азии. Услугами операторов пользуются крупнейшие мировые компании, например AG, Amazon, BMW, Huawei, Walmart. Конфиденциальная информация была выставлена на продажу в дарквебе за 175 тыс. долларов.Данные HDB Financial Services, дочерней компании крупнейшего в Индии частного банка HDFC Bank, были опубликованы на форуме Breached. Преступники похитили обширный набор персональных данных клиентов (полные имена, даты и места рождения, сведения о занятости, кредитный рейтинг) и сотрудников. Информация из утечки практически сразу была использована в фишинговых атаках.Тайваньский технологический гигант Acer подтвердил утечку после того, как злоумышленник разместил объявление о продаже похищенных данных на форуме в дарквебе. Информация включала в себя технические руководства, сведения о серверной инфраструктуре, образы BIOS, продуктовую документацию и сервисные ключи активации.Вымогатели LockBit взяли на себя ответственность за компрометацию систем Maximum Industries, технологического подрядчика SpaceX: преступникам удалось похитить около 3 тыс. чертежей деталей. Злоумышленники пообещали устроить аукцион для желающих приобрести технологические наработки конкурента в случае неуплаты выкупа.Сводная статистика Количество инцидентов в 2022 и 2023 годах (по кварталам). Источник: Positive Technologies Категории жертв среди организаций. Источник: Positive Technologies Объекты атак (доля атак). Источник: Positive Technologies Методы атак (доля атак). Источник: Positive Technologies Типы вредоносного ПО (доля атак с использованием ВПО). Источник: Positive Technologies Способы распространения вредоносного ПО в атаках на организации. Источник: Positive Technologies Способы распространения вредоносного ПО в атаках на частных лиц. Источник: Positive Technologies Целевые ОС в атаках с использованием ВПО (доля атак). Источник: Positive Technologies Об исследованииДанный отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников.По оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Исследование проводится с целью обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько.
