Group-IB, первая частная компания, специализирующаяся на исследовании высокотехнологичной преступности и защите от кибератак, назвала главные киберриски в новом аналитическом отчете «Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023». Эксперты компании прогнозируют, что в наступившем году программы-вымогатели останутся киберугрозой номер один для бизнеса, рынок продажи доступов в корпоративные сети продолжит расти, а украденные с помощью стилеров данные станут основным способом доступа в сети атакуемых организаций. Антирекорд 2022 года по числу утечек баз данных российских компаний может быть побит, а целевой фишинг и таргетированные атаки на сотрудников компаний снова будут в тренде.
2023: шифровальщики остаются киберугрозой №1
В наступившем году империя программ-вымогателей сохранит за собой лидерство в рейтинге основных киберугроз для бизнеса, уверены эксперты Group-IB. В 2022 году самыми активными группами были Lockbit, Conti и Hive. Специалисты подчеркивают, что структура преступных группировок продолжает усложняться и все больше напоминает структуру легальных ИТ-стартапов со своей иерархией, системой найма, обучения, мотивации и отпусками.
Индустрия шифровальщиков существует и развивается за счет партнерских программ (Ransomware-as-a-Service, RaaS). Разработчики продают или сдают в аренду вредоносное ПО своим партнерам для дальнейшего взлома сети и развертывания программ-вымогателей. За анализируемый период (H2 2021 — H1 2022) Group-IB обнаружила 20 новых публичных партнерских программ. Из них в 2023 году выживут только сильнейшие: мелкие группы, как и в прошлом году будут распадаться, а их участники перейдут в более крупные.
Число сайтов, где злоумышленники публикуют похищенные данные компаний для более эффективного давления жертву (Dedicated Leak Sites, DLS), выросло в указанном периоде на 83%, достигнув 44. По данным Group-IB, ежедневно на DLS оказываются данные 8 жертв, атакованных шифровальщиками, а всего в публичном доступе были выложены данные 2 894 компаний.
Как и ранее большинство атак вымогателей приходилось на компании из США, однако прошлый год окончательно поставил точку в вопросе, атакуют ли шифровальщики российские компании. Количество атак с целью выкупа за расшифровку данных на бизнес в России в 2022 году увеличилось в три раза, а рекорд по сумме выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей. Однако подсчитать общий ущерб или количество жертв достаточно сложно в силу того, что данные российских компаний почти не выкладываются на DLS.
Однако, благодаря тому, что билдеры и исходные коды некоторых популярных программ-вымогателей, например, Conti и LockBit, попали в публичное пространство, криминалисты Group-IB зафиксировали их использованием и на территории России. Были замечены и другие тренды, например, активное использование в качестве шифровальщика легального ПО — BitLocker, а также атаки вымогателей с целью уничтожения IT-инфраструктуры жертвы, а не для получения финансовой выгоды.
2023: продажа доступов к взломанным корпоративным сетям будет расти
Рост спроса на рынке продажи доступов в скомпрометированные сети компаний подпитывает индустрию вымогателей с новой силой. За анализируемый в отчете период рынок продавцов доступов в даркнете вырос более чем в два раза, при этом средняя цена доступа уменьшилась вдвое по сравнению с аналогичным периодом ранее. Чаще всего злоумышленники реализуют свой «товар» в виде доступов к VPN и RDP (протокол удаленного рабочего стола).
Всего Group-IB обнаружила 380 брокеров по продаже доступов к скомпрометированной инфраструктуре компаний, которые опубликовали более 2 300 предложений на даркнет форумах. Самыми активными были злоумышленники под никами Novelli, orangecake, Pirat-Networks, SubComandanteVPN, zirochka — их предложения в сумме составили 25% от всего рынка продажи доступов.
2023: данные стилеров станут главным источником доступов в компании
Использование стилеров — вредоносных программ для кражи данных с зараженных компьютеров и смартфонов пользователей — становится новым способом получения доступов в инфраструктуру компаний.
В 2022 году данные, украденные с помощью стилеров, вошли в топ-3 самого продаваемого «товара» в даркнете наряду с продажей доступов и текстовыми данными банковских карт (имя владельца, номер карты, срок истечения, CVV).
Заражение стилером обычно происходит через инфицированный файл, загруженный на компьютер жертвы. Это не целевая атака, но она затрагивает большую группу пользователей. В результате хакеры получают текстовые данные, содержащие логины, пароли, cookie-сессии, фингерпринты браузера, системные данные пользователя, личные файлы жертвы, доступы к мессенджерам и криптовалютным кошелькам.
С ростом популярности удаленной работы и сервисов единого входа (SSO) доступы к критической инфраструктуре компаний стали чаще попадать в логи стилеров. За анализируемый период в логах стилеров на андеграундных маркетах было обнаружено более 400 000 доступов к сервисам единого входа (SSO), 18 000 – к VPN и 3 000 – к сервисам Citrix. За период H2 2021 – H1 2022 специалисты Group-IB обнаружили более 200 объявлений о продаже стилеров и более 150 тем с бесплатной раздачей этого типа вредоносного ПО на киберпреступных форумах.
В целом, стилеры стали второй по значимости киберугрозой 2022 года после программ-вымогателей. Также русскоязычные скамеры, раньше работавшие в 2019-2021 по схеме “Мамонт” с курьерской доставкой, арендой, фейковыми свиданиями в 2022 году переключились на атаки с помощью стилеров для кражи данных с целью последующей монетизации.
Еще один тренд — данные, похищенные с помощью стилеров, злоумышленники все чаще хранят на облаках логов – специальном сервисе для доступа к украденной конфиденциальной информации. Впервые эти сервисы появились в 2018 году, однако пик популярности пришелся на 2022 год, когда было обнаружено 102 облака. В облаках логов было обнаружено более 12 000 доступов к сервисам Auth0, 1700 Okta, и 700 OneLogin.
Аналитики Group-IB Threat Intelligence отмечают высокий спрос на логи, который в свою очередь приведет к росту числа атак с использованием стилеров.
2023: увеличится количество утечек баз данных
Подавляющее большинство утечек баз данных российских компаний, которые появлялись в 2022 году на андеграундных форумах и тематических Telegram-каналах были выложены бесплатно в публичный доступ. На фоне текущего геополитического кризиса у киберпреступников изменился мотив: не заработать, а нанести репутационный или экономический ущерб российскому бизнесу и его клиентам.
За три летних месяца в сеть попало 140 баз, причем антирекорд был поставлен в августе — 100 утечек, включавших базы данных 75 российских компаний. Среди жертв оказались интернет-сервисы доставки, транспортные, строительные и медицинские компании, онлайн-кинотеатры, телеком-операторы и др. В целом, общее количество строк всех летних сливов, по оценкам экспертов Group-IB, составило 304 миллиона.
В 2023 году количество скомпрометированных баз данных может увеличиться, а интенсивность самого противостояния в киберпространстве будет возрастать.
Напомним, что предназначенный для ИТ-директоров, руководителей групп кибербезопасности, аналитиков SOC, CERT, специалистов по реагированию на инциденты, Threat Intelligence и Threat Hunting, новый отчет «Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023» послужит практическим руководством для стратегического и тактического планирования проактивной киберзащиты.
Источник: Group-IB
