Эксперты F.A.C.C.T. уверены, что программы-вымогатели остаются киберугрозой номер один для российского бизнеса: в уходящем году количество атак шифровальщиков с целью получения выкупа выросло в 2,5 раза, а рекорд по запрошенной сумме достиг 321 млн рублей.
Актуальными киберугрозами для России остаются и утечки — в 2023-м на андеграундных форумах и в тематических Telegram-каналах было опубликовано 246 баз данных российских компаний, а также фишинг — выявлен 29 221 домен, которые использовали мошенники.
Открытие года: группа «двойного назначения»
По данным аналитиков Лаборатории цифровой криминалистики F.A.С.С.T., за неполные 12 месяцев текущего года количество атак программ-вымогателей выросло на 160% по сравнению с предыдущим годом. Жертвами финансово-мотивированных групп в этом году чаще всего становились ритейлеры, производственные, строительные, туристические и страховые компании.
Средняя сумма первоначального выкупа за расшифровку данных по итогам 2023-го достигла 53 млн рублей. А самой «жадной» оказалась группа Comet (ранее Shadow), потребовавшая от зашифрованной компании 321 млн рублей (около 3.5 млн долларов).
Именно этот преступный синдикат Comet (Shadow) — Twelve стал «открытием года», поскольку продемонстрировал новую тенденцию — появление групп «двойного назначения», которые преследуют как финансовые, так и политические цели. Если одна часть синдиката (Comet) в ходе атаки похищает конфиденциальные данные, а затем шифрует компанию, требуя выкуп, то вторая (Twelve), также предварительно похитив данные, уничтожает ИТ-инфраструктуру организации-жертвы, не выставляя никаких финансовых требований.
В целом рост количества политически-мотивированных атак с целью шпионажа или кибердиверсий, в которых использовались программы-вымогатели, на российские организации в этом году составил 116%. Чаще всего прогосударственные хакерские группы атаковали организации, связанные с критически важной инфраструктурой, госучреждения и компании оборонно-промышленного комплекса.
Кроме вышеназванного синдиката, который атаковал, в основном, крупные компании для получения выкупа, в атаках на малый и средний бизнес в России в уходящем году были замечены группировки вымогателей DCHelp, Proxima, Blackbit, RCRU64. Самой популярной техникой, используемой для получения первоначального доступа в корпоративные сети, в 2023-м стала компрометация служб удаленного доступа (в основном RDP и VPN) а также фишинговые рассылки.
Новые подтёки
В 2023 году аналитики Threat Intelligence компании F.A.С.С.T. зафиксировали на андеграундных форумах и в тематических Telegram-каналах появление 246 новых украденных баз данных российских организаций (в прошлом году утечек было чуть больше — 311). Если в 2022-м киберпреступники атаковали всех, даже самые маленькие компании, то в этом году фокус сместился на атаки крупных организаций, от которых киберпреступники могут получить какую-либо выгоду, используя украденные данные.
Также в 2023 году были зафиксированы случаи, когда злоумышленники выдавали «старые» слитые данные за новые крупные утечки для привлечения повышенного внимания. Как и ранее, большинство похищенных баз данных преступники выкладывали в публичный доступ бесплатно для нанесения наибольшего ущерба компаниям и их клиентам. Однако часть утечек злоумышленники не публиковали в открытом доступе, а продавали или использовали в последующих каскадных атаках на крупных игроков коммерческого и государственного секторов.
Фишинг и вредоносные рассылки
Фишинг оставался в 2023 году одной из основных киберугроз для пользователей и компаний. По данным аналитиков команды мониторинга и реагирования на инциденты информационной безопасности F.A.C.C.T. (CERT-F.A.C.C.T.), за год было обнаружено более 29 221 фишингового домена. Из них 17 315 были задействованы в схеме «Мамонт», связанной с оплатой фейковой доставки несуществующих товаров. Для сравнения, в прошлом году за аналогичный период было выявлено всего около 20 000 доменов.
При этом в 2023-м исследователи наблюдали массовый «исход» фишинговых сайтов с российских хостинг-провайдеров на серверы в Нидерландах и США — доля мошеннических ресурсов, которые размещались у хостеров в РФ, сократилась с 73% до 41%.
Рассылка фишинговых писем с вредоносными программами на борту остаётся одним из наиболее распространённых векторов атак. Как отмечают аналитики Центра кибербезопасности F.A.C.C.T., злоумышленники постоянно придумывают новые сценарии, активно используют новостную повестку. Так вредоносные письма рассылались под видом зашифрованного архива с итогами фейкового тендера, поддельных повесток, писем от следователей. Самыми часто встречающимися вредоносными программами в письмах в 2023 году стали шпионская программа Agent Tesla и стилеры FormBookFormgrabber и Loki PWS.
«Уже четвёртый год подряд кибератаки программ-вымогателей остаются киберугрозой номер один в России, и по нашим прогнозам, эта угроза сохранится в 2024 году. Кроме шифровальщиков, бизнесу необходимо будет защищаться от рассылок вредоносных программ, утечек данных, фишинга, DDoS-атак, скама», — комментирует Валерий Баулин, генеральный директор компании F.A.C.C.T.
