Волки, гиены и оборотни: как выглядит ландшафт киберугроз

Лидером по числу кибератак в 2023 году стал ритейл — 15% организаций этого сектора подверглись атакам. На втором месте оказались промышленность и энергетика, финансовый и страховой секторы —  по 12% зафиксированных атак. Такие данные приводят эксперты BI.ZONE в годовом отчете Threat Zone 2024. Подробнее — в материале IT Speaker.

В 2023 году специалисты по киберразведке компании BI.ZONE отслеживали деятельность более 50 группировок на территории России и СНГ, классифицировав их на основании мотивов на несколько кластеров — «волки» (основная цель — финансовая выгода), «гиены» (хактивизм) и «оборотни» (шпионаж). Примечательно, что зачастую мотивы киберпреступлений могли меняться или быть смешанными. 

Наиболее атакуемой отраслью стал ритейл — 15% подверглись атакам. Далее следуют промышленность и энергетика, финансовый и стразовой секторы —  по 12% атак. На третьем месте по популярности у злоумышленников оказался транспортный сектор (10%). Реже всего злоумышленники атаковали строительные (4%) и образовательные (5%) организации.

Эксперты BI.ZONE отмечают, что в сложившейся геополитической ситуации стремительно выросло количество атак хактивистов и группировок, чьей мотивацией служит шпионаж, на государственные и коммерческие компании. При этом злоумышленники активно публиковали украденные данные в телеграм-каналах, причем не всегда в собственных. Так, в рамках одной из кампаний хакеры выложили украденные данные в 2 тыс. различных каналов. 

Впрочем, не всегда атаки ограничивались только публикацией данных. Например, группировки Twelfth Hyena (хактивисты, активны с апреля 2023 года) и Gambling Hyena (хактивисты, активны с октября 2023 года) использовали программы-вымогатели и вайперы для нанесения ущерба скомпрометированной ИТ-инфраструктуре. Полное и частичное уничтожение информации в инфраструктуре практиковали также группировки, которые традиционно занимаются шпионажем.

Как отмечают эксперты BI.ZONE, финансовая выгода продолжает оставаться самым популярным мотивом у группировок. Самый крупный выкуп, который удалось зафиксировать, составил 450 млн рублей — такую сумму потребовала хак-группа Shadow Wolf. 

В атаках на российские компании злоумышленники преимущественно использовали стилеры и RAT, которые распространялись через фишинговые письма, рекламу в интернете и отравление поисковой выдачи. Чаще всего злоумышленники маскировали вредоносные программы под легитимные документы, а фишинговые рассылки — под заказы и оплату товаров, а также сообщения от имени различных ведомств. 

Как правило, киберпреступники используют различные методы при совершении атак, например, модифицируют или отключают средства безопасности для сокрытия следов вредоносной деятельности действия, используют перебор паролей, а также компрометируют логин и пароль локальной учетной записи, чтобы получить первоначальный доступ, а также закрепиться в системе. 

Самым популярным семейством вредоносного ПО стал Agent Tesla — его использовали в 22% выявленных случаев. Это объясняется его эффективностью —  так, в рамках одной из кампаний киберпреступникам удалось скомпрометировать более 400 российских организаций различных отраслей. Примечательно, что изначально разработчики позиционировали Agent Tesla как средство для мониторинга компьютеров, но очень скоро оно попало в арсенал злоумышленников.

В топ семейств также вошли FormBook (16%), LokiBot (8%), Snake Keylogger (3%), GuLoader и Remcos (по 2%). Незначительной популярностью пользуются DarkWatchman, Redline, Azorult и NanoCore.