Шпионаж — главная цель атак на российские организации

Шпионаж является главной целью атак на российские организации в 21% случаев. Это больше, чем было в 2023 году: тогда доля таких атак составляла 15%. Примечательно, что некоторые кибергруппировки не просто проникают в ИТ-инфраструктуру для скрытого сбора данных, но и нарушают ее работоспособность. Результатами исследования поделился BI.ZONE.  

Эксперты BI.ZONE отмечают, что группировки, атакующие с целью шпионажа, действуют скрытно. Чтобы собрать как можно больше чувствительной информации, они незаметно проникают в ИТ-инфраструктуру и остаются в ней как можно дольше (иногда до нескольких лет), не нанося видимого ущерба. Однако в последнее время некоторые злоумышленники сменили тактику: достигнув основной цели, они стараются разрушить ИТ-инфраструктуру жертвы, тем самым парализуя процессы компании. 

Эта тенденция хорошо заметна на примере недавнего всплеска активности шпионского кластера Paper Werewolf. С 2022 года группировка реализовала не менее семи кампаний, нацеленных на российский госсектор, энергетику, финансовый сектор, медиа, а также ряд других отраслей. 

Атаки группировки начинались с фишинговых писем — как правило, от лица государственной структуры или крупной компании. В письмо был вложен документ Microsoft Word с закодированным содержимым. Чтобы прочитать содержимое, жертве предлагалось разрешить выполнение макросов. Если пользователь соглашался, то одновременно с декодированием документа на устройство устанавливалась вредоносная программа.

В некоторых случаях злоумышленники использовали троян удаленного доступа PowerRAT, позволяющий им выполнять команды и собирать информацию о системе. Также в арсенале группировки был вредоносный IIS-модуль Owowa, который позволял получать аутентификационные данные при авторизации пользователей в сервисе Outlook Web Access (OWA). Кроме того, атакующие применяли несколько агентов фреймворка Mythic: Freyja, а также имплант собственной разработки PowerTaskel. Таким образом, используя собственные инструменты, атакующие стараются затруднить обнаружение вредоносной активности.

«Новая активность Paper Werewolf примечательна расширением мотивации злоумышленников. Они не только проникли в ИТ-инфраструктуру компании для сбора информации, но и нарушили ее работоспособность — в частности, поменяли пароли к учетным записям. Обычно так действуют группировки с финансовой мотивацией, которые просят выкуп за восстановление доступа к ресурсам организации, или же хактивисты, для которых важна максимально широкая огласка», — Олег Скулкин, руководитель BI.ZONE Threat Intelligence. 

Ранее итоги года в сфере кибербезопасности представила компания F.A.C.C.T. Так, в 2024 году главными угрозами для российского бизнеса стали утечки баз данных и атаки программ-вымогателей. Компании удалось выявить 259 баз данных, которые попали в открытый доступ. Также в сети была опубликована архивная «мегаутечка» из 404 баз данных. 

Совместное исследование «К2 Кибербезопасности» и «Лаборатории Касперского» в свою очередь показало, что главными киберугрозами стали несанкционированный доступ к информации – 73%, DDoS-атаки – 62% и фишинг – 42%. Среди других киберугроз оказались компрометация учетных записей (37%), шифровальщики (37%), эксплуатация уязвимостей (25%), подбор паролей (32%), действия инсайдеров (16%) и подменой интерфейсов (дефейс; 7%).