Positive Technologies проанализировала киберугрозы за IV квартал 2024 года. По данным исследования, общее число киберинцидентов выросло на 13% по сравнению с аналогичным периодом 2023 года. Результатом более чем половины кибератак на организации стало раскрытие конфиденциальной информации; около трети инцидентов привели к нарушению основной деятельности компаний. Атаки на частных лиц по большей части приводили к финансовым потерям.
Согласно аналитике Positive Technologies, половина кибератак, ориентированных на организации, была совершена с помощью методов социальной инженерии. Самым популярным способом проникновения злоумышленников в компании остается электронная почта (84%). За рассматриваемый период злоумышленники чаще всего использовали против организаций шифровальщики (42%), вредоносное ПО для удаленного управления (38%) и шпионское ПО (20%), в том числе предназначенное для кражи данных. Так, в середине ноября специалисты экспертного центра безопасности PT Expert Security Center (PT ESC) зафиксировали кампанию по распространению Lumma Stealer и NetSupport RAT: сотрудники российских организаций получали фишинговые письма с вложенными файлами форматов LNK и DOCX, при открытии которых происходила загрузка ВПО.
В успешных атаках на организации злоумышленники также использовали новые мошеннические схемы и техники доставки ВПО. По данным исследования Positive Technologies, одна из новых схем — письма о фейковом увольнении с вредоносным вложением, содержащим предположительно банковский троян; этот метод говорит о финансовой мотивации злоумышленников. Другая новая тактика — доставка вредоносной нагрузки с помощью намеренно поврежденных документов Microsoft Office, которые не обнаруживаются средствами защиты. В зараженных файлах находится QR-код, который ведет на мошеннические сайты для установки ВПО или кражи учетных данных. Эксперты предполагают, что такая техника повреждения документов может быть взята на вооружение и другими злоумышленниками.
Социальная инженерия применялась и против частных лиц — в 88% случаев, а основными каналами злоумышленников стали сайты (44%), соцсети (22%) и мессенджеры (18%). Для совершения атак злоумышленники часто применяли утекшие персональные данные и взломанные аккаунты и создавали на их основе дипфейки. Кроме того, частные лица массово становились жертвами инфостилеров1: злоумышленники размещали на вредоносных сайтах поддельную CAPTCHA, и после ее прохождения жертве предлагалось вставить данные из буфера обмена в командную строку, — это активировало загрузку и установку вредоноса на устройство.
