Positive Technologies

Актуальные киберугрозы: II квартал 2024 года

Актуальные киберугрозы: II квартал 2024 года

Дмитрий Стрельцов

Дмитрий Стрельцов

Младший аналитик направления аналитических исследований Positive Technologies

Ключевые цифры и тренды

Во II квартале 2024 года количество инцидентов увеличилось на 4% по сравнению с предыдущим кварталом. Использование вредоносного ПО остается одним из основных методов в атаках на организации: оно использовалось в 64% успешных атак. Продолжается увеличение доли использования ВПО (вредоносное программное обеспечение) для удаленного управления в атаках как на организации (41%, прирост по сравнению с первым кварталом составил 9 процентных пунктов), так и на частных лиц (42%, прирост составил 5 процентных пунктов). Основным методом успешных атак на частных лиц и одним из основных векторов атаки на организации остается социальная инженерия: доля ее использования составила 92% и 51% соответственно. Наблюдалось множество крупных утечек, в которых злоумышленники были нацелены на кражу коммерческой тайны организаций, также мы отмечаем объемные утечки биометрии. Во II квартале происходили атаки на исследовательские организации в области ИИ, основной целью которых была кража ценных данных. Мы отмечаем использование различных уловок в атаках шифровальщиков (например, переполнение электронной почты спамом), а также значительные обновления различных типов ВПО: так, стоит отметить добавление модуля с инструментом ИИ в шпионское ПО.

Усиление трендов прошлого квартала: атаки с использованием RAT и нацеленность на разработчиков ПО

По итогам II квартала мы вновь отмечаем рост использования ВПО для удаленного управления в атаках как на организации (41%), так и на частных лиц (42%), что продолжает тренд предыдущего квартала.

Рисунок 1. Типы вредоносного ПО (доля успешных атак с использованием ВПО)

Злоумышленники активно распространяют различное ВПО для удаленного управления, в том числе бесплатно. Например, была замечена публикация крупного сборника инструментов RAT (Remote Access Trojan — трояны удаленного доступа) в одном из тематических Telegram-каналов. В сборник вошли и часто встречающиеся в I полугодии ВПО: Remcos RAT, NanoCore RAT, njRAT.

Рисунок 2. Сообщение о раздаче подборки RAT

Рисунок 2. Сообщение о раздаче подборки RAT

Рост атак с применением RAT, а также различные публикации целых подборок нелегальных инструментов для удаленного управления говорят о большом интересе злоумышленников к таким типам ВПО. Так, по данным сервиса ANY.RUN, во II квартале 2024 года ВПО для удаленного управления занимало лидирующую позицию среди наиболее распространенных вредоносов. Злоумышленники используют RAT, поскольку это ВПО предоставляет постоянный доступ к скомпрометированным системам, позволяя осуществлять шпионаж в течение длительного времени.

Также замечено увеличение доли распространения ВПО через различные менеджеры пакетов, таких как npm, PyPI, — на 15% по сравнению с предыдущим кварталом, об их активном применении в атаках мы писали ранее. Такой способ распространения ВПО вызывает большой интерес у злоумышленников. Используя тайпсквоттинг1, преступники обманом заставляют жертву устанавливать вредоносные пакеты, что приводит к компрометации устройства пользователя и дальнейшему развертыванию различных типов ВПО — например, майнеров или RAT. Отметим, что таким атакам могут быть подвержены как частные лица, так и целые организации, и одними из основных целей злоумышленников в первом полугодии становятся разработчики различных IT-компаний. Успешная атака может привести как к краже учетных данных и их дальнейшей продаже на теневых ресурсах, так и к атакам supply chain.

1 Тайпсквоттинг (Typosquatting) — атака, при которой вредоносный пакет имитирует название легитимного. Атака нацелена на невнимательность пользователей, ведь в случае опечатки устанавливается вредоносная копия пакета, что приводит к заражению различными ВПО.

Атаку с компрометацией цепочки поставок ПО злоумышленник может провести и другим способом. Например, имея в своем арсенале эксплойт, позволяющий захватывать учетные записи npm, преступники смогут внедрить вредоносный код в доверенные пакеты, что приведет к компрометации устройств, использующих вредоносный программный модуль. Так, в начале июля злоумышленник разместил на одном из форумов сообщение о продаже эксплойта для уязвимости в менеджере пакетов npm. Согласно сообщению, компрометация уязвимости дает злоумышленнику несколько возможностей ее использования. Например, она может быть нацелена на кражу аккаунтов npm организаций или разработчиков, что в дальнейшем позволит внедрить бэкдоры в распространяемое ПО.

Рисунок 3. Сообщение о продаже эксплойта

Рисунок 3. Сообщение о продаже эксплойта

В случае дальнейшего роста популярности использования открытых библиотек для распространения ВПО злоумышленники могут обратить большее внимание на поиск уязвимостей в решениях для контроля версий и менеджерах пакетов, что поставит под угрозу огромное количество технологических компаний, использующих эти решения. Организациям следует своевременно обновлять инструменты для управления и хранения исходного кода, а также обеспечить защищенность и целостность всех этапов разработки продуктов.

Социальная инженерия – нет предела совершенству

Социальная инженерия остается одним из основных методов атаки на организации: этот метод использовался в каждой второй успешной атаке на организации (51%). В атаках на частные лица социальная инженерия остается наиболее популярным методом с долей атак 92%. Чаще всего злоумышленники использовали электронные письма в атаках на организации (83%) и фишинговые сайты при атаках на частных лиц (62%). При этом злоумышленники меняют свой подход — используют новые средства для проведения фишинговых атак для кражи учетных данных, переходят на другие типы файлов. 

Рисунок 4. Используемые злоумышленниками каналы социальной инженерии

«На связи сотрудник IT-отдела»

Согласно исследованию Rapid7, субъекты угроз начали использовать новый прием социальной инженерии. Его суть заключается в следующем: злоумышленники забивают электронную почту жертвы спамом, затем следует звонок пользователю якобы от лица сотрудника IT-отдела организации с предложением помощи. Они просят жертву запустить средство удаленного управления (например, AnyDesk или Quick Assist — встроенная в Windows утилита удаленного мониторинга). Как только устанавливается удаленное подключение, преступники переходят к загрузке вредоносных программ для сбора учетных данных и установки долгосрочного доступа к скомпрометированной системе. В одной из атак исследователи наблюдали размещение маяков Cobalt Strike. Хотя в Rapid7 не зафиксировали внедрение программ-вымогателей ни в одном из случаев, обнаруженные признаки компрометации ранее были связаны с операторами-вымогателями Black Basta.

Доверьтесь, мы общались ранее

В мае специалисты департамента исследования угроз информационной безопасности экспертного центра безопасности Positive Technologies (PT Expert Security Center) наблюдали очередную фишинговую рассылку финансово мотивированной группировки Hive0117. Одно из фишинговых сообщений было отправлено на имя сотрудника холдинговой компании. К письму был приложен защищенный паролем архив, который содержит исполняемый файл, представляющий собой бэкдор DarkWatchman. Интересен подход к написанию письма, который сильно отличается от обычных рассылок. Само письмо является ответом на некоторое ранее отправленное письмо, чтобы вызвать доверие получателя. Срочность сообщения не обозначается явно, а подразумевается — сейчас якобы проходит налоговая проверка. Под этим предлогом письмо просят перенаправить далее бухгалтеру. Это также является интересным моментом: сообщение, полученное от коллеги, как правило, вызывает больше доверия, чем письмо от внешнего отправителя.

 

Рисунок 5. Фишинговое письмо от Hive0117

Рисунок 5. Фишинговое письмо от Hive0117

Также в июне команда PT Expert Security Center фиксировала фишинговые рассылки в один из банков. К письму прилагался архив, содержащий исполняемый файл, открытие которого приводило к развертыванию Agent Tesla. Интересно, что письмо действительно было отправлено с легитимного почтового адреса, что говорит о его компрометации ранее.

Рисунок 6. Фишинговое сообщение, содержащее вредоносное ПО Agent Tesla

Рисунок 6. Фишинговое сообщение, содержащее вредоносное ПО Agent Tesla

Еще одна фишинговая рассылка была направлена на коммерческие организации. На протяжении июня эксперты PT Expert Security Center фиксировали рассылки с легитимных почтовых адресов. Само письмо стандартное (ссылка на акт сверки и претензию), но интересен способ доставки: в письмо вставлена ссылка на внешний ресурс (GitHub), из которого пользователь сам должен скачать и запустить вредоносную нагрузку.

Рисунок 7. Фишинговое сообщение, отправленное с легитимного почтового адреса

Рисунок 7. Фишинговое сообщение, отправленное с легитимного почтового адреса

Следует внимательно относиться к сообщениям, даже если отправитель кажется знакомым. Не стоит сразу открывать защищенные паролем архивы. Мы советуем связаться с отправителем по доверенному каналу связи — это не займет много времени, но позволит компании избежать неприятных последствий.

Эволюция квишинга

Квишинг (Quishing) — разновидность фишинга, осуществляемая при помощи QR-кодов. При сканировании такого QR пользователи перенаправляются на вредоносный веб-сайт, который либо содержит ссылки на скачивание вредоносного ПО на устройства пользователей, либо запрашивает номера кредитных карт или учетные данные якобы для входа в систему. Еще в I квартале 2023 года мы отмечали тенденцию на использование злоумышленниками квишинга. В июне исследователи кибербезопасности Cyble сообщили, что злоумышленники активно использовали документы Word со встроенными QR-кодами в фишинговых атаках.

Об этом сообщают и другие исследователи. Например, эксперты Check Point в июне сообщили о росте числа использования квишинга, а также о новом способе эксплуатации этого метода.

Рисунок 8. Статистика атак при помощи QR-кода

Рисунок 8. Статистика атак при помощи QR-кода

Исследователи обнаружили новую кампанию, в которой QR-код представлен не в виде изображения, а создан с помощью символов HTML и ASCII. Злоумышленники внедряют, по сути, блоки в HTML, и в электронном письме это будет выглядеть как QR-код. Как и во многих фишинговых атаках с использованием QR-кодов, электронное письмо связано с запросом повторной аутентификации. А поскольку за QR-кодом стоят символы ASCII, это может привести к тому, что системы безопасности не сочтут его злонамеренным.

Рисунок 9. QR-кода, представленный в виде HTML и ASCII

Рисунок 9. QR-кода, представленный в виде HTML и ASCII

Рычаги давления операторов шифровальщиков: шантаж с GDPR и звонки с угрозами

В мае аукционный дом Christie's подтвердил киберинцидент, после того как банда вымогателей RansomHub взяла на себя ответственность за атаку. Группа вымогателей добавила Christie’s на свой сайт, говоря, что украли конфиденциальные данные клиентов (около полумиллиона человек): полные имена, данные о физических адресах, удостоверяющие личность документы.

Интересным здесь является тот факт, что банда вымогателей пригрозила аукционному дому сообщить об утечке регулятору, что, в свою очередь, повлечет за собой крупные штрафы по GDPR (General Data Protection Regulation — Регламент Евросоюза о персональных данных). Поскольку в случае нарушения GDPR компании необходимо выплатить штраф в размере 20 000 000 €, или 4% от годового оборота, такие суммы могут быть критичны для организации.  Злоумышленники понимают, какие издержки для компании связаны с несоблюдением GDPR. Назначая цену за выкуп данных меньше, чем предполагаемый штраф, банды вымогателей стимулируют организации платить деньги преступникам.

Еще один интересный случай выявили исследователи кибербезопасности Halcyon AI. По их данным, появилась новая группа вымогателей под названием Volcano Demon. Группировка уже успешно атаковала несколько компаний и развернула программу-вымогатель LukaLocker. Примечательно, что злоумышленники отклонились от стандартного плана действий шифровальщиков. Вместо сайтов утечки данных они прибегают к частым звонкам с угрозами, что усиливает давление на жертв.

Игроки под прицелом злоумышленников

В мире киберпреступности появился новый стилер, нацеленный на игровое сообщество. Исследователи в области безопасности из G DATA проанализировали Sharp Stealer — это ВПО нацелено на различную системную информацию, кражу cookie-файлов для входа на сайты, паролей, данных карт из браузеров, криптокошельков, игровых учетных записей Epic Games, Steam, Roblox, Ubisoft, VimeWorld, Minecraft. Об этом новом семействе вредоносных программ, включая Sharpil RAT и Sharp Stealer, сообщил исследователь угроз Йогеш Лондхе в одной из социальных сетей.

Рисунок 10. Описание Sharp Stealer

Рисунок 10. Описание Sharp Stealer

Особого внимания заслуживает выбор игровых платформ и связанного с ними программного обеспечения. Игровые аккаунты часто представляют значительную ценность в виде как внутриигровых предметов, так и связанных с ними персональных данных. Продажа скомпрометированных игровых аккаунтов является прибыльным рынком в киберпреступных кругах, что делает их главной мишенью для стилеров, таких как Sharp Stealer.

Играйте честно

Согласно исследованию McAfee, появилось новое вредоносное ПО, схожее с Redline Stealer2. Вредонос выдает себя за демоверсии инструментов под названием Cheat Lab и Cheater Pro (программы предлагают в помощь игрокам способы мошенничества в различных играх, например возможность открывать новое оружие или уровни, которые в случае честной игры были бы недоступны) и использует URL-адреса, связанные с репозиторием Microsoft на GitHub. Интересным здесь является то, какая приманка используется для дальнейшего распространения ВПО: пользователям предлагают заполучить бесплатную версию программы, если они убедят своих друзей установить зараженную демоверсию.

2 Redline Stealer – шпионское ПО, способное красть конфиденциальные данные и загружать дополнительные вредоносные программы на устройства жертвы.

Рисунок 11. Сообщение, призывающее пользователя распространить вредоносное ПО

Рисунок 11. Сообщение, призывающее пользователя распространить вредоносное ПО

Такая атака показывает, что даже установка программ из, казалось бы, надежных источников может привести к заражению системы различными ВПО. 

Следует с опаской относиться к скачиванию исполняемых файлов с ненадежных сайтов. Также мы советуем внимательно относиться к скачиванию даже из таких надежных и легитимных сервисов, как GitHub, ведь злоумышленники могут использовать такие каналы для распространения ВПО.

Интерес к инструментам ИИ растет

В I квартале 2024 года мы отмечали увеличение использования злоумышленниками троянов для удаленного управления. Теперь же злоумышленники используют такое ВПО с прицелом на исследования в сфере технологий искусственного интеллекта. Исследователи кибербезопасности Proofpoint обнаружили в мае новую операцию, направленную на исследовательские организации в области искусственного интеллекта. Злоумышленники использовали ВПО для удаленного управления SugarGh0st с целью получения непубличной информации, связанной с генеративным искусственном интеллектом. Распространялся же троян с помощью фишинговых писем. 

Рисунок 12. Фишинговое сообщение на тему ИИ

Рисунок 12. Фишинговое сообщение на тему ИИ

Согласно исследованию, кампания была нацелена менее чем на десять человек, причем все они имеют прямое отношение к одной ведущей американской организации в сфере искусственного интеллекта, что говорит о целенаправленности атаки и заинтересованности злоумышленников в сфере ИИ.

ВПО с модулем ИИ

Злоумышленники не стоят на месте и постоянно совершенствуют ВПО. Так, центр анализа безопасности AhnLab (ASEC) раскрыл новую функцию во вредоносной программе ViperSoftX (разновидность вредоносного ПО, которое может контролировать зараженные системы и красть информацию). Злоумышленники интегрировали в это ВПО Tesseract — механизм распознавания текста OCR (Optical character recognition) на базе открытого исходного кода, что знаменует скачок в методологии проведения атак. OCR использует нейронные сети для поиска и распознавания текста на изображениях. Благодаря такому нововведению ViperSoftX может извлекать текст из изображений и сканировать строки на наличие фраз, связанных с учетными данными, в том числе для входа в криптовалютные кошельки.

Кража биометрии для создания дипфейков

В феврале эксперты по кибербезопасности выпустили исследование о вредоносном ПО GoldPickaxe, нацеленном на устройства Android и IOS. GoldPickaxe способен собирать биометрические данные жертв, а также другие конфиденциальные данные (документы, удостоверяющие личность, перехват SMS). Получив доступ к сканам лиц, злоумышленники использовали технологии ИИ для создания реалистичных цифровых моделей, что в совокупности с документами, удостоверяющими личность, и возможностью перехвата SMS давало злоумышленникам возможность получать доступ к банковскому счету жертв.

В связи с растущим интересом к технологиям искусственного интеллекта, активными исследованиями организаций в этой сфере, а также различными утечками биометрических данных, вероятно, что злоумышленники также стремятся создавать собственные вредоносные инструменты на основе ИИ. В случае успеха это позволит не только создавать правдоподобные фишинговые сообщения, сайты и скрипты, а полностью автоматизировать этапы проведения атаки. Также массовый сбор биометрии позволит злоумышленникам более эффективно проводить атаки с использованием дипфейков: например, использовать поддельные личности для устройства на работу в технологические компании для дальнейшего шпионажа.

Распространение скиммеров для кражи данных банковских карт

По итогам II квартала мы отмечаем увеличение с 13% до 22% доли данных платежных карт среди украденных данных в атаках на частных лиц. Мы связываем это с массовым распространением типов ВПО, способных красть данные платежных карт (шпионское ПО и RAT), а также с несколькими кампаниями, в которых использовались веб-скиммеры.

Например, специалисты Sucuri выявили новый веб-скиммер под названием Caesar Cipher, нацеленный на такие системы управления контентом (CMS), как WordPress, Magento, OpenCart. Вредоносное ПО внедрялось в PHP-файл оформления заказа в плагине WooCommerce (плагин для электронной коммерции с открытым исходным кодом для WordPress).

Еще один способ кражи данных платежных карт связан с плагином pkfacebook, созданным для платформы электронной коммерции PrestaShop. Злоумышленники использовали в атаках уязвимость CVE-2024-36680 для развертывания скиммера карт на сайтах. Уязвимость имеет высокий уровень опасности (7,5 по шкале CVSS) и представляет собой внедрение SQL-кода. Исследователи безопасности Friends-of-Presta опубликовали эксплойт для CVE-2024-36680 и предупредили об активном использовании в атаках для развертывания скиммера с целью массовой кражи кредитных карт.

Полученные в ходе атак данные платежных карт клиентов могут перепродаваться на теневых ресурсах и использоваться в дальнейших атаках. Чтобы избежать таких последствий, мы рекомендуем организациям своевременно устанавливать обновления для систем CMS и плагинов, использовать надежные пароли и многофакторную аутентификацию. Это особенно важно, поскольку злоумышленники, как правило, используют слабые пароли и уязвимости в плагинах для получения расширенного доступа к сайту и развития атаки.

Эволюция ВПО

Устройства Android под угрозой

В конце июня исследователи сообщили о новом векторе атаки на приложения Android, который злоупотребляет функцией безопасности для обхода средств защиты. Так, эксперты по безопасности мобильных приложений Promon исследовали новое вредоносное ПО под названием Snowblind, использующее функцию безопасности Linux под названием seccomp. Функция seccomp позволяет системе Android изолировать приложения и ограничивать системные вызовы, которые они выполняют. Задачей Snowblind является переупаковка целевого приложения таким образом, чтобы оно не могло обнаруживать злоупотребление службами специальных возможностей, которые позволяют зловреду получать вводимые пользователем данные (например, учетные) или получать доступ к удаленному управлению для выполнения вредоносных действий. Пока неизвестно, сколько приложений было атаковано на самом деле, но существует большая вероятность того, что другие злоумышленники также подхватят этот метод. Специалисты BleepingComputer обратились в Google с просьбой прокомментировать активное злоупотребление seccomp, и по заявлениям утверждается, что в Google Play не обнаружено приложений, которые содержат вредоносный код, схожий с Snowblind.

Важное обновление: RAT обходит рубеж защиты

Тревожным звонком для безопасности мобильных устройств Android стал выход новой версии вредоносной программы CraxsRAT. В мае ВПО получило возможность обхода Google Play Protect — это приложение проверяет устройство на наличие вредоносных приложений, в том числе и установленных из сторонних источников. Согласно сообщению, новая версия CraxsRAT поддерживает несколько языков и такие функции, как внедрение вредоносной нагрузки в APK-файлы. 

Рисунок 13. Описание CraxsRAT

Рисунок 13. Описание CraxsRAT

На вооружении другой тип файлов и незакрытая уязвимость

Злоумышленники всегда пытаются найти новые методы заражения для получения доступа к системам и обхода средств защиты. Киберпреступники перешли на тип файлов Windows MSC. MSC-файлы используются в консоли MMC (Microsoft Management Console) для настройки различных компонентов операционной системы или создания пользовательских представлений часто используемых инструментов. Так, команда Elastic выявила новый метод распространения таких файлов в сочетании с эксплуатацией старой неисправленной уязвимости XSS в Windows для развертывания Cobalt Strike. Исследователи также смогли идентифицировать недавно загруженный образец (6 июня 2024 года) на VirusTotal, что доказывает его активное использование в атаках. Важным является то, что на момент написания статьи Elastic Security ни один антивирус не пометил файл как вредоносный. На момент написания данного исследования половина антивирусных движков, используемых на ресурсе (31 из 63), пометила файл как вредоносный.

Рисунок 14. Вердикт VirusTotal

Рисунок 14. Вердикт VirusTotal

Конечно, и хорошо известные злоумышленники прибегают к использованию файлов MSC. Например, группировка Kimsuky использовала поддельные аккаунты в одной из социальных сетей для распространения вредоносных ссылок на OneDrive, которые доставляли вредоносные файлы MSC. Также исследователи кибербезопасности NTT обнаружили использование MSC-файлов в атаках группировки DarkPeony. Цепочка атак начинается с заражения вредоносным MSC-файлом для дальнейшей доставки ВПО для удаленного управления PlugX.

Такие атаки показывают, как злоумышленники изменяют методы распространения ВПО, чтобы оставаться незаметными. Мы ожидаем более активного распространения вредоносных MSC-файлов. Чтобы обезопасить себя от современного вредоносного ПО, организациям следует использовать песочницы, которые позволяют открывать и запускать программы в изолированной виртуальной среде для выявления вредоносной активности.

Бескрылый пегас

В предыдущем квартале мы писали о неоднозначных ситуациях в мире темного интернета (большая афера группы Mogilevich, обман аффилированных лиц группировкой BlackCat). Так, во II квартале исследователи CloudSEC выявили тенденцию широкого злоупотребления шпионским ПО Pegasus3. Анализ показал, что злоумышленники предлагали программу за сотни тысяч долларов, однако оказалось, что почти все образцы были мошенническими и неэффективными. Злоумышленники создавали свои собственные инструменты и скрипты, распространяя их под именем Pegasus, чтобы извлечь финансовую выгоду из-за большой известности вредоноса. Например, в одном из сообщений постоянный доступ продавался за 1,5 миллиона долларов. Также было замечено общедоступное распространение Pegasus.

3 Pegasus –  ПО, созданное фирмой NSO Group для правоохранительных органов и спецслужб для шпионажа

Рисунок 15. Распространение Pegasus на безвозмездной основе

Рисунок 15. Распространение Pegasus на безвозмездной основе

Актуальные уязвимости

Эксплуатация уязвимостей остается одним из лидирующих методов успешных атак на организации — доля его использования составила 35%. Отметим заметные уязвимости, ставшие актуальными для II квартала:

  • CVE-2024-3400. Критическая уязвимость, опубликованная 12 апреля и получившая 10 баллов по шкале CVSS, затрагивает версии PAN-OS Palo Alto Networks. Ошибка позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять команды с правами администратора на брандмауэре. Исследователи поделились техническими деталями и эксплойтом proof-of-concept для CVE-2024-3400, демонстрирующим, насколько легко злоумышленники могут выполнять команды от имени root. Общедоступность эксплойта позволила многочисленным преступникам проводить свои собственные атаки, не оставляя системным администраторам возможности откладывать исправление.

  • CVE-2024-5806. Активно эксплуатируемая уязвимость, получившая оценку 9,1 по шкале CVSS (критический уровень), позволяет злоумышленникам обходить механизмы аутентификации в службе SFTP MOVEit Transfer. Это может привести к несанкционированному доступу и потенциальной утечке конфиденциальных данных, хранящихся на сервере MOVEit Transfer. Организация по безопасности Shadowserver сообщила о резком росте попыток эксплуатации после публикации информации об уязвимости (25 июня).

  • CVE-2024-26169. Уязвимость позволяет злоумышленникам получать права системного администратора и имеет оценку 7,8 по шкале CVSS (высокий уровень опасности). Исследователи безопасности Symantec обнаружили доказательства того, что операторы Black Basta, вероятно, стояли за атаками, использующими уязвимость нулевого дня. Интересным является то, что один вариант средства эксплойта имеет временную метку компиляции, датированную 27 февраля 2024 года. Это означает, что у Black Basta был рабочий инструмент для использования эксплойтов задолго до того, как Microsoft в конечном итоге выпустила исправление.

  • CVE-2023-7028. В начале мая CISA добавила в каталог известных эксплуатируемых уязвимостей критический недостаток в системе GitLab, имеющий оценку 10,0 по шкале CVSS (критический уровень опасности). Использование CVE-2023-7028 позволяет злоумышленникам получать несанкционированный доступ к частным проектам и конфиденциальным данным, включая учетные данные, а также осуществить внедрение вредоносного кода в репозитории исходного кода.

С расширенным списком наиболее популярных уязвимостей можно ознакомиться в ежемесячном дайджесте на нашем сайте.

Последствия атак

Успешные атаки злоумышленников во II квартале приводили к разнообразным последствиям. Как и в прошлом квартале, самым распространенным последствием стала утечка конфиденциальной информации (55% для организаций и 82% для частных лиц). У организаций второе место занимает нарушение основной деятельности (27%), однако его доля снизилась на 6 процентных пунктов в сравнении с первым кварталом в связи с уклоном злоумышленников в сторону кражи конфиденциальной информации. Один из наиболее серьезных инцидентов с утечкой данных связан с компанией Snowflake. Множество клиентов Snowflake начали подтверждать утечки данных. Cогласно отчету Mandiant, злоумышленники использовали украденные учетные данные клиентов для захвата учетных записей, не защищенных многофакторной аутентификацией. В ходе расследований, связанных со Snowflake, Mandiant заметил, что в некоторых случаях злоумышленники получили первоначальный доступ через подрядчиков. Однако, по словам одного из злоумышленников, доступ к учетным записям Snowflake был получен через заражение компьютера сотрудника EPAM Systems с помощью вредоносного ПО.

Само же корпоративное окружение Snowflake не было взломано. Mandiant и Snowflake уведомили примерно 165 потенциально уязвимых организаций об инциденте. В число компаний, подтверждающих утечку данных, входят Ticketmaster, Santander Bank, Advance Auto Parts, Pure Storage, Los Angeles Unified, Neiman Marcus, AT & T.

Рисунок 16. Последствия атак (доля успешных атак)

Cписок атак II квартала, которые повлекли за собой негативные последствия и вызвали большой резонанс:

  • 6 мая один из крупнейших производителей печатных плат Keytronic подвергся кибератаке, в результате чего пришлось остановить производство на две недели. Атака также ограничила доступ к бизнес-приложениям, поддерживающим деятельность компании. Также в заявлении сообщается, что злоумышленники похитили персональные данные. Компания Keytronic не связала атаку с конкретной группировкой, однако банда вымогателей Black Basta взяла на себя ответственность. Злоумышленники утверждают, что украли кадровые, финансовые, инженерные и корпоративные данные. По словам компании, она уже понесла расходы в размере около 600 000 долларов США, связанные с восстановлением и устранением последствий атаки, а также наймом внешних экспертов по кибербезопасности.

  • В начале июня производитель промышленного оборудования и вилочных погрузчиков Crown Equipment столкнулся с кибератакой, из-за чего было нарушено производство на его заводах. Такие операции, как дежурство сотрудников и доступ к руководствам по техническому обслуживанию, были остановлены, а в некоторых случаях прекратилась и поставка оборудования.

  • Группировка Qilin атаковала компанию Synnovis в начале июня, предоставляющую патологоанатомические услуги для больниц и клиник Лондона. Атака вызвала серьезные перебои в работе, что заставило NHS объявить режим чрезвычайной ситуации в регионе. Инцидент повлиял на возможность переливания крови. Также более 800 запланированных операций и 700 амбулаторных назначений пришлось перенести. Национальная служба здравоохранения Англии по крови и трансплантации (NHSBT) также выпустила предупреждение о нехватке крови в больницах Лондона.

  • 24 апреля компания по облачному хранению данных Dropbox обнаружила, что злоумышленники получили доступ к производственным системам Dropbox Sign eSignature. Преступники получили доступ к инструменту автоматической настройки системы Dropbox Sign, который является частью внутренних сервисов платформы. Впоследствии злоумышленниками были получены доступы к токенам аутентификации, ключам MFA, хешированным паролям и информации о клиентах.

  • В конце мая логистическая компания СДЭК столкнулась с кибератакой, вследствие чего наблюдались значительные перебои в работе сервисов и нарушение бизнес-процессов: сайт и приложение СДЭК оказались недоступны, а также были приостановлены прием и выдача заказов. По оценкам экспертов, ущерб от сбоя сервисов СДЭК может составить от 300 млн до 1 млрд рублей.

В атаках с утечками конфиденциальной информации злоумышленники чаще ориентировались на похищение коммерческой тайны (26%), персональных (25%) и учетных данных (23%) у организаций. В атаках на частных лиц злоумышленники в большей степени были нацелены на кражу учетных данных (37%) и данных платежных карт (22%).

Рисунок 17. Типы украденных данных (в атаках на организации)

Рисунок 18. Типы украденных данных (в атаках на частных лиц)

Помимо утечек, связанных со Snowflake, мы отмечаем и другие крупные утечки данных:

  • Известный злоумышленник заявил о взломе компании Apple и украл исходный код трех инструментов (AppleConnect-SSO, AppleMacroPlugin, Apple-HWE-Confluence-Advanced), которые используются внутри организации. Согласно сообщению на одном из форумов, компания была скомпрометирована в июне.

  • В конце июня в сеть было выложено несколько таблиц базы данных, принадлежащих интернет-магазину сети супермаркетов «Магнолия». Исследователи отметили, что в текстовых файлах содержится следующая информация: ФИО, адреса доставки, адреса электронной почты (245 931 уникальный адрес), номера телефонов (252 209 уникальных номеров), хешированные пароли, состав, сумма и дата заказа, купоны на скидку.

  • Один из киберпреступников разместил сообщение о продаже данных, полученных в результате взлома AMD в июне 2024 года. Сообщается, что скомпрометированные данные включают широкий спектр конфиденциальной информации, начиная от исходного кода, сведений о будущих продуктах и заканчивая базами данных сотрудников и клиентов.

  • В мае злоумышленник заявил о взломе производителя компьютерного оборудования Cooler Master и краже данных объемом 103 ГБ. Утечка произошла в результате взлома одного из веб-сайтов компании. Украденные данные включают корпоративные данные, сведения о поставщиках, продажах, гарантийных обязательствах, инвентаризации, а также личные данные более 500 000 участников Fanzone (веб-сайт используется для оформления гарантии на продукты, отправки запросов на возврат товара или денег).

  • 6 мая исследовательская группа Cybernews обнаружила набор данных, посвященный исключительно гражданам Китая. Объем составляет 100 ГБ и содержит более 1,2 миллиарда записей (население Китая составляет примерно 1,4 миллиарда человек). В основном утечка содержит в себе номера телефонов, но также имеются личные данные — номера удостоверения личности, домашние адреса и номера карт.

  • Примерно в мае исследователь кибербезопасности Джереми Фаулер обнаружил базу данных, принадлежащую двум отдельным индийским фирмам, ThoughtGreen Technologies и Timing Technologies. Обе предоставляют услуги по разработке приложений, сервисы биометрической проверки. Файлы (1 661 593 файлов, или 496,4 ГБ) содержали конфиденциальные биометрические данные, такие как сканированное изображение лица, отпечатки пальцев, подписи и опознавательные знаки сотрудников полиции, военнослужащих, учителей и даже железнодорожников. В конечном итоге выяснилось, что данные могли быть выставлены на продажу в Telegram.

  • Согласно данным Resecurity, злоумышленник разместил на одном из форумов данные граждан Сальвадора объемом в 144 ГБ. База содержит более 5 миллионов фотографий высокого качества, каждая из которых помечена номером удостоверения личности (DUI), а также имена и фамилии, даты рождения, номера телефонов, адреса электронной почты и адреса проживания. Эту утечку данных можно считать значительной, поскольку она знаменует собой один из первых случаев в истории киберпреступности, когда практически все население Сальвадора пострадало от компрометации биометрических данных.

  • 6 июля в сеть был выложен фрагмент таблицы баз данных, предположительно относящийся к покупателям сети магазинов «Винлаб». В опубликованном фрагменте утечки содержится более 408 тысяч строк, которые содержат следующие данные: ФИО, телефонные номера, адреса электронной почты, хешированные пароли и номера карт лояльности.

Для защиты от кибератак мы советуем придерживаться общих рекомендаций по обеспечению личной и корпоративной кибербезопасности. Учитывая специфику II квартала, мы настоятельно рекомендуем пользователям быть внимательными при вводе учетных данных на незнакомых ресурсах, а также при загрузке вложений и переходе по ссылкам из сообщений. Стоит всегда объективно и критически оценивать ситуацию — это поможет уберечь ваши данные и деньги.

 

Учитывая увеличение количества атак с распространением ВПО через легитимные сервисы, разработчикам следует внимательно относиться к используемым репозиториям и менеджерам пакетов в своих проектах, реализовать практику безопасности цепочек поставок ПО, внедрить инструменты application security. А также рекомендуем различные анализаторы пакетов и исходного кода, например PT PyAnalysis.

 

Чтобы защитить организацию от возможных утечек корпоративной информации, важно уделить внимание защите данных. Мы рекомендуем проводить регулярную инвентаризацию и классификацию активов, устанавливать политики разграничения доступа к данным, осуществлять мониторинг обращения к чувствительной информации.

 

Для защиты периметра рекомендуем применять межсетевые экраны уровня приложений (web application firewalls, WAF). Для защиты устройств от современного вредоносного ПО используйте песочницы, которые позволяют проанализировать поведение файлов в виртуальной среде, выявить вредоносную активность и предотвратить ущерб, который может быть нанесен компании. Организациям следует развивать процессы управления уязвимостями и участвовать в программах баг-баунти.

Сводная статистика

Рисунок 19. Количество инцидентов в 2023 и 2024 годах (по кварталам)

Рисунок 20.Категории жертв среди организаций

19% успешных атак были направлены на частных лиц

Рисунок 21. Объекты атак (доля успешных атак)

Рисунок 22. Методы атак (доля успешных атак)

Рисунок 23. Способы распространения вредоносного ПО в успешных атаках на организации

Рисунок 24. Способы распространения вредоносного ПО в успешных атаках на частных лиц

Рисунок 25. Целевые ОС в атаках с использованием ВПО (доля успешных атак)

Об исследовании

Данный отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies (PT Expert Security Center), результатах расследований, а также на данных авторитетных источников.

По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная атака, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.