Актуальные киберугрозы: II квартал 2024 года

Во II квартале 2024 года количество инцидентов увеличилось на 4% по сравнению с предыдущим кварталом. Использование вредоносного ПО остается одним из основных методов в атаках на организации: оно использовалось в 64% успешных атак. Продолжается увеличение доли использования ВПО (вредоносное программное обеспечение) для удаленного управления в атаках как на организации (41%, прирост по сравнению с первым кварталом составил 9 процентных пунктов), так и на частных лиц (42%, прирост составил 5 процентных пунктов). Основным методом успешных атак на частных лиц и одним из основных векторов атаки на организации остается социальная инженерия: доля ее использования составила 92% и 51% соответственно. Наблюдалось множество крупных утечек, в которых злоумышленники были нацелены на кражу коммерческой тайны организаций, также мы отмечаем объемные утечки биометрии. Во II квартале происходили атаки на исследовательские организации в области ИИ, основной целью которых была кража ценных данных. Мы отмечаем использование различных уловок в атаках шифровальщиков (например, переполнение электронной почты спамом), а также значительные обновления различных типов ВПО: так, стоит отметить добавление модуля с инструментом ИИ в шпионское ПО.

По итогам II квартала мы вновь отмечаем рост использования ВПО для удаленного управления в атаках как на организации (41%), так и на частных лиц (42%), что продолжает тренд предыдущего квартала.

Злоумышленники активно распространяют различное ВПО для удаленного управления, в том числе бесплатно. Например, была замечена публикация крупного сборника инструментов RAT (Remote Access Trojan — трояны удаленного доступа) в одном из тематических Telegram-каналов. В сборник вошли и часто встречающиеся в I полугодии ВПО: Remcos RAT, NanoCore RAT, njRAT.

Рост атак с применением RAT, а также различные публикации целых подборок нелегальных инструментов для удаленного управления говорят о большом интересе злоумышленников к таким типам ВПО. Так, по данным сервиса ANY.RUN, во II квартале 2024 года ВПО для удаленного управления занимало лидирующую позицию среди наиболее распространенных вредоносов. Злоумышленники используют RAT, поскольку это ВПО предоставляет постоянный доступ к скомпрометированным системам, позволяя осуществлять шпионаж в течение длительного времени.

Также замечено увеличение доли распространения ВПО через различные менеджеры пакетов, таких как npm, PyPI, — на 15% по сравнению с предыдущим кварталом, об их активном применении в атаках мы писали ранее. Такой способ распространения ВПО вызывает большой интерес у злоумышленников. Используя тайпсквоттинг¹, преступники обманом заставляют жертву устанавливать вредоносные пакеты, что приводит к компрометации устройства пользователя и дальнейшему развертыванию различных типов ВПО — например, майнеров или RAT. Отметим, что таким атакам могут быть подвержены как частные лица, так и целые организации, и одними из основных целей злоумышленников в первом полугодии становятся разработчики различных IT-компаний. Успешная атака может привести как к краже учетных данных и их дальнейшей продаже на теневых ресурсах, так и к атакам supply chain.

Атаку с компрометацией цепочки поставок ПО злоумышленник может провести и другим способом. Например, имея в своем арсенале эксплойт, позволяющий захватывать учетные записи npm, преступники смогут внедрить вредоносный код в доверенные пакеты, что приведет к компрометации устройств, использующих вредоносный программный модуль. Так, в начале июля злоумышленник разместил на одном из форумов сообщение о продаже эксплойта для уязвимости в менеджере пакетов npm. Согласно сообщению, компрометация уязвимости дает злоумышленнику несколько возможностей ее использования. Например, она может быть нацелена на кражу аккаунтов npm организаций или разработчиков, что в дальнейшем позволит внедрить бэкдоры в распространяемое ПО.

Социальная инженерия остается одним из основных методов атаки на организации: этот метод использовался в каждой второй успешной атаке на организации (51%). В атаках на частные лица социальная инженерия остается наиболее популярным методом с долей атак 92%. Чаще всего злоумышленники использовали электронные письма в атаках на организации (83%) и фишинговые сайты при атаках на частных лиц (62%). При этом злоумышленники меняют свой подход — используют новые средства для проведения фишинговых атак для кражи учетных данных, переходят на другие типы файлов. 

Согласно исследованию Rapid7, субъекты угроз начали использовать новый прием социальной инженерии. Его суть заключается в следующем: злоумышленники забивают электронную почту жертвы спамом, затем следует звонок пользователю якобы от лица сотрудника IT-отдела организации с предложением помощи. Они просят жертву запустить средство удаленного управления (например, AnyDesk или Quick Assist — встроенная в Windows утилита удаленного мониторинга). Как только устанавливается удаленное подключение, преступники переходят к загрузке вредоносных программ для сбора учетных данных и установки долгосрочного доступа к скомпрометированной системе. В одной из атак исследователи наблюдали размещение маяков Cobalt Strike. Хотя в Rapid7 не зафиксировали внедрение программ-вымогателей ни в одном из случаев, обнаруженные признаки компрометации ранее были связаны с операторами-вымогателями Black Basta.

В мае специалисты департамента исследования угроз информационной безопасности экспертного центра безопасности Positive Technologies (PT Expert Security Center) наблюдали очередную фишинговую рассылку финансово мотивированной группировки Hive0117. Одно из фишинговых сообщений было отправлено на имя сотрудника холдинговой компании. К письму был приложен защищенный паролем архив, который содержит исполняемый файл, представляющий собой бэкдор DarkWatchman. Интересен подход к написанию письма, который сильно отличается от обычных рассылок. Само письмо является ответом на некоторое ранее отправленное письмо, чтобы вызвать доверие получателя. Срочность сообщения не обозначается явно, а подразумевается — сейчас якобы проходит налоговая проверка. Под этим предлогом письмо просят перенаправить далее бухгалтеру. Это также является интересным моментом: сообщение, полученное от коллеги, как правило, вызывает больше доверия, чем письмо от внешнего отправителя.

Также в июне команда PT Expert Security Center фиксировала фишинговые рассылки в один из банков. К письму прилагался архив, содержащий исполняемый файл, открытие которого приводило к развертыванию Agent Tesla. Интересно, что письмо действительно было отправлено с легитимного почтового адреса, что говорит о его компрометации ранее.

Еще одна фишинговая рассылка была направлена на коммерческие организации. На протяжении июня эксперты PT Expert Security Center фиксировали рассылки с легитимных почтовых адресов. Само письмо стандартное (ссылка на акт сверки и претензию), но интересен способ доставки: в письмо вставлена ссылка на внешний ресурс (GitHub), из которого пользователь сам должен скачать и запустить вредоносную нагрузку.

Квишинг (Quishing) — разновидность фишинга, осуществляемая при помощи QR-кодов. При сканировании такого QR пользователи перенаправляются на вредоносный веб-сайт, который либо содержит ссылки на скачивание вредоносного ПО на устройства пользователей, либо запрашивает номера кредитных карт или учетные данные якобы для входа в систему. Еще в I квартале 2023 года мы отмечали тенденцию на использование злоумышленниками квишинга. В июне исследователи кибербезопасности Cyble сообщили, что злоумышленники активно использовали документы Word со встроенными QR-кодами в фишинговых атаках.

Об этом сообщают и другие исследователи. Например, эксперты Check Point в июне сообщили о росте числа использования квишинга, а также о новом способе эксплуатации этого метода.

Исследователи обнаружили новую кампанию, в которой QR-код представлен не в виде изображения, а создан с помощью символов HTML и ASCII. Злоумышленники внедряют, по сути, блоки в HTML, и в электронном письме это будет выглядеть как QR-код. Как и во многих фишинговых атаках с использованием QR-кодов, электронное письмо связано с запросом повторной аутентификации. А поскольку за QR-кодом стоят символы ASCII, это может привести к тому, что системы безопасности не сочтут его злонамеренным.

В мае аукционный дом Christie's подтвердил киберинцидент, после того как банда вымогателей RansomHub взяла на себя ответственность за атаку. Группа вымогателей добавила Christie’s на свой сайт, говоря, что украли конфиденциальные данные клиентов (около полумиллиона человек): полные имена, данные о физических адресах, удостоверяющие личность документы.

Интересным здесь является тот факт, что банда вымогателей пригрозила аукционному дому сообщить об утечке регулятору, что, в свою очередь, повлечет за собой крупные штрафы по GDPR (General Data Protection Regulation — Регламент Евросоюза о персональных данных). Поскольку в случае нарушения GDPR компании необходимо выплатить штраф в размере 20 000 000 €, или 4% от годового оборота, такие суммы могут быть критичны для организации.  Злоумышленники понимают, какие издержки для компании связаны с несоблюдением GDPR. Назначая цену за выкуп данных меньше, чем предполагаемый штраф, банды вымогателей стимулируют организации платить деньги преступникам.

Еще один интересный случай выявили исследователи кибербезопасности Halcyon AI. По их данным, появилась новая группа вымогателей под названием Volcano Demon. Группировка уже успешно атаковала несколько компаний и развернула программу-вымогатель LukaLocker. Примечательно, что злоумышленники отклонились от стандартного плана действий шифровальщиков. Вместо сайтов утечки данных они прибегают к частым звонкам с угрозами, что усиливает давление на жертв.

В мире киберпреступности появился новый стилер, нацеленный на игровое сообщество. Исследователи в области безопасности из G DATA проанализировали Sharp Stealer — это ВПО нацелено на различную системную информацию, кражу cookie-файлов для входа на сайты, паролей, данных карт из браузеров, криптокошельков, игровых учетных записей Epic Games, Steam, Roblox, Ubisoft, VimeWorld, Minecraft. Об этом новом семействе вредоносных программ, включая Sharpil RAT и Sharp Stealer, сообщил исследователь угроз Йогеш Лондхе в одной из социальных сетей.

Особого внимания заслуживает выбор игровых платформ и связанного с ними программного обеспечения. Игровые аккаунты часто представляют значительную ценность в виде как внутриигровых предметов, так и связанных с ними персональных данных. Продажа скомпрометированных игровых аккаунтов является прибыльным рынком в киберпреступных кругах, что делает их главной мишенью для стилеров, таких как Sharp Stealer.

Согласно исследованию McAfee, появилось новое вредоносное ПО, схожее с Redline Stealer². Вредонос выдает себя за демоверсии инструментов под названием Cheat Lab и Cheater Pro (программы предлагают в помощь игрокам способы мошенничества в различных играх, например возможность открывать новое оружие или уровни, которые в случае честной игры были бы недоступны) и использует URL-адреса, связанные с репозиторием Microsoft на GitHub. Интересным здесь является то, какая приманка используется для дальнейшего распространения ВПО: пользователям предлагают заполучить бесплатную версию программы, если они убедят своих друзей установить зараженную демоверсию.

Такая атака показывает, что даже установка программ из, казалось бы, надежных источников может привести к заражению системы различными ВПО. 

В I квартале 2024 года мы отмечали увеличение использования злоумышленниками троянов для удаленного управления. Теперь же злоумышленники используют такое ВПО с прицелом на исследования в сфере технологий искусственного интеллекта. Исследователи кибербезопасности Proofpoint обнаружили в мае новую операцию, направленную на исследовательские организации в области искусственного интеллекта. Злоумышленники использовали ВПО для удаленного управления SugarGh0st с целью получения непубличной информации, связанной с генеративным искусственном интеллектом. Распространялся же троян с помощью фишинговых писем. 

Согласно исследованию, кампания была нацелена менее чем на десять человек, причем все они имеют прямое отношение к одной ведущей американской организации в сфере искусственного интеллекта, что говорит о целенаправленности атаки и заинтересованности злоумышленников в сфере ИИ.

Злоумышленники не стоят на месте и постоянно совершенствуют ВПО. Так, центр анализа безопасности AhnLab (ASEC) раскрыл новую функцию во вредоносной программе ViperSoftX (разновидность вредоносного ПО, которое может контролировать зараженные системы и красть информацию). Злоумышленники интегрировали в это ВПО Tesseract — механизм распознавания текста OCR (Optical character recognition) на базе открытого исходного кода, что знаменует скачок в методологии проведения атак. OCR использует нейронные сети для поиска и распознавания текста на изображениях. Благодаря такому нововведению ViperSoftX может извлекать текст из изображений и сканировать строки на наличие фраз, связанных с учетными данными, в том числе для входа в криптовалютные кошельки.

В феврале эксперты по кибербезопасности выпустили исследование о вредоносном ПО GoldPickaxe, нацеленном на устройства Android и IOS. GoldPickaxe способен собирать биометрические данные жертв, а также другие конфиденциальные данные (документы, удостоверяющие личность, перехват SMS). Получив доступ к сканам лиц, злоумышленники использовали технологии ИИ для создания реалистичных цифровых моделей, что в совокупности с документами, удостоверяющими личность, и возможностью перехвата SMS давало злоумышленникам возможность получать доступ к банковскому счету жертв.

По итогам II квартала мы отмечаем увеличение с 13% до 22% доли данных платежных карт среди украденных данных в атаках на частных лиц. Мы связываем это с массовым распространением типов ВПО, способных красть данные платежных карт (шпионское ПО и RAT), а также с несколькими кампаниями, в которых использовались веб-скиммеры.

Например, специалисты Sucuri выявили новый веб-скиммер под названием Caesar Cipher, нацеленный на такие системы управления контентом (CMS), как WordPress, Magento, OpenCart. Вредоносное ПО внедрялось в PHP-файл оформления заказа в плагине WooCommerce (плагин для электронной коммерции с открытым исходным кодом для WordPress).

Еще один способ кражи данных платежных карт связан с плагином pkfacebook, созданным для платформы электронной коммерции PrestaShop. Злоумышленники использовали в атаках уязвимость CVE-2024-36680 для развертывания скиммера карт на сайтах. Уязвимость имеет высокий уровень опасности (7,5 по шкале CVSS) и представляет собой внедрение SQL-кода. Исследователи безопасности Friends-of-Presta опубликовали эксплойт для CVE-2024-36680 и предупредили об активном использовании в атаках для развертывания скиммера с целью массовой кражи кредитных карт.

В конце июня исследователи сообщили о новом векторе атаки на приложения Android, который злоупотребляет функцией безопасности для обхода средств защиты. Так, эксперты по безопасности мобильных приложений Promon исследовали новое вредоносное ПО под названием Snowblind, использующее функцию безопасности Linux под названием seccomp. Функция seccomp позволяет системе Android изолировать приложения и ограничивать системные вызовы, которые они выполняют. Задачей Snowblind является переупаковка целевого приложения таким образом, чтобы оно не могло обнаруживать злоупотребление службами специальных возможностей, которые позволяют зловреду получать вводимые пользователем данные (например, учетные) или получать доступ к удаленному управлению для выполнения вредоносных действий. Пока неизвестно, сколько приложений было атаковано на самом деле, но существует большая вероятность того, что другие злоумышленники также подхватят этот метод. Специалисты BleepingComputer обратились в Google с просьбой прокомментировать активное злоупотребление seccomp, и по заявлениям утверждается, что в Google Play не обнаружено приложений, которые содержат вредоносный код, схожий с Snowblind.

Тревожным звонком для безопасности мобильных устройств Android стал выход новой версии вредоносной программы CraxsRAT. В мае ВПО получило возможность обхода Google Play Protect — это приложение проверяет устройство на наличие вредоносных приложений, в том числе и установленных из сторонних источников. Согласно сообщению, новая версия CraxsRAT поддерживает несколько языков и такие функции, как внедрение вредоносной нагрузки в APK-файлы. 

Злоумышленники всегда пытаются найти новые методы заражения для получения доступа к системам и обхода средств защиты. Киберпреступники перешли на тип файлов Windows MSC. MSC-файлы используются в консоли MMC (Microsoft Management Console) для настройки различных компонентов операционной системы или создания пользовательских представлений часто используемых инструментов. Так, команда Elastic выявила новый метод распространения таких файлов в сочетании с эксплуатацией старой неисправленной уязвимости XSS в Windows для развертывания Cobalt Strike. Исследователи также смогли идентифицировать недавно загруженный образец (6 июня 2024 года) на VirusTotal, что доказывает его активное использование в атаках. Важным является то, что на момент написания статьи Elastic Security ни один антивирус не пометил файл как вредоносный. На момент написания данного исследования половина антивирусных движков, используемых на ресурсе (31 из 63), пометила файл как вредоносный.

Конечно, и хорошо известные злоумышленники прибегают к использованию файлов MSC. Например, группировка Kimsuky использовала поддельные аккаунты в одной из социальных сетей для распространения вредоносных ссылок на OneDrive, которые доставляли вредоносные файлы MSC. Также исследователи кибербезопасности NTT обнаружили использование MSC-файлов в атаках группировки DarkPeony. Цепочка атак начинается с заражения вредоносным MSC-файлом для дальнейшей доставки ВПО для удаленного управления PlugX.

В предыдущем квартале мы писали о неоднозначных ситуациях в мире темного интернета (большая афера группы Mogilevich, обман аффилированных лиц группировкой BlackCat). Так, во II квартале исследователи CloudSEC выявили тенденцию широкого злоупотребления шпионским ПО Pegasus³. Анализ показал, что злоумышленники предлагали программу за сотни тысяч долларов, однако оказалось, что почти все образцы были мошенническими и неэффективными. Злоумышленники создавали свои собственные инструменты и скрипты, распространяя их под именем Pegasus, чтобы извлечь финансовую выгоду из-за большой известности вредоноса. Например, в одном из сообщений постоянный доступ продавался за 1,5 миллиона долларов. Также было замечено общедоступное распространение Pegasus.

Эксплуатация уязвимостей остается одним из лидирующих методов успешных атак на организации — доля его использования составила 35%. Отметим заметные уязвимости, ставшие актуальными для II квартала:

• CVE-2024-3400. Критическая уязвимость, опубликованная 12 апреля и получившая 10 баллов по шкале CVSS, затрагивает версии PAN-OS Palo Alto Networks. Ошибка позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять команды с правами администратора на брандмауэре. Исследователи поделились техническими деталями и эксплойтом proof-of-concept для CVE-2024-3400, демонстрирующим, насколько легко злоумышленники могут выполнять команды от имени root. Общедоступность эксплойта позволила многочисленным преступникам проводить свои собственные атаки, не оставляя системным администраторам возможности откладывать исправление.

• CVE-2024-5806. Активно эксплуатируемая уязвимость, получившая оценку 9,1 по шкале CVSS (критический уровень), позволяет злоумышленникам обходить механизмы аутентификации в службе SFTP MOVEit Transfer. Это может привести к несанкционированному доступу и потенциальной утечке конфиденциальных данных, хранящихся на сервере MOVEit Transfer. Организация по безопасности Shadowserver сообщила о резком росте попыток эксплуатации после публикации информации об уязвимости (25 июня).

• CVE-2024-26169. Уязвимость позволяет злоумышленникам получать права системного администратора и имеет оценку 7,8 по шкале CVSS (высокий уровень опасности). Исследователи безопасности Symantec обнаружили доказательства того, что операторы Black Basta, вероятно, стояли за атаками, использующими уязвимость нулевого дня. Интересным является то, что один вариант средства эксплойта имеет временную метку компиляции, датированную 27 февраля 2024 года. Это означает, что у Black Basta был рабочий инструмент для использования эксплойтов задолго до того, как Microsoft в конечном итоге выпустила исправление.

• CVE-2023-7028. В начале мая CISA добавила в каталог известных эксплуатируемых уязвимостей критический недостаток в системе GitLab, имеющий оценку 10,0 по шкале CVSS (критический уровень опасности). Использование CVE-2023-7028 позволяет злоумышленникам получать несанкционированный доступ к частным проектам и конфиденциальным данным, включая учетные данные, а также осуществить внедрение вредоносного кода в репозитории исходного кода.

Успешные атаки злоумышленников во II квартале приводили к разнообразным последствиям. Как и в прошлом квартале, самым распространенным последствием стала утечка конфиденциальной информации (55% для организаций и 82% для частных лиц). У организаций второе место занимает нарушение основной деятельности (27%), однако его доля снизилась на 6 процентных пунктов в сравнении с первым кварталом в связи с уклоном злоумышленников в сторону кражи конфиденциальной информации. Один из наиболее серьезных инцидентов с утечкой данных связан с компанией Snowflake. Множество клиентов Snowflake начали подтверждать утечки данных. Cогласно отчету Mandiant, злоумышленники использовали украденные учетные данные клиентов для захвата учетных записей, не защищенных многофакторной аутентификацией. В ходе расследований, связанных со Snowflake, Mandiant заметил, что в некоторых случаях злоумышленники получили первоначальный доступ через подрядчиков. Однако, по словам одного из злоумышленников, доступ к учетным записям Snowflake был получен через заражение компьютера сотрудника EPAM Systems с помощью вредоносного ПО.

Само же корпоративное окружение Snowflake не было взломано. Mandiant и Snowflake уведомили примерно 165 потенциально уязвимых организаций об инциденте. В число компаний, подтверждающих утечку данных, входят Ticketmaster, Santander Bank, Advance Auto Parts, Pure Storage, Los Angeles Unified, Neiman Marcus, AT & T.

Cписок атак II квартала, которые повлекли за собой негативные последствия и вызвали большой резонанс:

• 6 мая один из крупнейших производителей печатных плат Keytronic подвергся кибератаке, в результате чего пришлось остановить производство на две недели. Атака также ограничила доступ к бизнес-приложениям, поддерживающим деятельность компании. Также в заявлении сообщается, что злоумышленники похитили персональные данные. Компания Keytronic не связала атаку с конкретной группировкой, однако банда вымогателей Black Basta взяла на себя ответственность. Злоумышленники утверждают, что украли кадровые, финансовые, инженерные и корпоративные данные. По словам компании, она уже понесла расходы в размере около 600 000 долларов США, связанные с восстановлением и устранением последствий атаки, а также наймом внешних экспертов по кибербезопасности.

• В начале июня производитель промышленного оборудования и вилочных погрузчиков Crown Equipment столкнулся с кибератакой, из-за чего было нарушено производство на его заводах. Такие операции, как дежурство сотрудников и доступ к руководствам по техническому обслуживанию, были остановлены, а в некоторых случаях прекратилась и поставка оборудования.

• Группировка Qilin атаковала компанию Synnovis в начале июня, предоставляющую патологоанатомические услуги для больниц и клиник Лондона. Атака вызвала серьезные перебои в работе, что заставило NHS объявить режим чрезвычайной ситуации в регионе. Инцидент повлиял на возможность переливания крови. Также более 800 запланированных операций и 700 амбулаторных назначений пришлось перенести. Национальная служба здравоохранения Англии по крови и трансплантации (NHSBT) также выпустила предупреждение о нехватке крови в больницах Лондона.

• 24 апреля компания по облачному хранению данных Dropbox обнаружила, что злоумышленники получили доступ к производственным системам Dropbox Sign eSignature. Преступники получили доступ к инструменту автоматической настройки системы Dropbox Sign, который является частью внутренних сервисов платформы. Впоследствии злоумышленниками были получены доступы к токенам аутентификации, ключам MFA, хешированным паролям и информации о клиентах.

• В конце мая логистическая компания СДЭК столкнулась с кибератакой, вследствие чего наблюдались значительные перебои в работе сервисов и нарушение бизнес-процессов: сайт и приложение СДЭК оказались недоступны, а также были приостановлены прием и выдача заказов. По оценкам экспертов, ущерб от сбоя сервисов СДЭК может составить от 300 млн до 1 млрд рублей.

В атаках с утечками конфиденциальной информации злоумышленники чаще ориентировались на похищение коммерческой тайны (26%), персональных (25%) и учетных данных (23%) у организаций. В атаках на частных лиц злоумышленники в большей степени были нацелены на кражу учетных данных (37%) и данных платежных карт (22%).

Помимо утечек, связанных со Snowflake, мы отмечаем и другие крупные утечки данных:

• Известный злоумышленник заявил о взломе компании Apple и украл исходный код трех инструментов (AppleConnect-SSO, AppleMacroPlugin, Apple-HWE-Confluence-Advanced), которые используются внутри организации. Согласно сообщению на одном из форумов, компания была скомпрометирована в июне.

• В конце июня в сеть было выложено несколько таблиц базы данных, принадлежащих интернет-магазину сети супермаркетов «Магнолия». Исследователи отметили, что в текстовых файлах содержится следующая информация: ФИО, адреса доставки, адреса электронной почты (245 931 уникальный адрес), номера телефонов (252 209 уникальных номеров), хешированные пароли, состав, сумма и дата заказа, купоны на скидку.

• Один из киберпреступников разместил сообщение о продаже данных, полученных в результате взлома AMD в июне 2024 года. Сообщается, что скомпрометированные данные включают широкий спектр конфиденциальной информации, начиная от исходного кода, сведений о будущих продуктах и заканчивая базами данных сотрудников и клиентов.

• В мае злоумышленник заявил о взломе производителя компьютерного оборудования Cooler Master и краже данных объемом 103 ГБ. Утечка произошла в результате взлома одного из веб-сайтов компании. Украденные данные включают корпоративные данные, сведения о поставщиках, продажах, гарантийных обязательствах, инвентаризации, а также личные данные более 500 000 участников Fanzone (веб-сайт используется для оформления гарантии на продукты, отправки запросов на возврат товара или денег).

• 6 мая исследовательская группа Cybernews обнаружила набор данных, посвященный исключительно гражданам Китая. Объем составляет 100 ГБ и содержит более 1,2 миллиарда записей (население Китая составляет примерно 1,4 миллиарда человек). В основном утечка содержит в себе номера телефонов, но также имеются личные данные — номера удостоверения личности, домашние адреса и номера карт.

• Примерно в мае исследователь кибербезопасности Джереми Фаулер обнаружил базу данных, принадлежащую двум отдельным индийским фирмам, ThoughtGreen Technologies и Timing Technologies. Обе предоставляют услуги по разработке приложений, сервисы биометрической проверки. Файлы (1 661 593 файлов, или 496,4 ГБ) содержали конфиденциальные биометрические данные, такие как сканированное изображение лица, отпечатки пальцев, подписи и опознавательные знаки сотрудников полиции, военнослужащих, учителей и даже железнодорожников. В конечном итоге выяснилось, что данные могли быть выставлены на продажу в Telegram.

• Согласно данным Resecurity, злоумышленник разместил на одном из форумов данные граждан Сальвадора объемом в 144 ГБ. База содержит более 5 миллионов фотографий высокого качества, каждая из которых помечена номером удостоверения личности (DUI), а также имена и фамилии, даты рождения, номера телефонов, адреса электронной почты и адреса проживания. Эту утечку данных можно считать значительной, поскольку она знаменует собой один из первых случаев в истории киберпреступности, когда практически все население Сальвадора пострадало от компрометации биометрических данных.

• 6 июля в сеть был выложен фрагмент таблицы баз данных, предположительно относящийся к покупателям сети магазинов «Винлаб». В опубликованном фрагменте утечки содержится более 408 тысяч строк, которые содержат следующие данные: ФИО, телефонные номера, адреса электронной почты, хешированные пароли и номера карт лояльности.

Данный отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies (PT Expert Security Center), результатах расследований, а также на данных авторитетных источников.

По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная атака, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.