Актуальные киберугрозы: III квартал 2024 года

Отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies (PT Expert Security Center), результатах расследований, а также на данных авторитетных источников.

По нашей оценке, большинство кибератак не предаются огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная атака, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.

В III квартале 2024 года количество инцидентов увеличилось на 15% по сравнению с III кварталом 2023 и незначительно уменьшилось (на 4%) по сравнению с предыдущим кварталом. Вредоносное ПО остается главным оружием злоумышленников: оно применялось в 65% успешных атак на организации и в 72% — на частные лица. Против организаций чаще всего использовалось ВПО для удаленного управления (44%) и шифровальщики (44%), против частных лиц лидирующую позицию заняло шпионское ПО (47%, прирост 6 процентных пунктов). Социальная инженерия по-прежнему является ключевой угрозой для частных лиц (92%) и применяется в половине (50%) атак на организации. Утечки конфиденциальных данных наблюдались более чем в половине (52%) случаев успешных атак на организации, в 77% — на частные лица. Нарушение основной деятельности наблюдалось на 5% чаще в связи с увеличением активности групп вымогателей.

В III квартале 2024 года одними из самых атакуемых частных лиц стали IT-специалисты (13%). В сфере информационных технологий только в России кадровый дефицит достигает 500–700 тыс. человек, при этом количество специалистов, публикующих свои резюме, выросло на 7%. Все это стало благодатной почвой для злоумышленников, которые стали активнее применять тактику так называемых «подставных собеседований». Так, с декабря 2022 года исследователями Palo Alto Networks отслеживается кампания под названием Contagious Interview (на русском — «Заразное собеседование»). Киберпреступники проводят фиктивное собеседование, в рамках которого разработчика вынуждают загрузить вредоносное ПО. При этом способы воздействия на жертву могут быть разными. В одной из кампаний предлагалось решить задачу, для которой необходимо было загрузить вредоносный код. Примечательно, даже АРТ-группировки не обошли эту тактику стороной. В частности, АРТ-группировка Lazarus распространяла «приложение для видеоконференций», якобы для проведения собеседований. Команда MalwareHunterTeam нашла подобное программное обеспечение для MacOS, и, что интересно, ни один из антивирусных движков на VirusTotal не обнаружил его как вредоносное. 

С первого полугодия 2024 года сохраняется тенденция использования менеджеров пакетов и публичных репозиториев для заражения жертв вредоносным ПО. Так, группой по исследованию безопасности Checkmarx были выявлены пакеты npm, нацеленные на разработчиков Roblox и распространяющие Quasar RAT. Для создания иллюзии подлинности образцов злоумышленники использовали тайпсквоттинг¹. Кроме того, исследовательской группой безопасности JFrog был обнаружен метод, основанный на политике удаления пакетов PyPl под названием Revival Hijack, который подверг угрозе около 22 000 существующих пакетов. Как только пакет на платформе удаляется, его название становится доступным для повторной регистрации. При этом пользователи не получают предупреждений о случившемся, и таким образом жертвы могут обновлять когда-то безопасные пакеты, не подозревая о том, что их уже использует злоумышленник.

На IT-специалистов также нацелена вредоносная реклама. Группировка Hunters International создавала сайты, имитирующие Angry IP Scanner — популярное программное обеспечение для сетевого сканирования. Они продвигались при помощи Google Ads, таким образом попадая на первые позиции в поисковых запросах. Однако под видом сканера скрывался Sharp RAT.

Рост атак на IT-специалистов, помимо финансовой выгоды, можно объяснить желанием перейти к более крупным целям. Ими могут быть не только IT-компании: киберпреступники могут вклиниться в цепочку поставок программного обеспечения и нанести непоправимый вред большому количеству организаций.

По итогам III квартала 2024 года социальная инженерия продолжает оставаться наиболее популярным методом для атак как на организации (50%), так и на частные лица (92%). Основным каналом социальной инженерии для организаций остается электронная почта (88%), для частных лиц — сайты (73%). При этом злоумышленники активно используют популярность социальных сетей среди частных лиц для кибератак. По сравнению с предыдущим кварталом, этот способ стал применяться на 4% чаще. Самой востребованной соцсетью среди преступников стал Facebook.

19 июля произошел масштабный сбой в работе операционных систем Windows, приведший к появлению «синих экранов смерти» по всему миру. Причиной этому стало некорректное обновление CrowdStrike Falcon Sensor — агента кибербезопасности, предназначенного для защиты устройств от различных угроз. Как сообщает Microsoft, инцидент затронул 8,5 млн устройств Windows, относящихся к различным отраслям: авиаперевозкам, медицинским учреждениям, банкам и другим. И, конечно, эта новость, коснувшаяся всего мира, не прошла мимо злоумышленников.

Киберпреступники использовали проблему в качестве основы для социальной инженерии. Уже через несколько дней после произошедшего Bleeping Computer обнаружили фишинговые письма, замаскированные под руководство по восстановлению от Microsoft. В прикрепленном документе были инструкции по использованию инструмента, который автоматизирует удаление проблемного драйвера CrowdStrike с устройств Windows. Но при его запуске на устройство жертвы устанавливалось Daolpu — вредоносное ПО, похищающее данные. Исследователями из CYFIRMA было обнаружено большое количество доменов, зарегистрированных «на злобу дня», часть из которых распространяли вредоносное ПО.

Согласно исследованию Unit 42, злоумышленники начали использовать новый метод с HTTP-заголовками для фишинговых атак. Киберпреступники встраивают вредоносные ссылки в заголовок ответа HTTP — refresh. Он позволяет обновлять страницу, перенаправляя жертву на сторонние веб-ресурсы, не требуя при этом взаимодействия с пользователем. Часто исходные и целевые URL находятся в легитимных или скомпрометированных доменах, и обнаружить вредоносные индикаторы в URL-строке довольно сложно. Конечной целью этих атак является кража учетных данных жертвы.

В III квартале 2024 года мы отмечаем рост применения фишинговых сайтов для атак как на организации (28%, прирост 6 процентных пунктов), так и на частные лица (73%, прирост 11 процентных пунктов) по сравнению с предыдущим кварталом. Традиционно фишинговые атаки требовали от хакера траты значительного количества времени на создание вредоносных сайтов и приложений, а также, иногда, длительного взаимодействия с жертвой. Это создавало входной барьер для злоумышленников. Однако с появлением платформ PHaaS (Phishing-as-a-Service) провести такую атаку становится гораздо проще. Эти платформы позволяют приобретать фишинговые наборы (фиш-киты) для атак — конструкторы, содержащие готовые шаблоны, с помощью которых в короткий срок можно создать множество фишинговых страниц. Недавно компания Palo Alto Networks сообщила о платформе Sniper Dz, предлагающей бесплатные фиш-киты своим пользователям. Она предоставляет интерфейс для создания фишинговых страниц, которые можно размещать как на серверах Sniper Dz, так и на собственных ресурсах. Благодаря использованию этой платформы было создано около 140 000 фишинговых сайтов в текущем году. Но бесплатный сыр бывает только в мышеловке: украденные данные получал не только фишер, но и Sniper Dz.

Созданные ранее инструменты для фишинга также применяются, регулярно пополняются их функции. Так, ANY.RUN сообщила о кампаниях, проведенных в августе этого года, с использованием обновленного варианта Tycoon 2FA, который теперь использует поддельные сообщения об ошибках, чтобы обманом заставить пользователей раскрыть свои учетные данные.

В III квартале 2024 года тренд на использование ВПО для удаленного управления в атаках на организации сохраняется (44%). RAT предоставляет злоумышленникам возможность поддерживать постоянный доступ к скомпрометированным устройствам: вести длительную разведку, собирать данные и держать под контролем действия пользователей. По нашим данным, самыми популярными среди киберпреступников инструментами стали AsyncRAT, XWorm и SparkRAT. Так, экспертами PT Expert Security Center были зафиксированы фишинговые рассылки в виде счет-фактуры, нацеленные на промышленные предприятия, банки, сферу здравоохранения и разработчиков программного обеспечения в России и которые в итоге приводили к заражению XWorm. Похожие фишинговые письма использовались группировкой OldGremlin.

Мы также отмечаем рост атак шифровальщиков на 6% по сравнению с предыдущим кварталом. Чаще всего злоумышленники использовали программы-вымогатели LockBit 3.0 и Play Ransomware. При этом появилась Linux-версия Play Ransomware, нацеленная на среды VMware ESXi.

Тенденции атак на частные лица претерпевают изменения: теперь чаще используют шпионское ПО (47%). В арсенале хакеров главенствующие позиции занимают Lumma Stealer и FormBook. Оба стиллера нацелены на широкий спектр информации: данные из браузеров, различные файлы, учетные данные. Lumma Stealer предоставляет возможности кражи данных из криптовалютных кошельков, что также делает его привлекательным в глазах атакующих.

Злоумышленники постоянно развивают свой устоявшийся арсенал, добавляя в него новые функции. Например, исследователями из Netskope Threat Labs была обнаружена обновленная версия излюбленного преступниками ВПО для удаленного управления XWorm, которое, ко всему прочему, теперь может собирать снимки экрана, модифицировать файлы hosts², проводить DDoS-атаки и осуществлять другие действия. Кроме того, хакеры добавляют в RAT плагины для кражи конфиденциальной информации из браузеров, криптовалютных кошельков и т. п. Использование модифицированного AsyncRAT в кибератаке отметили исследователи eSentire.

Эта же тенденция распространяется и на программы-вымогатели. При помощи гибридных инструментов преступники одновременно решают две проблемы: шифруют и крадут конфиденциальные данные одновременно. Это позволяет гарантированно заработать: даже если выкуп за расшифрование не будет выплачен, украденные данные можно продать. Так, в августе 2024 года команда Outpost24 обнаружила последнюю версию инструмента Crystal Rans0m, имеющую эти возможности. Похожая программа-вымогатель Luxy была проанализирована командой K7 Security Labs.

В III квартале среди групп вымогателей часто наблюдалось использование техники Bring Your Own Vulnerable Driver (BYOVD). Ее суть заключается в том, что хакеры устанавливают на устройство жертвы драйвер с заранее известной уязвимостью и затем эксплуатируют ее. Компания Trend Micro отслеживала цепочку заражения, связанную с EDRKillShifter — программой-загрузчиком, позволяющей воспользоваться этой техникой для отключения EDR-решений. Исследователи Malwarebytes заметили, что группировка RansomHub использовала легитимный инструмент TDSSKiller с этой же целью. Изначально средство было предназначено для удаления руткитов. Группа вымогателей DragonForce в своих атаках также активно использует этот метод. 

Исследователи Proofpoint обнаружили кампанию, в которой Cloudflare Tunnels использовался для распространения вредоносного ПО. Злоумышленники применяют функцию TryCloudflare, которая позволяет создать одноразовый туннель без регистрации. Каждый туннель генерирует временный случайный поддомен в домене trycloudflare.com, который используется для маршрутизации трафика через сеть Cloudflare на локальный сервер. Преступники размещали вредоносные файлы на созданных поддоменах, отправляя ссылки на них жертвам. Пользователь, увидев легитимную ссылку на Cloudflare, переходил по ней и заражался ВПО для удаленного управления. Об этой же тенденции сообщают и другие исследователи: группа Forcepoint X-Labs наблюдала заражения AsyncRAT в июле 2024 года с использованием TryCloudflare.

В этом квартале мы наблюдали случаи распространения шпионского ПО через малвертайзинг: злоумышленники используют сервисы, такие как Google Ads, для продвижения вредоносного сайта на первые места в поисковых запросах. При этом вредоносный сайт часто выглядит как легитимный и не вызывает подозрений у пользователя. Такую кампанию описали Malwarebytes, конечной целью была доставка шпионского ПО DeerStealer. В похожих атаках хакеры распространяли Atomic Stealer и Poseidon Stealer.

Стоит отметить и вредоносную рекламу в социальных сетях, через нее продвигались Lumma Stealer и SYS01, предназначенные для кражи паролей.

Атаки на цепочку поставок (supply chain) — киберугроза, в рамках которой злоумышленник внедряет вредоносный компонент в программное обеспечение, которое впоследствии будет загружено жертвой. Исследователи Cyble отмечают, что в 2024 году такие атаки происходили как минимум раз в два дня. Ранее мы уже упоминали о том, что часто именно разработчик программного обеспечения может стать отправной точкой для начала supply-chain-атаки на организации. Однако иногда злоумышленники применяют и другие методы. Одной из самых громких за последнее время стала атака на цепочку поставок Polyfill.io, затронувшая более 100 тыс. сайтов. Polyfill.io — это популярный сервис, который позволяет автоматически подгружать необходимые браузеру для отображения страницы полифилы³. Некоторая китайская компания под названием Funnull приобрела домен и сервис polyfill.io, а также учетную запись GitHub, связанную с ним. После этого сервис начал перенаправлять пользователей на вредоносные сайты и развертывать сложное ВПО. Как сообщает компания Censys, несмотря на то, что 27 июня Namecheap приостановила работу вредоносного домена polyfill.io, по состоянию на 2 июля было обнаружено 384 773 узла, содержащих в своем исходном коде ссылку на зараженный домен.

Алгоритм генерации случайных доменов (Random Domain Generation Algorithm, RDGA) — это метод, который используется злоумышленниками для автоматического создания большого количества доменных имен, применяемых для связи вредоносного ПО с командно-контрольными серверами. Даже если некоторые домены будут заблокированы системами защиты, ВПО сможет сгенерировать новые, что делает обнаружение и блокировку непростой задачей. RDGA основан на псевдослучайных или случайных последовательностях, поэтому эти домены сложно обнаружить с помощью стандартных алгоритмов, использующих список известных имен доменов. Эту технологию активно использует злоумышленник Revolver Rabbit в своих атаках, распространяющих ВПО XLoader. Благодаря этой технологии ему удалось сгенерировать 500 000 доменов на .bond TLD (верхнего уровня). Этот же алгоритм применял вымогатель Play Ransomware.

В I и II кварталах 2024 года мы отмечали тенденцию на увеличение интереса злоумышленников к использованию искусственного интеллекта в атаках. В этом квартале мы наблюдаем продолжение этого тренда. Компания Symantec наблюдала две кампании, в которых технология LLM использовалась для написания вредоносного кода. В одном случае при помощи ИИ был написан PowerShell-скрипт, загружающий шпионское ПО Rhadamanthys и бэкдор CleanUpLoader. Во втором — при помощи LLM был сгенерирован JavaScript-код, предназначенный для загрузки и выполнения дополнительных полезных нагрузок, таких как Dunihi. Следует подчеркнуть, что код, созданный с помощью ИИ, имеет общие черты: функции и переменные оформлены с помощью однострочных комментариев, в которых используются точные термины и формулировки для объяснения их назначения.

Продолжается и тренд на интеграцию модулей с искусственным интеллектом в ВПО. Insikt Group обнаружили новую версию шпионского ПО Rhadamanthys Stealer, использующую ИИ в функции, предназначенной для оптического распознавания символов (OCR). Это позволяет Rhadamanthys извлекать сид-фразы⁴ криптовалютного кошелька из изображений.

Инструменты для пентеста продолжают быть востребованными у злоумышленников. Cobalt Strike остается в арсенале многих киберпреступников, но некоторые из них переходят на его альтернативу с открытым исходным кодом — фреймворк Sliver. Он использовался в атаках киберпреступников MimiStick, CRYSTALRAY и Onyx Sleet.

По данным компании BI.Zone, в 12% атак используются инструменты, изначально предназначенные для тестирования на проникновение. При этом был отмечен рост популярности постэксплуатационного фреймворка Havoc. Мы также наблюдали его в различных атаках. В частности, специалистами департамента Threat Intelligence (TI-департамента) экспертного центра безопасности Positive Technologies (PT Expert Security Center) было обнаружено фишинговое письмо якобы от ФСБ России, в котором жертву запугивают и просят доставить перечень документов, указанных в архиве. При нажатии пользователем на архив вместо ожидаемой загрузки он перенаправляется на сайт, в который с помощью техники HTML Smuggling⁵ встроена полезная нагрузка. Она представляет собой дроппер, работа которого приводит к появлению загрузчика Havoc Demon на устройстве.

Эксплуатация уязвимостей продолжает оставаться одним из самых успешных методов атак на организации (33%). Перечислим наиболее заметные уязвимости, которые активно эксплуатировались в III квартале:

• CVE-2024-36401. Активно эксплуатируемая уязвимость, получившая 9,8 баллов по шкале CVSS, допускающая удаленное выполнение кода. Исследователи угроз FortiGuard Labs отметили эксплуатацию уязвимости для распространения бэкдоров и ботнетов. Кроме того, исследователями Trend Micro была замечена группировка Earth Baxia, использующая уязвимость для атак на правительственную организацию Тайваня. 
• СVE-2024-23897. Уязвимость чтения произвольного файла через встроенный интерфейс командной строки (Jenkins CLI), оцененная в 9,8 баллов по шкале CVSS. Эта уязвимость использовалась IntelBroker для получения первичного доступа во время атаки на поставщика ИТ-услуг BORN Group. Хакеру удалось получить запрограммированные ключи, найденные в исходном коде, которые он использовал для проникновения в другие системы. Уязвимость также применялась для атаки на Brontoo Technology, в результате которой была парализована работа более 300 банков в Индии. 
• CVE-2024-39717. Уязвимость платформы Versa Director, опубликованная в августе 2024 года и получившая 7,2 балла по шкале CVSS. Она позволяет загружать вредоносные файлы, замаскированные под PNG-изображения, для получения доступа к корпоративным сетям. Предположительно, китайская АРТ-группировка Volt Typhoon эксплуатировала эту уязвимость нулевого дня в качестве первоначального доступа.
• CVE-2024-34102. Критическая уязвимость в Adobe Commerce, которая была оценена на 9,8 баллов по шкале CVSS. Массовая эксплуатация этой уязвимости привела к тому, что было атаковано 4275 интернет-магазинов, среди которых такие крупные бренды как Ray-Ban, National Geographic, Cisco, Whirlpool и Segway. Эта ошибка позволила злоумышленникам внедрить скиммеры на страницы оплаты магазинов, поставив платежные данные пользователей под угрозу.
• CVE-2024-7971. Серьезная уязвимость в браузере Chrome, имеющая оценку 8,8 баллов по шкале CVSS. Проблема представляет собой ошибку Type Confusion в движке V8, отвечающем за выполнение JavaScript и WebAssembly. 21 августа компанией Google было выпущено обновление, а 26 августа было сообщено о ее эксплуатации. Уязвимости подвержены и все браузеры, основанные на Chromium.

Успешные кибератаки в III квартале имели различные последствия, которые затронули как отдельных пользователей, так и организации, и даже целые регионы. Как в предыдущих кварталах, преступники сосредоточили свое внимание на краже конфиденциальной информации (52% для организаций и 77% для частных лиц). Нарушение основной деятельности затронуло 32% процента организаций, что на 5% выше по сравнению с предыдущим кварталом в связи с увеличившейся активностью групп вымогателей. Например, августовская атака с помощью INC Ransom на McLaren Health Care привела к значительным сбоям в работе. При этом, возможно, был потерян доступ к базам данных пациентов, в связи с чем пришлось переносить их вручную. Пришлось также изменить даты некоторых приемов пациентов и несрочные или плановые процедуры.

Атаки в III квартале, которые повлекли за собой негативные последствия и вызвали большой резонанс:

• В августе серьезной кибератаке подвергся банковский сектор Ирана. Как сообщают источники, правительство пошло на сделку с преступниками, выплатив выкуп как минимум 3 млн $ для предотвращения утечки персональных данных клиентов более чем 20 банков. И хотя власти Ирана инцидент отрицали, сообщалось, что банкоматы по всей стране были временно отключены. Ответственность на себя взяла группировка IRLeaks, которая ранее участвовала в похожих кибератаках.
• Атаки, связанные с криптовалютой, принесли злоумышленникам более 750 млн $. Одну из самых крупных потерь в размере 230 млн $ понесла индийская криптовалютная биржа WazirX. Украденные активы составляли 45% от общего объема резервов биржи. На WazirX уже подала в суд конкурирующая криптобиржа CoinSwitch, чтобы добиться возвращения заблокированных средств. Еще одним громким инцидентом стала кража 243 млн $ у одного из держателей криптовалюты. Злоумышленники применили социальную инженерию: представились службой поддержки Google и Gemini, заставили сбросить двухфакторную аутентификацию и перевести средства на взломанный кошелек. 
• Мошенничество с электронной почтой привело к тому, что у компании Orion, одного из ведущих поставщиков углеродной продукции, было украдено более 60 млн $. Злоумышленники обманом заставили одного из сотрудников компании совершить несколько банковских переводов. Сейчас кража средств расследуется. Такая же схема мошенничества ввела в заблуждение одного из сотрудников сингапурской сырьевой компании, в результате чего было украдено 42,3 млн $. В отличие от Orion, сингапурской компании повезло чуть больше — потерянные средства удалось вернуть.
• Порт Сиэтл-Такома стал жертвой атаки группы вымогателей Rhysida в августе 2024 года. Из-за атаки были изолированы некоторые из критически важных систем, чтобы сдержать последствия. Сбой нарушил работу систем бронирования и регистрации и привел к задержке рейсов.

В успешных атаках на организации, повлекших утечки конфиденциальной информации, преступники чаще были нацелены на учетные данные (23%), персональные данные (23%) и коммерческую тайну (24%). В атаках на частные лица целью злоумышленников чаще становились учетные данные (29%), данные платежных карт (24%) и персональные данные (21%).

Наиболее заметные утечки III квартала:

• 4 июля 2024 года на одном из даркнет-форумов был опубликован файл под названием rockyou2024.txt, содержащий почти 10 млрд уникальных паролей. Эта утечка значительно больше предыдущих, таких как RockYou2021, которая содержала 8,4 млрд паролей. Благодаря масштабу утечки хакеры могут эффективно проводить атаки методом подбора паролей, используя реальные комбинации, а не случайные символы, что увеличивает вероятность успешного взлома. Дополнительная опасность состоит в том, что пользователи используют одни и те же учетные данные в различных сервисах, и, если злоумышленник получит доступ к одному аккаунту, существует вероятность того, что будут скомпрометированы и другие. 
• В апреле 2024 на одном из хакерских форумов было размещено объявление о продаже базы данных под названием National Public Data за 3,5 млн долларов. В июле эти данные были опубликованы. Утечка затронула персональные данные до 2,9 млрд жителей США, Канады и Великобритании: имена, номера социального страхования (SSN), адреса, номера телефонов и электронную почту. Один из жителей Калифорнии подал исковое заявление, обвиняя компанию в халатности, неправомерном обогащении и нарушении фидуциарных обязательств.
• Хактивистская группа NullBulge взяла на себя ответственность за утечку около 1,1 терабайта данных медиагиганта Disney из внутренней переписки в Slack. В результате была раскрыта конфиденциальная информация: невыпущенные проекты, необработанные изображения, учетные данные для входа в систему, а также личные данные сотрудников Disney, такие как номера телефонов и электронные адреса. Как сообщает группа, доступ им предоставил инсайдер. И хотя Disney не комментирует утечку, компания приняла решение отказаться от Slack.
• Индийская Star Health and Allied Insurance стала жертвой крупной утечки данных, в результате которой была украдена информация 31 млн клиентов. Среди похищенных данных — медицинские документы, личные идентификационные номера, налоговые данные и многое другое. Злоумышленник распространял бесплатные «образцы» данных через Telegram, а продавал их на BreachForums.
• По данным TAdviser, злоумышленники выложили в открытый доступ резервную копию базы данных «1С» с информацией о клиентах и сотрудниках одного из фитнес-клубов. В результате утечки были раскрыты данные примерно 2,2 млн юридических и физических лиц и 10,1 тыс. сотрудников