Актуальные киберугрозы: I квартал 2023 года

В I квартале 2023 года количество инцидентов увеличилось на 7% по сравнению с показателем предыдущего квартала и стало на 10% больше, чем в начале 2022 года. Наиболее частыми последствиями успешных кибератак на организации стали утечки конфиденциальной информации (51%) и нарушения основной деятельности (44%). Злоумышленники чаще использовали вредоносное программное обеспечение (ВПО) против организаций и частных лиц: доля таких инцидентов увеличилась на 7 и 10 процентных пунктов по сравнению с прошлым кварталом соответственно. Наблюдались крупные перебои в работе бизнеса и критически значимой инфраструктуры, масштабные утечки данных, появились новые схемы обмана пользователей.

Увеличение случаев использования загрузчиков

Мы отмечаем рост числа атак с использованием загрузчиков: доля применения этого вредоносного ПО в атаках на организации (21%) и частных лиц (23%) выросла на 2 и 8 п. п. соответственно. Это обусловлено массовыми фишинговыми кампаниями вымогателей Black Basta, BlackCat, Ragnar Locker и других злоумышленников, которые использовали перепрофилированные в загрузчики вредоносы Qbot и Emotet в качестве полезной нагрузки первого этапа. Такие программы закрепляются в системе, скачивают ПО для удаленного доступа, собирают локальные учетные данные и только после этого загружают шифровальщики. Распространяя Emotet через электронную почту (наиболее популярный канал социальной инженерии для организаций, 86%), преступники прикрепляли к письму искусственно «утяжеленные» документы или архивы размером более 500 МБ, чтобы обойти антивирусную защиту. Ограничение размера файлов для повышения производительности сканирования — распространенная практика. Такой же прием использовался в кампании по распространению стилера Стилер — вредоносное программное обеспечение, предназначенное для кражи конфиденциальной информации (например, логинов, паролей, данных криптовалютных кошельков) с зараженного устройства. RedLine.

Из-за блокирования файлов с макросами Макрос — небольшая программа, выполняющая заранее заданный набор действий в приложении. , полученных из интернета, злоумышленники возвращаются к письмам с вложенными вредоносными ISO-образами дисков и LNK-файлами.

SEO poisoning

Мы отметили увеличение количества вредоносной рекламы в поисковых системах (отличительная черта атаки SEO poisoning) в течение I квартала 2023 года, о чем также сообщили специалисты SentinelOne. Суть метода заключается в использовании поисковой оптимизации (SEO, search engine optimization) для опережения выдачи незаконного домена над законным. Кроме того, этот способ атаки может применяться для привлечения большого числа пользователей на сайты и для мошенничества с рекламой.

В I квартале замечены подставные веб-ресурсы, которые распространяли вредоносное ПО под видом законного через сеть доставки контента (CDN, content delivery network) Discord и Dropbox: злоумышленники маскировали популярные инфостилеры RedLine и Raccoon под популярные продукты (например, Blender и OBS Studio), что приводило к утечке учетных данных, краже денежных средств и NFT-токенов.

Еще один вид таких атак — распространение сайтов с фишинговыми формами входа в поисковой выдаче. Обман пользователей Amazon Web Services был замечен специалистами Permiso.

Всплеск активности вымогателей

Активность вымогателей в I квартале 2023 года значительно возросла: доля использования шифровальщиков в атаках на организации с использованием ВПО составила 53%, что на 9 п. п. больше показателя прошлого квартала, а число инцидентов выросло на 77% относительно начала 2022 года. Особенно напряженная обстановка наблюдается в секторе науки и образования — на него пришлась немалая доля атак вымогателей (19%): на прицеле злоумышленников были школы и ряд высших учебных заведений по всему миру ([1],[2]).

Новшества продемонстрировали вымогатели BlackCat и HardBit. Первые начали выкладывать похищенные данные на сайты с адресами, похожими на домен скомпрометированной организации, чтобы факт утечки мог стать известен широкому кругу клиентов или партнеров компании. Вторые пытались убедить жертву раскрыть детали киберстрахования, чтобы скорректировать требования выкупа и гарантированно получить выплату от страховщика (о ценности информации о киберстраховании мы писали ранее). Продолжающийся тренд — разработку кросс-платформенных версий вредоносов — подхватили уже известные вымогатели Royal, IceFire и Cl0P, а также новички из Nevada Ransomware.

QR-фишинг: быстро и незаметно

Социальная инженерия остается одним из наиболее популярных методов атак на организации (50%) и частных лиц (91%). Основным каналом социальной инженерии в атаках на организации является электронная почта (86%), а на частных лиц — веб-ресурсы и сервисы (59%).

В I квартале замечено увеличение числа фишинговых писем на темы, связанные с трудоустройством, увольнением, получением льгот и пособий. В таких кампаниях злоумышленники отправляют письма с вредоносными вложениями (стилерами, похищающими учетные данные) либо размещают в письмах ссылки на фишинговые формы входа, например, в Microsoft 365 или Amazon Web Services. Помимо писем с вредоносными ссылками и вложениями атакующие используют QR-коды, чтобы обойти антиспам-фильтры и другие средства защиты, так как коды являются изображениями и не содержат подозрительных ссылок или отличительных метаданных (по этой причине число подобных фишинговых кампаний может увеличиться).

Новые веяния криптовалютного мошенничества

Для мошенничества злоумышленники создавали сайты с несуществующими криптовалютами, рекламировали их среди потенциальных инвесторов, обзванивали их с якобы уникальными выгодными предложениями после чего получали деньги и исчезали. Несколько таких мошеннических центров закрыты Европолом, а их прибыль исчислялась миллионами в криптовалюте. Кроме того, исследователи Sophos сообщали о поддельных приложениях, распространяемых через официальные магазины: криптоинвесторы предоставляли персональные данные для регистрации и переводили деньги не на свои счета, а на счета преступников. Эти приложения сложно отследить: их вредоносный контент находится не в коде, а на удаленном веб-сервере.

Облачные сервисы как плацдарм для фишеров

Обилие схем мошенничества подстегивает пользователей быть начеку, но что, если сообщения или ссылки приходят от авторитетных источников? Мошенники размещают свои фишинговые ресурсы в доменах облачных сервисов (software as a service, SaaS), чтобы не вызвать подозрений у пользователя и остаться незамеченными для средств защиты. Исследователи Palo Alto Networks сообщили, что количество фишинговых страниц, размещенных на облачных платформах, увеличилось более чем в десять раз с середины 2021 года. Злоумышленники используют такие ресурсы, как Dropbox или OneDrive, для распространения вредоносов из-за того, что средства защиты не всегда срабатывают на файлы, полученные из этих сервисов.

Аресты киберпреступников и закрытие дарквеб-форумов

Отличительной чертой I квартала стала повышенная активность правоохранительных органов и спецслужб в отношении представителей киберпреступного мира. Если ранее деятельность злоумышленников пытались пресечь или осложнить преимущественно в правовом поле, то сейчас правоохранители переходят к активным действиям:

• После продолжительной операции правоохранительные органы Голландии объявили о перехвате контроля над защищенным мессенджером Exclu, популярным в преступном сообществе. Полиция получила доступ к перепискам администраторов, пользователей и владельцев сервиса и провела 79 обысков и 49 арестов.
• После длительного расследования ФБР был арестован Pompompurin — администратор популярного дарквеб-форума Breached, после чего ресурс перестал функционировать. ФБР также сообщило о наличии доступа к базе данных скомпрометированного Breached, что может обернуться новыми эпизодами арестов.
• В январе правоохранительные органы заявили о захвате серверов группировки вымогателей Hive. Наблюдение за злоумышленниками позволило вовремя предотвратить шифрование скомпрометированных организаций, получить ключи для дешифрования жертв, лишить вымогателей сетевой инфраструктуры и многомиллионной прибыли.

Дальнейшее проведение подобных мероприятий может повлиять на активность преступников: из-за закрытия дарквеб-форумов, которые используются для продажи краденых данных, зловредов и других инструментов, труднее получить доступ к этой информации, что осложнит проведение кибератак и уменьшит их количество. Но вероятнее, что в ближайшем будущем нарушители переведут свои коммуникации в другие форматы: мессенджеры или специальные приложения. Волна арестов и обысков показывает действующим злоумышленникам их вероятное будущее, а решившимся войти в мир киберпреступности стоит дважды подумать над своим решением.

Актуальные уязвимости

Согласно данным Национального института стандартов и технологий США (NIST), в I квартале стало известно свыше чем о 7 тыс. уязвимостях, что на 24% больше, чем за аналогичный период прошлого года. Из новых недостатков, по информации исследователей ReliaQuest, 29 замечены в реальных атаках и активно эксплуатируются. Наши прогнозы об актуальности старых брешей в защите становятся реальностью, так как не все пользователи вовремя обновляют ПО и следят за выходом патчей безопасности. Для I квартала стали актуальными следующие уязвимости:

• CVE-2023-23397. Серьезный недостаток, связанный с повышением привилегий и не требующий взаимодействия с пользователем, был выявлен в Microsoft Outlook и использовался в реальных атаках. Злоумышленник может отправить электронное письмо и с его помощью проэксплуатировать уязвимость в Outlook на компьютере пользователя. После получения вредоносного письма на устройстве жертвы инициируется запрос к SMB-серверу SMB-сервер — это сервер, применяемый для обмена данными по протоколу SMB в локальной или глобальной сети, а также для совместного использования принтеров и других устройств. преступника. В запросе содержится хеш NTLMv2, который можно перехватить и использовать для аутентификации в других системах либо для восстановления пароля.
• CVE-2023-0669. Уязвимость нулевого дня, выявленная в GoAnywhere MFT, возникла из-за небезопасной десериализации Десериализация — процесс восстановления структур и объектов из сериализованной строки или последовательности байтов. данных и позволила атакующим выполнять произвольный код. Исследователи безопасности выявили более 1000 уязвимых экземпляров решения по всему миру, а вымогателям Cl0P удалось скомпрометировать свыше 100 организаций.
• CVE-2021-21974. В феврале атакующие успешно эксплуатировали давнюю и имеющую исправление уязвимость серверов VMware ESXi, которая позволяет удаленно выполнять команды через OpenSLP. Недостаток выявлен на 19 тыс. серверов по всему миру, чем успешно воспользовались новые вымогатели ESXiArgs и известные группировки.
• CVE-2022-41080 и CVE-2022-41082. В сентябре эксплойт ProxyNotShell для Microsoft Exchange Server использовался в атаках, а уже в ноябре уязвимости были устранены Microsoft. Однако в I квартале злоумышленникам удалось найти другой Способ был назван OWASSRF из-за наличия уязвимости SSRF в продукте OWA. способ эксплуатировать эти недостатки путем подделки запросов со стороны скомпрометированного сервера (server-side request forgery, SSRF) в Outlook Web Access (OWA): вымогатели Cuba и Play — одни из первых атакующих, использовавших новый метод.

Кибератаки I квартала приводили к разным последствиям: злоумышленникам удавалось успешно атаковать как небольшие предприятия, так и отраслевых гигантов; не обошлось без сбоев в работе критической информационной инфраструктуры. Основной фокус преступников был направлен на получение конфиденциальной информации и нарушение основной деятельности организаций. Кроме того, можно выделить несколько случаев серьезных финансовых потерь: атака вымогателей на MKS Instruments вызвала серьезные нарушения в цепочке поставок продукции, а процесс восстановления оказался затруднен. Упущенная прибыль составила 200 млн долларов. Инциденты информационной безопасности могут повлиять и на стоимость ценных бумаг: после атаки на системы DISH Network акции компании упали почти на 7%.

Топ-5 атак начала 2023 года, которые повлекли за собой негативные последствия и вызвали большой резонанс:

• RoyalMail, национальный почтовый оператор Великобритании, считающийся объектом критической инфраструктуры, подвергся атаке со стороны вымогателей LockBit, что привело к серьезному нарушению всех зарубежных поставок.
• ION Group, разработчик ПО для финансовых учреждений, банков и бирж, подвергся атаке вымогателей, из-за чего была нарушена работа по крайней мере 42 клиентов, включая некоторые из крупнейших в мире банков, брокерских компаний и хедж-фондов.
• Администрации городов Окленд и Модесто (США) подверглись атаке программ-вымогателей, в результате чего государственные службы были отключены от сети, а полиции пришлось вынужденно работать по старинке, используя портативные радиостанции, ручки и бумагу во время патрулирования.
• Системы телекоммуникационной компании DISH Network и ее дочерних организаций были скомпрометированы, из-за чего на несколько дней отключились веб-сайты, приложения и системы обслуживания клиентов.
• Критически важные системы и доступ к медицинским файлам отключились в результате киберинцидента в госпитале Ross Memorial (Канада). Был объявлен код «серый», что означает невозможность проведения операций и процедур.

Не обошлось и без громких утечек. В атаках с утечками конфиденциальной информации злоумышленники чаще ориентировались на похищение персональных данных (36%) и коммерческой тайны (14%).

Наиболее заметные утечки I квартала:

• Неизвестные злоумышленники атаковали GDS Holdings и ST Telemedia и похитили учетные данные (логины и пароли) для входа в центры обработки данных в Азии. Услугами операторов пользуются крупнейшие мировые компании, например AG, Amazon, BMW, Huawei, Walmart. Конфиденциальная информация была выставлена на продажу в дарквебе за 175 тыс. долларов.
• Данные HDB Financial Services, дочерней компании крупнейшего в Индии частного банка HDFC Bank, были опубликованы на форуме Breached На момент публикации закрыт, а его владелец арестован. . Преступники похитили обширный набор персональных данных клиентов (полные имена, даты и места рождения, сведения о занятости, кредитный рейтинг) и сотрудников. Информация из утечки практически сразу была использована в фишинговых атаках.
• Вымогателям BlackCat удалось извлечь 2 ТБ конфиденциальной информации из сети крупного производителя взрывчатки Solar Industries India. Особо примечательно то, что нарушители получили доступ к документам с технической спецификацией и чертежами действующих образцов вооружения, к данным о цепочках поставок продукции, деталям сотрудничества с правительством Индии и даже к записям камер видеонаблюдения на предприятии. Утечка привлекла значительное внимание правительства и Министерства обороны Индии.
• Тайваньский технологический гигант Acer подтвердил утечку после того, как злоумышленник разместил объявление о продаже похищенных данных на форуме в дарквебе. Информация включала в себя технические руководства, сведения о серверной инфраструктуре, образы BIOS, продуктовую документацию и сервисные ключи активации.
• Вымогатели LockBit взяли на себя ответственность за компрометацию систем Maximum Industries, технологического подрядчика SpaceX: преступникам удалось похитить около 3 тыс. чертежей деталей. Злоумышленники пообещали устроить аукцион для желающих приобрести технологические наработки конкурента в случае неуплаты выкупа.

Данный отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников.

По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.