Во II квартале 2023 года количество инцидентов увеличилось на 4% по сравнению с предыдущим кварталом и выросло на 17% относительно II квартала 2022 года. Выросла доля целевых атак — они составили 78% от общего количества. Для организаций самыми распространенными последствиями успешных кибератак стали утечки конфиденциальной информации (67%) и нарушение основной деятельности (44%). Наблюдалось множество крупных утечек персональных данных пользователей, массовые атаки через эксплуатации уязвимостей.
Прицел на решения для безопасной передачи данных
В I квартале группа вымогателей Cl0p отметилась масштабной серией взломов организаций через уязвимость нулевого дня в GoAnywhere MFT (CVE-2023-0669). Во II квартале им удалось успешно проэксплуатировать найденную уязвимость (CVE-2023-34362), которая заключается во внедрении вредоносного SQL-кода в программное обеспечение MOVEit Transfer, продукта компании Progress Software предназначенного для управления передачей файлов. Для Cl0p эти уязвимости не были новыми: группа пыталась извлечь данные со взломанных серверов MOVEit еще в апреле 2022 года.
Среди пострадавших были и компании, стоящие за созданием известных брендов кибербезопасности. Например, Gen Digital (Avast, CCleaner, Norton LifeLock) подтвердила, что личная информация сотрудников была скомпрометирована в результате недавней атаки на MOVEit
На момент публикации этой статьи группировка добавила более семисот компаний на свой сайт с данными об утечках с требованием о выкупе за непубликацию информации, украденной через эксплуатацию уязвимости в MOVEit.
.
Учитывая успех предыдущих кампаний Cl0p по эксплуатации уязвимостей нулевого дня в программном обеспечении для управляемой передачи файлов, в будущем группировка может придерживаться аналогичной стратегии для других решений этого класса. Подход Cl0P к поиску и эксплуатации уязвимостей нулевого дня показывает, что не все вымогатели настроены на моментальную монетизацию своей деятельности, но также способны на игру вдолгую для извлечения максимальной выгоды. Злоумышленники осознают, что одновременная атака на множество жертв оказывает большее влияние и затраченное время впоследствии полностью окупает себя.
Атаки на блокчейн-проекты
Блокчейн-проекты остаются привлекательной целью для атак не только на протоколы, но и на аккаунты в социальных сетях с целью обмана пользователей и кражи денежных средств: во II квартале блокчейн-проекты становились жертвами злоумышленников в два раза чаще, чем в предыдущем. Хорошо подготовленная атака на владельцев серверов криптовалютных бирж в Discord повлекла за собой потерю 3 млн долларов. Используя методы социальной инженерии, злоумышленникам удалось обмануть администраторов серверов: они представились журналистами и, проведя интервью, сообщили о необходимости пройти верификацию личности. После перенаправления администратора на вредоносный сайт у него похищался токен пользователя Discord, выполнялся вход в его аккаунт, проводилось удаление других администраторов с сервера и публиковалась фишинговая запись.
Рисунок 1. Предупреждение пользователей о взломе Discord-сервера
Взлому подвержены и официальные twitter-аккаунты. Так, от имени KuCoin была размещена фишинговая запись о раздаче криптовалюты с обещанием всем, кто переведет какую-либо сумму, вернуть ее в двойном размере. За 45 минут с момента публикации до момента удаления записи пользователи успели осуществить транзакции на сумму 22 600 долларов. Платформа обмена пообещала вернуть жертвам все утерянные средства.
Кроме того, наблюдались крупные атаки на блокчейн-протоколы, в которых принимали участие как анонимные злоумышленники, согласившиеся вернуть большую часть украденных средств в обмен на прекращение расследования их преступлений ([1], [2]), так и APT-группировки (например, Lazarus Group, причастная к взлому Atomic Wallet и краже 35 млн долларов с кошельков криптовладельцев).
Продолжающийся рост активности шифровальщиков
Количество атак шифровальщиков продолжило расти во II квартале и увеличилось на 13%.
Рисунок 2. Количество атак вымогателей (по кварталам)
Напряженная обстановка сохраняется в секторе науки и образования, государственных и медицинских организациях, несмотря на внутренние конфликты злоумышленников и активное преследование спецслужбами: банда вымогателей LockBit заблокировала, свой партнерский филиал за атаку на некоммерческую дошкольную организацию Keystone SMILES Community Learning Center, а Cl0p заявили об удалении у себя всех данных, украденных из госучреждений США после того, как правительство объявило награду за информацию о группировке.
Рисунок 3. Распределение атак вымогателей по категориям
Мы отмечаем рост доли IT-компаний среди жертв вымогателей: во II квартале на технологические компании пришлось 11% от общего количества жертв вымогателей, что на 5 процентных пунктов выше показателя предыдущего квартала. Это связано с потенциальной выгодой для злоумышленников, так как успешные атаки на IT-компании позволяют получить доступ к конфиденциальным данным не только самих компаний, но и их клиентов, а также открывают возможность проведения атак типа supply chain и trusted relationship.
Среди активных групп шифровальщиков обретают известность новые имена: 8Base — опытные злоумышленники, активно атакующие организации по всему миру. После долгого периода затишья и малой популярности группировка запустила свой сайт с информацией о жертвах и заняла второе место после LockBit по числу жертв в июне. Обнаруженные в марте 2023 года вымогатели Akira показали себя во II квартале, войдя в топ-10 наиболее активных группировок, но уже в конце июня компанией Avast был выпущен бесплатный дешифратор для систем под управлением Windows. Однако Linux-системы, для которых дешифратор отсутствует, стали новыми мишенями для группировки Akira.
Не обходится и без уникальных кампаний. Отслеживаемая с апреля 2023 года MalasLocker атакует серверы Zimbra с использованием уязвимости CVE-2022-24682, шифрует системы жертв, но в качестве выкупа требует сделать пожертвования в благотворительные организации. За весь II квартал MalasLocker стала второй группировкой по числу жертв. Наибольшее число атакованных компаний располагаются в Италии, США и России.
Вымогательство без шифрования
Вымогательство в киберпространстве прошло путь от требования выкупа за расшифровку данных до шифрования и шантажа публикацией украденных данных (двойное вымогательство).
Компании все больше уделяют внимание кибербезопасности: внедряют протоколы действий в случае кибератак, средства мониторинга и реагирования на инциденты на конечных узлах инфраструктуры, средства резервного копирования. Использование вирусов-шифровальщиков не всегда оказывает желаемое воздействие на жертву и требует от злоумышленника значительных усилий для обхода средств защиты, внедрения и развертки ВПО. Все вышеперечисленное привело к тенденции отказа от этапа шифрования и перехода к использованию похищенной конфиденциальной информации в качестве основного инструмента давления на жертв, о чем также сообщили специалисты Barracuda. Атака Cl0p на организации без использования техники двойного вымогательства показала, что такой вид атаки является действенным и актуальным. В то же время группировки Karakurt и RansomHouse, изначально нацеленные только на кражу данных с целью вымогательства, продолжают свои кампании и во II квартале.
Отказ от этапа шифрования и переход к вымогательству через угрозы публикации украденных данных также может быть обусловлен выпуском специалистами безопасности различных дешифраторов. Например, дешифратор White Phoenix позволяет восстанавливать файлы, которые были зашифрованы популярным прерывистым методом. Группировка BianLian продолжила свою кампанию по вымогательству, перестав шифровать системы жертв из-за публикации дешифратора.
Увеличение случаев использования шпионского ПО
Во II квартале доля атак на организации с применением вредоносного ПО снизилась на 8 п. п. по сравнению с I кварталом. Такое падение связано с ростом количества атак с эксплуатацией уязвимостей (35%). Использование вредоносного ПО в атаках на частных лиц выросло на 5 п. п.
По данным ANY.RUN самым популярным семейством вредоносного ПО стало семейство инфостилеров RedLine с резким скачком во II квартале. Первое место по популярности среди вредоносных программ для Android-устройств согласно исследованию CheckPoint занял SpinOk, также являющийся шпионским ПО. Продолжается тренд использования такого вида ПО в атаках как на организации (21%), так и на частных лиц (62%).
Во II квартале специалистам PT Expert Security Center удалось обнаружить новый легковесный стиллер, написанный на Go и предназначенный для поиска (по расширениям) и отправки на командный сервер файлов из домашнего каталога и локальных дисков, а также содержимого буфера обмена и снимков экрана. Стиллер доставлялся через фишинговые письма — один из наиболее популярных каналов доставки ВПО в атаках на организации с использованием вредоносов (57%) — со ссылкой на установщик NSIS. После запуска установщик открывал PDF-файл, и одновременно с этим совершалась попытка доставки полезной нагрузки на устройство пользователя.
Рисунок 4. Фишинговое письмо с вредоносным вложением, зафиксированное PT ESC
В атаках на частные лица вредоносное ПО доставляется преимущественно через сайты (40%). Тренд на использование метода SEO poisoning (отравление поисковой выдачи), о котором мы писали ранее, остается актуальным и во II квартале. Злоумышленники распространяют вредоносное ПО, комбинируя методы SEO poisoning и вредоносной рекламы на сайтах ([1], [2], [3]).
Актуальные уязвимости
Количество обнаруженных за квартал уязвимостей растет: во II квартале их было выявлено на 7% больше, чем в начале года. Количество новых уязвимостей составило более 7,5 тыс. согласно данным Национального института стандартов и технологий США (NIST). Злоумышленники также используют старые уязвимости, поскольку некоторые системы остаются необновленными. Для II квартала стали актуальными следующие уязвимости:
- CVE-2023-34362. Широко эксплуатируемая уязвимость, которая позволяет злоумышленникам получать доступ к любым файлам и повышать свои привилегии на сервере, используя внедрение вредоносного SQL-кода в запросы к серверу.
- CVE-2023-27350 и CVE-2023-27351. Критически опасные уязвимости в программном обеспечении PaperCut MF и NG для управления печатью принтеров. Группировке Lace Tempest удалось скомпрометировать уязвимые серверы, получить удаленный доступ и доставить на них шифровальщики, а затем похитить конфиденциальную информацию.
- CVE-2023-2868. Уязвимость нулевого дня в продукте Barracuda Email Security Gateway, связанная с неполной проверкой входящих данных в модуле проверки вложений входящих писем. Недостаток позволяет провести внедрение удаленных команд специально сформированными вредоносными TAR-файлами. Этой уязвимостью воспользовалась APT-группировка UNC4841, проведя кампанию по кибершпионажу с помощью рассылки электронных писем с вредоносным вложением. Несмотря на то что Barracuda выпустила обновление безопасности для подверженных уязвимости устройств, этого оказалось мало: компания настаивает на необходимости полной замены скомпрометированных устройств.
- CVE-2018-9995 и CVE-2016-20016. В апреле 2023 года исследователями FortiGuard были зафиксированы значительные всплески попыток атак с использованием уязвимостей CVE-2018-9995 в DVR-устройствах компании TBK (более чем 50 тыс. уникальных попыток) и CVE-2016-20016 в цифровых видеорегистраторах MVPower. Эксплуатация CVE-2018-9995 позволяет злоумышленникам обходить аутентификацию на устройстве и получать доступ к уязвимой сети, а CVE-2016-20016 — выполнять команды без проверки подлинности с использованием вредоносных HTTP-запросов. Эти вспышки показывают, что старые и уязвимые устройства легко могут подвергнуться атаке спустя несколько лет существования эксплойта.