Positive Technologies
Киберугрозы/инциденты

Актуальные киберугрозы: IV квартал 2023 года

Актуальные киберугрозы: IV квартал 2023 года

Содержание

Ключевые цифры и тренды

В IV квартале 2023 года количество инцидентов выросло на 8% по сравнению с предыдущим кварталом и на 19% относительно IV квартала 2022 года. Вредоносное программное обеспечение остается основным оружием злоумышленников: оно использовалось в 73% успешных атак на организации. В тройку наиболее распространенных типов вредоносного ПО по-прежнему входят шифровальщики, шпионское ПО и ВПО для удаленного управления. Превалирующим методом успешных атак на частных лиц остается социальная инженерия, ее доля составила 83%. Каждая вторая успешная атака в IV квартале заканчивалась утечкой конфиденциальной информации.

Шпионы не дремлют

В IV квартале доля атак на организации с использованием шпионского ПО выросла на пять процентных пунктов по сравнению с предыдущим кварталом. По данным сервиса ANY.RUN, в IV квартале шпионское ПО — самый часто встречаемый вид вредоносных программ. Мы отмечаем, что шпионское ПО стало трендом не только IV квартала, но и всего 2023 года.

Рисунок 1. Доля успешных атак с использованием шпионского ПО

Рассмотрим некоторые виды шпионского ПО, с которыми в IV квартале сталкивались специалисты PT Expert Security Center. Начнем с известного инфостилера Agent Tesla. Он рассылался в организации в фишинговых письмах, маскируясь под различные финансовые документы — чеки, сметы, уведомления о требовании оплатить услуги.

Рисунок 2. Фишинговое письмо с Agent Tesla

Исследователи кибербезопасности из Zscaler ThreatLabz также фиксировали в IV квартале фишинговые кампании по распространению Agent Tesla. В них шпионское ПО рассылалось под видом документов в формате XLSX. Вредоносное вложение было нацелено на эксплуатацию старой уязвимости в редакторе формул (CVE-2017-11882). Обращаем ваше внимание, что обновление, исправляющее эту уязвимость, вышло еще в ноябре 2017 года. Однако до сих пор остаются люди, которые используют старые версии Microsoft Office. Мы регулярно подчеркиваем, как важно своевременно устанавливать обновления, особенно для популярных и часто используемых программ.

Наряду с Agent Tesla в IV квартале одним из широко используемых инфостилеров был RedLine. Он умеет похищать логины и пароли, куки, данные платежных карт, данные криптокошельков, конфигурационную информацию. Распространяется по подписке (malware as a service, MaaS) через множество каналов. Одним из них в IV квартале стала вредоносная реклама. В объявлениях рекламировалась троянизированная версия инструмента CPU-Z, размещенная на сайте-клоне новостного ресурса. Загрузка CPU-Z приводила к заражению шпионом RedLine. Помимо этого, он распространялся посредством писем. Так, в конце ноября эксперты PT Expert Security Center выявили фишинговые рассылки RedLine в российские компании. Письма содержали вредоносные вложения, замаскированные под документы «1С». Для инфраструктуры управления и контроля (C2, или C&C) использовались доменные имена, которые также маскировались под ресурсы, относящиеся к «1С».

Рисунок 3. Фишинговое письмо с RedLine

В конце ноября эксперты PT Expert Security Center наблюдали очередную фишинговую рассылку шпионской группировки XDSpy. Злоумышленники нацелены преимущественно на российские организации. Одно из фишинговых писем было отправлено в научно-исследовательский институт якобы от другого НИИ. В тексте была дана ссылка на файлообменник, откуда загружался файл Zayavlenye.pdf и вредоносное ПО. Письмо выглядело правдоподобно: в подпись был добавлен логотип института-отправителя, а загружаемый файл представлял собой отсканированный бланк заполненного от руки заявления.

Рисунок 4. Фишинговое письмо от XDSpy
Рисунок 5. Содержимое файла Zayavlenye.pdf из фишинговой рассылки от XDSpy

Помимо описанных выше случаев, в число инфостилеров, наиболее часто фиксируемых в IV квартале специалистами PT Expert Security Center, вошли FormBook, Lumma, StormKitty и Ducktail.

Вымогатели Cl0p ищут новые пути

В IV квартале мы отметили существенное снижение числа атак, направленных на эксплуатацию уязвимости CVE-2023-34362 в программе для передачи данных MOVEit Transfer, эта уязвимость активно использовалась группировкой Cl0p с апреля. Однако в ноябре стало известно, что операторы шифровальщика Cl0p взялись за новую уязвимость — критически опасную ошибку CVE-2023-47246 в программном обеспечении для управления IT-услугами SysAid. Производитель SysAid узнал об уязвимости 2 ноября, а 8 ноября объявил о выпуске обновления безопасности. Мы прогнозируем, что в I квартале 2024 года могут появиться новости об успешных атаках на организации с использованием этой уязвимости.

ФБР перешли дорогу BlackCat

Шифровальщик BlackCat на протяжении длительного времени был одним из самых широко используемых в вымогательских кампаниях. С начала его существования (первые упоминания в дарквебе — IV квартал 2021 года) в список жертв попали более тысячи организаций, среди которых энергетическая компания Empresas Públicas de Medellín, производитель компьютерной электроники Western Digital, IT-компания HTC Global Services и другие крупные организации. Однако в конце 2023 года марафон успешных атак BlackCat был приостановлен. Во второй половине декабря ФБР поделилось подробностями спецоперации правоохранительных органов США, которая сильно ударила по киберпреступникам. Эксперты разработали инструмент, позволяющий восстановить файлы более 500 пострадавших организаций и избежать выплат выкупа на общую сумму около 68 миллионов долларов США. В ответ на эти действия владельцы шифровальщика заявили, что все остальные жертвы, чьи пары ключей остались в руках злоумышленников, не получат возможности вернуть свои данные. Кроме того, владельцы BlackCat пригрозили снять все ограничения с операторов и позволить им атаковать любые организации, включая критическую инфраструктуру.

Чем закончится противостояние ФБР и BlackCat — покажет время. По нашим прогнозам, группировка не исчезнет бесследно. В свое время она пришла на смену нашумевших REvil и BlackMatter, приняв во внимание ошибки своих предшественников. Вполне вероятно, что владельцы BlackCat вскоре восстановятся после действий ФБР и продолжат свою деятельность.

Кражи данных банковских карт из интернет-магазинов

В IV квартале в общем объеме похищенной информации выросла доля данных платежных карт — до 5% в атаках на организации и до 16% в атаках на частных лиц (3% и 13% соответственно в предыдущем квартале). Мы связываем это с несколькими крупными кампаниями, в которых использовались JavaScript-снифферы — вредоносные скрипты, перехватывающие данные платежных карт пользователей интернет-магазинов. В конце декабря был опубликован отчет Европола о двухмесячной операции, в ходе которой были выявлены 443 сайта, зараженных JavaScript-снифферами.

Одна из причин успеха подобных атак — использование устаревшего ПО. Злоумышленники используют уязвимости в устаревших версиях систем по созданию и управлению сайтами (CMS), чтобы внедрить вредоносные скрипты на страницы интернет-магазинов. Так, специалисты Sucuri поделились недавним случаем из своей практики: зараженный интернет-магазин работал под управлением OpenCart 1.5.5.1 — версии CMS, выпущенной более 10 лет назад.

Как правило, злоумышленники предпринимают меры, чтобы JavaScript-снифферы оставались необнаруженными как можно дольше. В одной из последних кампаний Mageсart — одного из самых известных JavaScript-снифферов — использовался новый прием по сокрытию вредоносных скриптов. Загрузчик маскировался под фрагменты кода инструмента аналитики Meta Pixel и намеренно вызывал ошибку 404, чтобы исполнить основной вредоносный код, спрятанный на странице этой ошибки. Все запросы выглядели обычно, что позволило злоумышленникам оставаться незамеченными для средств анализа трафика и существенно усложнило обнаружение JavaScript-сниффера.

Еще один способ кражи данных платежных карт связан с плагинами для сайтов под управлением WordPress. В декабре специалисты Sucuri рассказали об атаке с использованием вредоносного плагина, который создавал пользователей с правами администратора и внедрял на скомпрометированные сайты JavaScript-сниффер. По словам экспертов Sucuri, вредоносный плагин может быть загружен через панель администрирования WordPress с использованием скомпрометированной учетной записи администратора либо путем эксплуатации уязвимости в уже установленных плагинах.

Полученные с помощью JavaScript-снифферов данные в дальнейшем продаются на теневых форумах в дарквебе. Там же злоумышленники продают доступы к сайтам, на которых можно устанавливать JavaScript-снифферы и собирать данные платежных карт.

Рисунок 6. Объявление о продаже данных платежных карт в дарквебе
Рисунок 7. Объявление о продаже доступов на сайты, где можно собирать данные платежных карт

Рост числа атак, связанных с кражей данных платежных карт покупателей интернет-магазинов, — закономерное явление в канун любых праздников. В этот период пользователям рекомендуется внимательнее относиться к онлайн-платежам. Мы советуем придерживаться следующих принципов:

  • Совершайте покупки только в хорошо зарекомендовавших себя интернет-магазинах. Крупные продавцы обычно применяют надежные меры безопасности, и это усложняет киберпреступникам внедрение JavaScript-снифферов.
  • Используйте платежные сервисы. С ними можно оплачивать покупки на сайтах банковской картой без ввода ее данных. Это намного безопаснее, поскольку платежные сервисы не передают данные карт интернет-магазинам.
  • Для совершения онлайн-платежей заведите отдельную карту и не храните на ней крупные суммы. Для этих целей удобно использовать виртуальные карты.

Администраторам интернет-магазинов следует регулярно проводить анализ защищенности сайтов, своевременно устанавливать обновления для системы CMS и плагинов, использовать надежные пароли и многофакторную аутентификацию.

Спрятать концы в воду: всплеск атак на системы водоснабжения

В IV квартале мы наблюдали повышенный интерес хактивистской группировки Cyber Av3ngers к промышленным системам управления израильского производителя Unitronics. Это привело к росту числа атак на системы водоснабжения и водоотведения, в которых используются программируемые логические контроллеры Unitronics серии Vision. Взломанные устройства, на которых использовались пароли по умолчанию, были доступны через интернет. Уязвимости присвоен идентификатор CVE-2023-6448. На начало декабря более 500 уязвимых устройств Unitronics оставались доступными в интернете.

Хактивисты Cyber Av3ngers утверждают, что сумели взломать и остановить десяток промышленных систем очистки воды в Израиле. Кроме того, в число их жертв попало американское управление водоснабжения Аликиппы в штате Пенсильвания. В конце ноября злоумышленникам удалось захватить здесь управление насосной станцией, однако сработала система защиты, что позволило избежать серьезных последствий. Аналогичная атака была совершена на систему водоснабжения в баронстве Эррис в Ирландии. В результате 180 домовладений были лишены подачи воды в течение двух суток.

Рисунок 8. Сообщение о взломе на экране устройства Unitronics в городе Аликиппа

Операторы шифровальщиков также проявляли интерес к системам водоснабжения. Так, водоканал Северного Техаса стал жертвой группы вымогателей Daixin Team через день после нападения на управление водоснабжения в Пенсильвании. Пострадала система телефонной связи. Злоумышленники утверждают, что им удалось украсть более 33 тысяч файлов с конфиденциальной информацией. Группировка Hunters International на своем портале в дарквебе добавила в список жертв управление водными ресурсами реки Сент-Джонс в США.

Известно также, что жертвами киберпреступников в IV квартале стали крупнейший оператор очистки сточных вод Парижа SIAAP и немецкий оператор водоснабжения и водоотведения Hochsauerlandwasser. Подробности этих атак остаются нераскрытыми. В связи с участившимися инцидентами Агентство по кибербезопасности и защите инфраструктуры США (CISA), ФБР и Агентство по охране окружающей среды (EPA) выпустили для операторов систем водоснабжения и водоотведения руководство по противодействию киберугрозам в этой отрасли.

Актуальные уязвимости

Каждая третья (31%) успешная атака на организации была связана с эксплуатацией уязвимостей. Перечислим наиболее заметные уязвимости, которые активно эксплуатировались в IV квартале:

  • CVE-2023-4966 (Citrix Bleed). Компания Citrix 10 октября опубликовала бюллетень по безопасности, раскрывающий брешь в продуктах NetScaler ADC и Gateway. Это критически опасная уязвимость с оценкой 9,4 по шкале CVSS, которая позволяет захватывать учетные записи на уязвимых устройствах. Первые попытки эксплуатации были зафиксированы еще в августе. В конце октября для уязвимости появился общедоступный эксплойт, что привело к ее массовому использованию в атаках. Так, Citrix Bleed оказалась на вооружении у операторов шифровальщиков. В числе жертв такие крупные компании, как американская корпорация Boeing, китайский банк ICBC, международная юридическая фирма Allen & Overy, американский телекоммуникационный провайдер Comcast Cable.
  • CVE-2023-20198. Это уязвимость в операционной системе Cisco IOS XE с оценкой 10 по шкале CVSS. Она позволяет удаленному злоумышленнику, не прошедшему аутентификацию, создать учетную запись с полным доступом к устройству. Впервые ее эксплуатация зафиксирована специалистами Cisco Talos 18 сентября. С тех пор специалисты разных компаний сообщали о десятках тысяч взломанных устройств Cisco IOS XE. Расследование атак привело к выявлению еще одной уязвимости (ей присвоен идентификатор CVE-2023-20273), которая использовалась в связке с CVE-2023-20198. Компания Cisco опубликовала сведения об этих уязвимостях 16 октября, а 22 октября выпустила патч с исправлениями. Однако вскоре появился общедоступный эксплойт, что привело в начале ноября к новой волне атак на устройства Cisco, в ходе которых злоумышленники доставляли на скомпрометированные устройства веб-шелл BadCandy.
  • CVE-2023-22518. Критически опасная уязвимость в продуктах Confluence Data Center и Server компании Atlassian, о которой производитель официально заявил 31 октября. Она связана с некорректной авторизацией и позволяет уничтожать данные на уязвимых серверах. В начале ноября был опубликован эксплойт, после чего начался всплеск атак на серверы Atlassian Confluence, доступные в интернете. В частности, уязвимость взяли в оборот операторы шифровальщика Cerber. Первоначально уязвимости была присвоена оценка 9,1 по шкале CVSS, но в дальнейшем она была повышена до 10.
  • CVE-2023-46604. Это уязвимость удаленного выполнения кода в продукте Apache ActiveMQ с оценкой 9,8 по шкале CVSS, которую активно эксплуатируют злоумышленники. Исследователи Arctic Wolf и Huntress обнаружили кампании по установке вредоносного программного обеспечения SparkRAT на уязвимых серверах ActiveMQ за две недели до того, как Apache выпустил обновления безопасности. Уязвимость взяли в оборот операторы шифровальщиков HelloKitty и TellYouThePass. Помимо этого, эксперты Trend Micro обнаружили, что уязвимость эксплуатируется операторами ботнета Kinsing для компрометации систем под управлением Linux и развертывания майнеров криптовалюты. Специалисты AhnLab выявили атаки АРТ-группировки Andariel с использованием CVE-2023-46604 для развертывания бэкдоров NukeSped и TigerRAT.

Последствия атак

Рисунок 9. Последствия атак (доля успешных атак)

Атаки в IV квартале, которые повлекли за собой негативные последствия и вызвали большой резонанс:

  • Злоумышленники взломали систему поддержки крупной IT-компании Okta, используя украденные ранее учетные данные. В результате они получили доступ к специальным файлам, которые Okta использовала для совместного решения технических проблем своих клиентов и в которых содержались куки и токены сеансов. Используя эту информацию, злоумышленники попытались атаковать клиентов компании. В числе первых на подозрительную активность пожаловались BeyondTrust и Cloudflare. В итоговом отчете о расследовании этого инцидента говорится, что злоумышленники получили доступ к именам и адресам электронной почты всех пользователей системы поддержки.
  • Национальная библиотека Великобритании столкнулась с масштабным сбоем в работе из-за атаки шифровальщика Rhysida, которая произошла 28 октября. Были недоступны сайт, телефонные линии и все онлайн-сервисы (продажа билетов на выставки, регистрация читателей, операции с картами в сувенирном магазине). Официальный сайт не работал более 30 суток. Спустя почти месяц, 20 ноября, в дарквебе были выложены на продажу около 500 тысяч файлов, украденных из библиотеки. В их числе были сканы паспортов сотрудников и другая личная информация.
  • В конце октября кибератаке шифровальщика Rorschach подверглась Grupo Gtd — телекоммуникационная компания, предлагающая услуги по всей Латинской Америке, имеющая филиалы в Чили, Испании, Колумбии и Перу. Rorschach — это относительно новый шифровальщик, впервые описанный специалистами Check Point Research в апреле 2023 года. В результате атаки была нарушена работа центров обработки данных, ограничен доступ в интернет, к VPN-сервису, телевидению и IP-телефонии. Некоторые государственные веб-ресурсы также оказались недоступны.
  • Американский производитель авиационной и космической техники Boeing в ноябре стал жертвой операторов шифровальщика LockBit. Злоумышленники проникли в инфраструктуру компании, проэксплуатировав уязвимость Citrix Bleed, о которой мы рассказали выше. В руках у злоумышленников оказалось около 50 ГБ информации, включая данные поставщиков, дистрибьюторов и подрядчиков, а также финансовые документы, учебную и маркетинговую информацию.
  • Крупнейший австралийский портовый оператор DP World стал жертвой кибератаки. С 10 по 13 ноября была парализована работа пяти портов. В результате вовремя не были отправлены более 30 тысяч транспортных контейнеров. В некоторых из них находились товары с коротким сроком хранения, которые пришли в негодность. Ущерб исчисляется миллионами долларов. Кроме того, украдены персональные данные части нынешних и бывших сотрудников.
  • Американская компания в сфере здравоохранения Henry Schein 22 ноября подверглась атаке банды вымогателей BlackCat, в результате чего компания была вынуждена отключить свои приложения и сайты электронной коммерции в Канаде и в Европе. Это произошло спустя всего неделю после восстановления от последствий атаки той же группировки, случившейся месяцем ранее, 27 сентября. Компании удалось вернуть работоспособность инфраструктуры после повторной атаки спустя шесть дней. Из-за простоя общий уровень продаж компании в 2023 году снизился на 1–3% по сравнению с предыдущим годом.

В атаках на организации, в которых случились утечки конфиденциальной информации, две трети (66%) похищенных данных пришлось на персональные данные и коммерческую тайну. В атаках на частных лиц злоумышленники в большей степени были нацелены на кражу их учетных данных (27%), переписки (20%) и данных платежных карт (16%).

Рисунок 10. Типы украденных данных (в успешных атаках на организации)
Рисунок 11. Типы украденных данных (в успешных атаках на частных лиц)

Наиболее заметные утечки IV квартала:

  • Киберпреступники украли данные около 7 млн клиентов американской биотехнологической лаборатории 23andMe. В руки атакующих попали персональные данные и медицинская информация. Атака проводилась методом credential stuffing — с использованием учетных данных, утекших ранее в результате других взломов. Часть похищенных данных продаются в дарквебе по цене от 1 до 10 долларов США за один профиль. Злоумышленники заявили, что в базе есть генетическая информация представителей высших кругов и наиболее состоятельных семей из США и Западной Европы. Некоторые клиенты 23andMe подали коллективные иски в суд на лабораторию с требованием возмещения ущерба.
  • В октябре испанская авиакомпания Air Europa сообщила об утечке платежной информации клиентов, включая номера карт, сроки действия и CVV-коды. Отметим, что согласно стандарту PCI DSS компания не должна хранить CVV-коды своих клиентов. Air Europa уведомила клиентов о произошедшем лишь 41 день спустя. Представители Air Europa не сообщают, сколько клиентов пострадало в результате этой утечки.
  • В конце октября американский ипотечный кредитор Mr. Cooper стал жертвой кибератаки, в результате которой в руки злоумышленников попала конфиденциальная информация 14,7 млн клиентов. Украденная база данных содержит имена, адреса, даты рождения, номера телефонов и банковских счетов, а также номера социального страхования (SSN). Компания оценила ущерб от этой кибератаки в 25 млн долларов США.
  • Операторы шифровальщика Medusa совершили атаку на Toyota Financial Services (TFS) — финансовое подразделение корпорации Toyota Motor, в результате чего произошла утечка информации. Злоумышленники опубликовали фрагмент похищенных данных: финансовую документацию, счета-фактуры, хешированные пароли, сканы паспортов. В уведомлении, которое TFS отправила пострадавшим клиентам, указано, что в руках злоумышленников оказались также полные имена, адреса проживания, информация о контрактах, детали аренды и покупки автомобилей, международные номера банковских счетов (IBAN).
  • В декабре крупный шведский разработчик EasyPark сообщил об утечке данных, которая потенциально затрагивает миллионы пользователей. Компания EasyPark разрабатывает приложения по управлению парковками и зарядными станциями для электромобилей, реализуя свои услуги более чем в 20 странах и более чем в 4000 городах. Скомпрометированными оказались контактные сведения клиентов, хешированные пароли и часть данных платежных карт.

Для защиты от кибератак мы советуем придерживаться общих рекомендаций по обеспечению личной и корпоративной кибербезопасности. С учетом угроз IV квартала мы рекомендуем пользователям быть внимательными при вводе учетных данных на незнакомых ресурсах, при совершении онлайн-платежей, установке новых мобильных приложений, загрузке вложений из электронных писем и переходе по ссылкам из сообщений в мессенджерах, соцсетях и почте.

Организациям стоит ответственно выбирать вендоров и дистрибьютеров ПО, чтобы среди прочего минимизировать риски стать жертвой атак типа supply chain. Необходимо развивать процессы управления уязвимостями и участвовать в программах багбаунти. Особое внимание стоит уделить закрытию уязвимостей, которые широко используются злоумышленниками в текущий момент и для которых существуют общедоступные эксплойты.

Для защиты периметра рекомендуем применять межсетевые экраны уровня приложений (web application firewalls, WAF). Шифровальщики — одна из самых актуальных киберугроз, поэтому мы напоминаем о важности резервного копирования. Для защиты устройств от современного вредоносного ПО используйте песочницы, которые позволяют проанализировать поведение файлов в виртуальной среде, выявить вредоносную активность и вовремя предотвратить ущерб, который может быть нанесен компании.

Сводная статистика

Рисунок 12. Количество атак в 2022 и 2023 годах (по кварталам)

78% успешных атак имели целенаправленный характер

Рисунок 13. Категории жертв среди организаций

8% успешных атак были направлены на частных лиц

Рисунок 14. Объекты атак (доля успешных атак)
Рисунок 15. Методы атак (доля успешных атак)
Рисунок 16. Типы вредоносного ПО (доля успешных атак с использованием ВПО)
Рисунок 17. Способы распространения вредоносного ПО в успешных атаках на организации
Рисунок 18. Способы распространения вредоносного ПО в успешных атаках на частных лиц
Рисунок 19. Целевые ОС в атаках с использованием ВПО (доля успешных атак)

Об исследовании

Отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников.

По нашей оценке, большинство кибератак не предаются огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских группировок. Наше исследование проводится с целью обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В рамках отчета каждая массовая атака, в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов, рассматривается как одна отдельная, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.