Positive Technologies
Киберугрозы/инциденты

Актуальные киберугрозы: I квартал 2024 года

Актуальные киберугрозы: I квартал 2024 года

Содержание

Ключевые цифры и тренды

В I квартале 2024 года количество инцидентов увеличилось на 7% по сравнению с предыдущим кварталом. Одним из наиболее распространенных последствий успешных кибератак вновь стала утечка конфиденциальной информации, ее доля составила 72% для частных лиц и 54% для организаций. Злоумышленники чаще использовали ВПО против частных лиц: доля таких инцидентов увеличилась на 9 процентных пунктов (п. п.) по сравнению с предыдущим кварталом и достигла 68%. В успешных атаках на организации мы отмечаем сокращение доли использования шифровальщиков относительно предыдущего квартала на 11 п. п. (с 54% до 43%). В то же время наблюдается увеличение доли использования злоумышленниками ВПО для удаленного управления как в атаках на организации (32%), так и на частных лиц (37%): прирост относительно предыдущего квартала составляет 10 п. п. и 27 п. п. соответственно. Социальная инженерия остается самой опасной угрозой для частных лиц — доля таких инцидентов составила 85% — и одним из наиболее популярных векторов атак на организации: с долей в 52%. Вновь наблюдались крупные утечки персональных данных пользователей, а также массовые атаки группировок через эксплуатацию уязвимостей для конечной доставки вредоносного программного обеспечения. Для доставки вредоносного ПО на устройства жертв преступники также использовали легитимные сервисы совместной разработки IT-проектов и открытые репозитории пакетов для разработки ПО.

Громкие уязвимости: zero-day бьет ключом

В каждой третьей (34%) успешной атаке на организации злоумышленники эксплуатировали уязвимости. Согласно данным Coalition, количество CVE в различных программных продуктах в 2024 году может увеличиться на 25%, что составит примерно 2900 новых уязвимостей каждый месяц. Активно использовались недостатки в продуктах Ivanti Connect Secure (решение предоставляет сотрудникам, партнерам и клиентам доступ к корпоративным данным и приложениям) и Ivanti Policy Secure (решение для контроля сетевого доступа). Речь идет о двух уязвимостях: CVE-2023-46805 (высокий уровень опасности) и CVE-2024-21887 (критический уровень опасности). Первая уязвимость позволяет злоумышленнику обойти протокол аутентификации, а вторая — выполнить произвольную команду. Специалисты впервые зафиксировали применение этих уязвимостей в декабре 2023-го и связали их с группировкой UNC5221. После публичного раскрытия этих недостатков к упомянутой группе злоумышленников присоединились и другие — это отметила Ivanti, заявив о резком увеличении активности субъектов угроз с 11 января 2024 года. Так, аналитики Censys обнаружили 412 узлов (по состоянию на 22 января), остававшихся скомпрометированными. У зараженных устройств широкая география: она включает в себя США, Германию, Южную Корею, Китай, Японию. Учитывая массовый характер эксплуатации, Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило в январе чрезвычайную директиву, требующую от всех федеральных агентств гражданской исполнительной власти (FCEB) устранить эти уязвимости в продуктах Ivanti. Интересно, что в феврале системы этого самого агентства были скомпрометированы в результате эксплуатации указанных недостатков.

Рисунок 1. Методы атак (доля успешных атак)

Начало I квартала 2024 года ознаменовалось наводнением уязвимостей 0-day. Отметим массовую эксплуатацию уязвимостей серверов ScreenConnect — ПО для удаленного управления компьютерами и другими устройствами. Раскрытые в феврале недостатки получили идентификаторы CVE-2024-1709 и CVE-2024-1708 и оценки 10 баллов (критический уровень опасности) и 8,4 балла (высокий уровень опасности) по CVSS соответственно. Первая уязвимость позволяет злоумышленнику удаленно выполнить код в системе, а вторая — создать учетную запись с правами администратора и затем получить доступ к внутренним ресурсам компании. В CISA внесли CVE-2024-1709 в каталог известных эксплуатируемых уязвимостей и обязали федеральные агентства США обеспечить безопасность своих серверов в срок до 29 февраля. Операторы шифровальщиков сразу взяли обнаруженные недостатки ScreenConnect на вооружение. Аналитики Sophos X-Ops сообщили, что злоумышленники активно эксплуатировали эти уязвимости и внедряли созданную на основе утекшего в 2022 году исходного кода LockBit программу-вымогатель. Исследователи Trend Micro также сообщили о том, что известные группировки Black Basta и Bl00dy после раскрытия уязвимостей начали активно использовать недостатки ScreenConnect в своих атаках. Наравне с упомянутыми группировками, Trend Micro были замечены злоумышленники, использующие модульное ВПО XWorm, обладающее возможностями для удаленного доступа и функциями программ-вымогателей. Уязвимости ScreenConnect не остались без внимания и у APT-группировок. Так, по сообщениям аналитиков Kroll, группировка Kimsuky (также известная как APT43) использовала CVE-2024-1709 и CVE-2024-1708 для последующего заражения целевой системы новым вариантом вредоносного ПО, получившим название ToddlerShark.

Помимо уже описанных недостатков решений Ivanti и ScreenConnect, мы отмечаем и другие уязвимости, актуальные для первого квартала 2024 года:

  • CVE-2023-48022. Согласно отчету Oligo, злоумышленники используют уязвимость в популярном фреймворке Ray с открытым исходным кодом (он используется для машинного обучения, научных вычислений и обработки данных). Исследователи обнаружили, что сотни общедоступных Ray-серверов были скомпрометированы с помощью CVE-2023-48022, что позволило злоумышленникам получить доступ к конфиденциальной информации, включая исходный код моделей искусственного интеллекта, учетные данные базы данных и токены доступа к облачной среде.
  • CVE-2023-48788. Эта широко эксплуатируемая уязвимость представляет собой SQL-инъекцию в программное обеспечение FortiClient EMS и позволяет выполнять произвольный код или команды с помощью специально созданных запросов, обеспечивая первоначальный доступ в корпоративные сети организации.
  • CVE-2024-21893. Активно эксплуатируемая уязвимость была раскрыта 31 января. Она позволяет злоумышленнику обойти аутентификацию и получить доступ к шлюзам Ivanti. Исследователи Orange Cyberdefense пишут об успешной эксплуатации уязвимости для последующего развертывания бэкдора DSLog.
  • CVE-2024-27198. Уязвимость, получившая 9,8 балла (критический уровень) по CVSS, затрагивает множество версий TeamCity, позволяя злоумышленнику получить контроль над уязвимым сервером с правами администратора. Эксперты Trend Micro отмечают, что после успешной эксплуатации злоумышленники устанавливали различное ВПО: шифровальщики BianLian и Jasmin, майнер XMRig и ВПО для удаленного управления SparkRAT.

С расширенным списком наиболее популярных уязвимостей можно ознакомиться в ежемесячном дайджесте на нашем сайте.

Использование продуктов, содержащих уязвимости, может поставить под угрозу любую компанию. Компаниям следует ответственно относиться к закрытию уязвимостей, своевременно устанавливать актуальные обновления. Злоумышленники немедленно берут на вооружение недостатки в популярных решениях, особенно если для них широко распространены эксплойты. Такие трендовые уязвимости являются наиболее опасными и требуют немедленного исправления. Мы рекомендуем выстроить процесс управления уязвимостями для своевременного выявления и устранения недостатков в инфраструктуре организации.

Скрытые угрозы в открытом коде

В первом квартале 2024 года злоумышленники вновь активно использовали открытые библиотеки и менеджеры пакетов для распространения вредоносных нагрузок.

Зараженный кустарник

Согласно исследованию Apiiro, начиная с мая 2023 года на просторах GitHub было найдено более 100 000 поддельных репозиториев, маскирующихся под популярные проекты. Для осуществления атаки злоумышленники сначала клонируют популярный репозиторий и затем добавляют в него вредоносный код, после чего репозиторий публикуется на платформе. Результатом становятся тысячи проектов с именами, идентичными исходному, которые содержат дополнительный обфусцированный Обфускация — изменение кода программы, в результате которого он приобретает вид, трудный для понимания — при этом программа сохраняет свои функции. вредоносный код. GitHub автоматически отслеживает и блокирует подозрительные репозитории, однако из-за их большого количества некоторым зараженным копиям удается остаться. Особенность GitHub также заключается в том, что он допускает наличие нескольких репозиториев с одинаковым именем. Это позволяет злоумышленникам продвигать свою версию популярного проекта через различные форумы и сообщества, ничего не подозревающим разработчикам.

ВПО в менеджерах пакетов

Злоумышленники не только разветвляют уже существующие репозитории, но и создают собственные вредоносные библиотеки, в дальнейшем публикуя их в менеджерах пакетов. При помощи PyPl (Python Package Index) и npm-пакетов преступники внедряют жертвам различные вредоносные программы. Так, в январе был обнаружен вредоносный npm-пакет, доставляющий ВПО для удаленного доступа, нацеленный на пользователей Windows. ZIP-файл поставлялся вместе с программным обеспечением для удаленного рабочего стола AnyDesk, а также трояном для удаленного доступа, который способен собирать конфиденциальную информацию со скомпрометированного устройства. Также в январе специалисты FortiGuard Labs сообщили о вредоносных пакетах в PyPl, приписываемых автору под никнеймом WS; хронология загрузки отсчитывается с сентября 2023 года. В анализируемых файлах были обнаружены троян-инфостилер WhiteSnake Зловред распространяется как malware-as-a-service и нацелен на кражу данных из браузеров Firefox, Chrome, Chromium, Edge, Brave, Vivaldi, CocCoc и CentBrowser. Он также собирает данные из Thunderbird, OBS-Studio, FileZilla, Snowflake-SSH, Steam, Signal, Telegram, Discord, Pidgin, Authy, WinAuth, Outlook, Foxmail, The Bat!, CoreFTP, WinSCP, AzireVPN, WindscribeVPN и различных криптокошельков. , нацеленный на пользователей Windows, а также Python-скрипт, предназначенный для кражи информации c устройств Linux. Злоумышленники используют такой вектор для доставки различных вредоносов: ВПО для удаленного управления, стилеров и даже майнеров. Конечной целью является сбор конфиденциальной информации (такой как учетные данные, данные платежных карт), а также захват ресурсов компьютера для добычи криптовалюты.

Поскольку PyPI не имеет строгого механизма контроля, загрузить и опубликовать вредоносный код может и низкоквалифицированный злоумышленник. Ответственность за безопасность пакетов лежит на пользователях, которые их скачивают. Однако такие многочисленные инциденты не остаются без внимания. Так, PyPI ограничил возможность регистрации новых пользователей после масштабной вредоносной кампании, выявленной исследователями безопасности Checkmarx.

Чтобы избежать заражения, мы рекомендуем разработчикам использовать различные анализаторы пакетов и исходного кода, например PT PyAnalysis.

Тайпсквоттинг

Тайпсквоттинг — атака, при которой вредоносный пакет имитирует название легитимного, изощренная тактика киберпреступников. Как правило, экосистемы с открытым исходным кодом используют уникальные имена проектов, а это значит, что злоумышленникам приходится полагаться на опечатывание со стороны разработчиков и обычных частных лиц. Злоумышленники создают вредоносные версии популярных библиотек, названия которых схожи с оригинальными. Представьте, что вы хотите установить python-библиотеку Colorama, которая предоставляет возможность изменять цвета и стили текста в терминале. Однако в результате опечатки вы устанавливаете не оригинальную версию пакета, а вредоносную, и вместо внесения косметических изменений в терминале заражаете компьютер. Исследователи угроз Imperva обнаружили такой зараженный пакет, распространяемый под видом популярной библиотеки. За последний год было несколько попыток замаскировать пакет Colorama, используя такие имена, как: colarama, colourama, colorama-api. Устройства конечных пользователей оказываются заражены шпионским ПО Fade Stealer. Вредоносная программа нацелена на системы Windows и предназначена для кражи конфиденциальной информации c различных веб-ресурсов, включая социальные сети и игровые сайты. Также украденные данные могут включать последовательности нажатия клавиш, скриншоты экрана, записи с микрофона.

Подобные атаки напоминают об угрозах безопасности, которые скрываются в репозиториях пакетов с открытым исходным кодом. Это усугубляется тем фактом, что в качестве канала для распространения вредоносного ПО используются легитимные сервисы. Компрометация устройств разработчиков может привести к серьезным последствиям. Например, к утечкам конфиденциальных данных. Организациям следует реализовать практику безопасности цепочек поставок ПО, представляющую собой комплекс мер по обеспечению защищенности и целостности всех этапов разработки продуктов.

ИИ в арсенале злоумышленников: верить или не верить — вот в чем вопрос

В III квартале 2023 года мы отмечали тренд на использование нейросетей в злонамеренных целях. В I квартале 2024-го мы наблюдаем продолжение развития этого тренда.

Поддельные утечки

В январе на теневом форуме пользователь с ником Lean опубликовал запись о том, что у него есть данные 48 миллионов клиентов Europcar. Однако сама компания утверждала, что информация могла быть сгенерирована. По предоставленным скриншотам якобы украденных данных служба анализа угроз KasadaIQ определила, что злоумышленники, вероятно, использовали python-библиотеку под названием Faker, предназначенную для генерации тестовых данных.

Использование инструментов ИИ для массовых атак

Исследователи кибербезопасности Secureworks заметили рост числа доменов, которые зарегистрированы по ключевым словам, связанным с некрологами. Чтобы привлечь внимание потенциальных жертв, мошенники использовали сгенерированные искусственным интеллектом некрологи. Злоумышленники были нацелены на компрометацию личных данных посетителей сайтов, кражу денежных средств под видом пожертвований на несуществующие цели, а также заражение устройств вредоносным ПО.

Лицо дипфейка

По итогам 2023 года мы отметили активное использование дипфейков. Злоумышленники применяли технологию не только с целью кражи денежных средств и данных, но и как инструмент пропаганды на фоне сложной геополитической ситуации.

Громкие атаки мы увидели и в первом квартале 2024 года. В Гонконге злоумышленники, используя дипфейк, украли 25 млн долларов. Мошенники отправили на электронную почту сотруднику сообщение о приглашении на видеовстречу с якобы финансовым директором и другими сотрудниками, однако все они были фейками. Во время встречи сотрудник осуществил денежные переводы на сумму 200 миллионов гонконгских долларов. Жертва сообщила о случившемся только спустя неделю.

Такие инциденты лишний раз напоминают о том, что нейросети, являясь хорошим подспорьем для человечества, могут стать и мощным оружием в руках злоумышленников. Чтобы распознать дипфейк, советуем обращать внимание на следующие моменты: изменение манеры и звучания речи, неправильные движения тела и частей лица. При любых подозрениях лучше связаться с собеседником по проверенному каналу связи. Этот метод эффективен как для частных лиц, так и для организаций.

Шпионы в сторону — RAT идет

Шпионское ПО было трендом не только IV квартала прошлого года, но и 2022–2023 годов в целом. С начала 2024 года вредоносы в арсенале преступников претерпевают изменения: злоумышленники в своих атаках все чаще используют ВПО для удаленного управления (remote access control, RAT). В первом квартале 2024 года доля инцидентов с применением этого типа ВПО выросла по сравнению с предыдущим кварталом как в успешных атаках на организации (32%), так и в атаках на частных лиц (37%). При этом мы отмечаем снижение применения шпионского ПО в атаках на организации (на 4 п. п., до 21%), а также снижение доли использования банковских троянов в атаках на частных лиц (на 11 п. п., до 11%).

Рисунок 2. Типы вредоносного ПО (доля успешных атак с использованием ВПО)

По данным сервиса ANY.RUN, количество обнаруженных RAT увеличилось вдвое по сравнению с III кварталом 2023 года. ВПО для удаленного управления позволяет злоумышленникам получить полный контроль над скомпрометированной системой. Такой вредонос способен красть различную конфиденциальную информацию, отслеживать действия жертвы, такие как нажатие клавиш и активность на экране. Кроме того, RAT может выступать в роли загрузчика для доставки на скомпрометированное устройство дополнительного вредоносного ПО.

Повышение интереса злоумышленников к ВПО для удаленного управления можно объяснить тем, что многие современные вредоносы являются модульными, что позволяет им сочетать функции шпионов, загрузчиков и даже вымогателей. Говоря о модульности, стоит отметить ВПО Silver RAT, выпущенное группировкой Anonymous Arabic. Согласно отчету Cyfirma, программа написана на языке C# и может похвастаться широким набором функций, среди которых регистрация нажатий клавиш, уничтожение точек восстановления системы и даже шифрование данных.

Рисунок 3. Дополнительные функции Silver RAT

По нашим данным, в первом квартале 2024 года наиболее популярными инструментами RAT стали Remcos, применяющийся в каждой пятой атаке (19%) с использованием ВПО для удаленного управления, Agent Tesla, обладающий в том числе функциями шпионского ПО, а также Venom RAT (он же AsyncRAT).

Agent Tesla обычно рассылается злоумышленниками при помощи фишинговых сообщений. В марте этого года команда Trustwave SpiderLabs сообщила об обнаружении фишингового письма, маскирующегося под уведомление о банковском платеже. Архив содержал в себе загрузчик для дальнейшего развертывания Agent Tesla. В другой атаке, по данным исследователей Forcepoint, злоумышленники маскировались под сервис бронирования жилья Booking.com. В письме получателя просили проверить прикрепленный PDF-файл на наличие выписки по карте. Как только пользователь открывал ссылку из PDF-файла, URL загружал обфусцированный код JavaScript, вызывая скрипт PowerShell. Конечной целью атаки являлось развертывание Agent Tesla в целевой системе.

Рисунок 4. Пример электронного письма с вредоносным вложением

Также специалистами экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) были выявлены атаки группировки TA558 с использованием ряда ВПО, в том числе Remcos и Agent Tesla. Примечательно, что злоумышленники активно использовали технику стеганографии — способ спрятать вредоносный код в безобидном с виду файле или изображении.

Рисунок 5. Картинка, содержащая вредоносную нагрузку

Также ВПО для удаленного доступа активно распространялось в атаках на различные организации. Например, группировка Blind Eagle использовали загрузчик Ande Loader для последующего развертывания Remcos и njRAT. По заявлениям eSentire, атаки с помощью фишинговых электронных писем были нацелены на испаноязычных пользователей в обрабатывающей промышленности Северной Америки. В другой атаке компании в Румынии, Молдове и соседних странах стали жертвами злоумышленников, выдававших себя за румынского поставщика промышленного оборудования. Компании получали электронные письма с якобы новым заказом с ZIP-архивом. При его открытии запускался вредоносный файл, маскирующийся под список команд. В конечном итоге в системе разворачивалось ВПО Remcos.

Доля использования ВПО для удаленного управления растет, однако мы рекомендуем не сбрасывать со счетов и шпионское ПО. Так, эксперты PT Expert Security Center обнаружили серию атак группировки Lazy Koala, направленную на государственные структуры России, Беларуси, Казахстана, Узбекистана, Кыргызстана, Таджикистана, Армении. Основной целью атаки была кража учетных записей от различных сервисов с компьютеров работников государственных структур.

Под угрозой устройства Android

Сравнивая I квартал 2024 года с IV кварталом 2023 года, мы отмечаем рост доли использования ВПО для удаленного управления на 8 п. п. для устройств на базе Android. Как правило, основными объектами атак злоумышленников становились мобильные устройства.

Рисунок 6. Целевые ОС в атаках с использованием ВПО для удаленного управления (доля успешных атак)

Так, согласно исследованию Check Point за февраль, первое и второе место среди ВПО для мобильных устройств занимают такие вредоносные программы, как Anubis и AhMyth. Anubis является банковским трояном, но с момента первоначального обнаружения получил некоторые обновления и обзавелся функциями RAT, кейлоггера и возможностями аудиозаписи. Он был обнаружен в сотнях различных приложений, доступных в Google Store. AhMyth изначально является RAT, но он также способен собирать конфиденциальную информацию с зараженного устройства. У него есть графический пользовательский интерфейс, что делает его одним из самых простых в использовании для злоумышленников. AhMyth — это приложение с открытым исходным кодом, поэтому злоумышленник может адаптировать инструмент под свои конкретные задачи. Он использовался группировкой UNC1530 для атаки на мобильные устройства в Израиле с целью сбора разведданных.

В первом квартале были отмечены и другие RAT для атак на мобильные устройства Android. Так, по данным Zscaler, в одной из атак злоумышленник распространял ВПО для удаленного управления, нацеленное на устройства Android и Windows, используя онлайн-встречу как приманку. Киберпреступник создал несколько поддельных сайтов, имитирующих такие популярные решения, как Skype, Google Meet, Zoom, чтобы в дальнейшем доставить SpyNote RAT, нацеленный на Android, а также njRAT и DCRat, ориентированные на Windows.

Рисунок 7. Поддельный веб-сайт Skype

Многие образцы ВПО для удаленного управления являются модульными: такие решения могут выполнять роль как загрузчика, так и банковского трояна, шпионского ПО и даже шифровальщика. Мы предполагаем, что вскоре мы увидим еще больше ВПО с новыми модулями. Чтобы избежать заражения вредоносным ПО, используйте средства антивирусной защиты, а также песочницы — специализированные средства для анализа поведения файлов.

Темная сторона силы

I квартал 2024-го запомнится февральской операцией под названием Cronos, в ходе которой была захвачена инфраструктура LockBit, а также арестованы два участника известной группы вымогателей. Согласно пресс–релизу Национального агентства Великобритании по борьбе с преступностью, было заморожено более 200 криптовалютных счетов, принадлежащих злоумышленникам. Однако имеются все основания полагать, что группа вымогателей сможет восстановить свое положение в киберпреступном мире: как выяснили специалисты Trend Micro, разработчики создают новую версию своей вредоносной программы, которая, вероятно, станет LockBit 4.0.

Рисунок 8. Сайт LockBit после операции Cronos

Стоит отметить крупную торговую площадку по продаже нелегальных товаров и услуг Nemesis. Среди прочего там продаются программы-вымогатели и фишинговые инструменты, предлагаются услуги проведения DDos-атак. В рамках объединенных усилий правоохранительных органов Германии, США и Литвы теневая площадка была успешно ликвидирована. В пресс-релизе говорится, что расследование началось в октябре 2022 года, но жирную точку удалось поставить в марте 2024-го, когда в ходе операции была захвачена серверная инфраструктура, что привело к закрытию торговой площадки.

Кругом обман

В мире темной стороны интернета не все так однозначно и стабильно. В феврале появилась новая группа вымогателей Mogilevich. Как утверждают злоумышленники, они взломали и украли данные как минимум четырех организаций, в числе которых Epic Games. Однако сама компания утверждала, что нет никаких доказательств кибератаки или кражи данных.

Рисунок 9. Сообщение о продаже украденных данных Epic Games

Отличительной чертой группы вымогателей Mogilevich является то, что они не делятся фрагментами украденной информации. Многие исследователи пришли к выводу, что заявления группировки не имеют реальных оснований и злоумышленники просто хотят обмануть покупателей. В конечном итоге так и оказалось: это было лишь большой аферой ради легкой наживы. Представитель группы заявил следующее: «Мы использовали громкие имена, чтобы как можно быстрее получить известность». Своими заявлениями о взломах группа злоумышленников хотела завоевать доверие других киберпреступников, а затем продать им несуществующие данные и программу-вымогатель. Группе удалось продать программное обеспечение восьми начинающим хакерам, а также несуществующую базу данных на сумму 85 тысяч долларов.

Кот в мешке

В марте группировка BlackCat (ALPHV) заявила о закрытии проекта на одном из теневых форумов. Банда вымогателей утверждала, что ФБР получили доступ к инфраструктуре, на фоне чего пришлось закрыть проект, однако правоохранительные органы отрицали это заявление. Предполагается, что группа организовала масштабную аферу и таким образом вышла из бизнеса, прихватив деньги аффилированных лиц. Позже на платформе Tox появилось сообщение о продаже исходного кода вредоносного ПО за 5 миллионов долларов. Снижение доверия партнеров после того, как группировка якобы отказалась выплатить партнеру процент от выкупа (22 млн долларов) за атаку на Change Healtcare, вероятно, является одной из причин, почему BlackCat покидает рынок программ-вымогателей.

Последствия атак

Кибератаки в I квартале 2024 года приводили к разным последствиям: злоумышленникам удавалось успешно атаковать как небольшие предприятия, так и отраслевых гигантов, не обошлось без сбоев в работе целых городов. Основной фокус преступников был направлен на получение конфиденциальной информации (доля таких атак составила 54%) и нарушение основной деятельности организаций (доля таких атак составила 33%). Несмотря на тренд на использование ВПО для удаленного управления, не стоит забывать о шифровальщиках, которые могут привести к реализации недопустимых событий. Так, стоит отметить февральский инцидент с детской больницей Лурье в Чикаго. Эта атака затронула интернет, электронную почту, телефонную связь в больнице и доступ к платформе MyChart. Местные СМИ сообщали о том, что запланированные процедуры были перенесены, результаты УЗИ и компьютерной томографии оказались недоступны, врачам пришлось выписывать рецепты вручную. Ответственность за атаку взяла на себя группа вымогателей Rhysida: утверждая, что они украли 600 ГБ больничных данных, преступники потребовали выкуп в размере 60 BTC (около 4 млн долларов).

Рисунок 10. Последствия атак (доля успешных атак)

Вот список атак I квартала, которые повлекли за собой негативные последствия и вызвали большой резонанс:

  • В феврале злоумышленникам удалось проникнуть в системы немецкого производителя аккумуляторов Varta. В результате атаки компания остановила производство на пяти заводах. Заявление об остановке производства не прошло бесследно, акции компании упали на 4,75%.
  • В январе компания Tietoevry столкнулась с атакой программы-вымогателя Akira. Атака затронула центр обработки данных, вследствие чего пострадали клиенты компании. Среди них — крупнейшая сеть кинотеатров Швеции: из-за атаки люди не могли купить билеты онлайн. Также пострадала компания по поставке строительных материалов Moelven, а поставщик сельскохозяйственной продукции Grangnården был вынужден закрыть свои магазины на время восстановления.
  • 21 февраля банда вымогателей BlackCat (ALPHV) атаковала медицинскую компанию Optum, предоставляющую технологические услуги. В результате произошел сбой платформы Change Healthcare, которая является крупнейшей платформой для обмена платежами между врачами, аптеками, поставщиками медицинских услуг и пациентами в системе здравоохранения США. Из-за инцидента врачам и аптекам пришлось искать альтернативные способы подачи заявок на страхование. Согласно оценке First Health Advisory, фирмы по обеспечению цифровых рисков для здоровья, сбой обходится поставщикам примерно в 100 миллионов долларов в день.

В успешных атаках на организации, последствием которых стала утечка конфиденциальной информации, злоумышленники чаще ориентировались на похищение персональных (37% украденной информации) и учетных данных (17%), а также коммерческой тайны (22%). В атаках на частных лиц злоумышленники в большей степени были нацелены на кражу их учетных (39%) и персональных (25%) данных.

Рисунок 11. Типы украденных данных (в успешных атаках на организации)
Рисунок 12. Типы украденных данных (в успешных атаках на частных лиц)

В I квартале мы отмечаем увеличение доли учетных данных среди украденной из организаций информации на 7 п. п. по сравнению с прошлым кварталом. Среди причин такого роста — массовое распространение злоумышленниками ВПО, а также многочисленные фишинговые кампании. Так, на протяжении марта эксперты PT Expert Security Center фиксировали фишинговые сообщения, маскирующиеся под рассылки Microsoft. К письмам были прикреплены PDF-документы, в которых содержались имитация DocuSign и QR-код. При переходе пользователь попадал на фишинговую страницу, маскирующуюся под страницу авторизации Microsoft, на которой уже введен логин жертвы и нужно ввести только пароль.

Рисунок 13. QR-код, ведущий на фишинговую страницу

Подобную фишинговую рассылку, направленную на сотрудников банка, эксперты PT ESC фиксировали в январе. Письма содержали ссылку на фишинговую страницу, имитирующую сайт банка. Целью кампании также являлась кража учетных данных.

Рисунок 14. Фишинговая страница, имитирующая сайт банка

Наиболее заметные утечки I квартала:

  • В январе исследователи обнаружили базу данных, содержащую 26 миллиардов записей c данными пользователей популярных зарубежных и российских соцсетей и ресурсов, таких как LinkedIn, Twitter, Snapchat, Adobe, Tencent и других. Найденная база получила название «mother of all breaches».
  • В конце января компания Viamedis столкнулась с крупной утечкой данных в результате кибератаки. Утечка затронула 33 миллиона человек. Компания заявила, что информация включает имена, даты рождения, данные страховщика, номера социального страхования, семейное положение, гражданский статус и гарантии, доступные для оплаты третьими сторонами.
  • В результате нарушения безопасности данных агентства по трудоустройству во Франции была скомпрометирована информация 43 миллионов человек. Украденные данные включают в себя имена, даты и места рождения, номера социального страхования, идентификаторы France Travail, адреса электронной почты, почтовые адреса, номера телефонов.
  • Hyundai Motor Europe cтолкнулся с атакой программы-вымогателя Black Basta, в результате которой было украдено 3 терабайта корпоративных данных. Не сообщается, какие именно данные были украдены, но известно, что они связаны с различными отделами компании, включая юридический, отдел продаж, отдел кадров, бухгалтерию, IT и менеджмент.

Для защиты от кибератак мы советуем придерживаться общих рекомендаций по обеспечению личной и корпоративной кибербезопасности.

С учетом специфики I квартала мы настоятельно рекомендуем оставаться бдительными в сети: не переходить по ссылкам и не открывать вложения в электронной почте из непроверенных источников. Учитывая большое количество атак с распространением ВПО через легитимные сервисы, разработчикам следует внимательно относиться к используемым репозиториям и менеджерам пакетов в своих проектах, реализовать практику безопасности цепочек поставок ПО, внедрить инструменты application security.

Организациям следует развивать процессы управления уязвимостями и участвовать в программах багбаунти. Особое внимание стоит уделить закрытию уязвимостей, которые широко используются злоумышленниками в текущий момент и для которых существуют общедоступные эксплойты.

Для защиты периметра рекомендуем применять межсетевые экраны уровня приложений (web application firewalls, WAF). Для защиты устройств от современного вредоносного ПО используйте песочницы, которые позволяют проанализировать поведение файлов в виртуальной среде, выявить вредоносную активность и предотвратить ущерб, который может быть нанесен компании.

Чтобы защитить организацию от возможных утечек, важно уделить внимание защите данных. Мы рекомендуем проводить регулярную инвентаризацию и классификацию активов, устанавливать политики разграничения доступа к данным, осуществлять мониторинг обращения к чувствительной информации, а также использовать специализированные решения, реализующие концепцию data-centric security.

Сводная статистика

Рисунок 15. Количество инцидентов в 2023 и 2024 годах (по кварталам)
Рисунок 16. Категории жертв среди организаций

22% атак было направлено против частных лиц

Рисунок 17. Объекты атак (доля успешных атак)
Рисунок 18. Способы распространения вредоносного ПО в успешных атаках на организации
Рисунок 19. Способы распространения вредоносного ПО в успешных атаках на частных лиц
Рисунок 20. Целевые ОС в атаках с использованием ВПО (доля успешных атак)

Об исследовании

Данный отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников.

По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.