Зашифрованные: число кибератак в 2022 году выросло в три раза

Лаборатория цифровой криминалистики компании Group-IB, лидера в сфере кибербезопасности, исследовала высокотехнологичные преступления 2022 года на базе проведенных реагирований на инциденты в российских компаниях. Подавляющее большинство из них (68%) составили атаки программ-вымогателей. В исследовании отмечается возросшая активность хактивистов, целью которых является кибердиверсия — остановка работы инфраструктуры организации. Наиболее популярными способами проникновения в сети организаций-жертв впервые стала эксплуатация уязвимостей публично доступных приложений компаний (61%), за ней следуют фишинг — 22% и компрометация служб удаленного доступа —17%.

Заработать или уничтожить 

По данным исследования, в 2022 году количество кибератак финансово-мотивированных хакеров увеличилось почти в три раза по сравнению с 2021 годом. Самым популярным типом киберугроз, с которыми столкнулись во время реагирований эксперты Лаборатории компьютерной криминалистики Group-IB стали атаки с использованием программ-вымогателей — на них пришлось 68% всех инцидентов. Жертвами шифровальщиков чаще всего становились российские ритейлеры, производственные и страховые компании. Для сравнения: пять лет назад 70% хакерской активности было связано с целевыми атаками на финансовый сектор.

Наиболее агрессивными группами программ-вымогателей в России в прошлом году стали Phobos, CryLock и Sojusz, а рекорд по сумме требуемого выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей. Среднее время простоя атакованной организации сократилось с 18 до 14 дней — восстановление происходило значительно быстрее. 

Еще одной тенденцией прошлого года стало использование программ-вымогателей хактивистами — политически активными хакерами.  Цель таких атак, как правило, не связана с финансовой мотивацией: они стремятся разрушить или остановить работу ИТ-инфраструктуры жертвы и создать общественный резонанс. Кибердиверсии — отличительная черта 2022 года. Этому во многом способствовал текущий геополитический кризис и появление в публичном пространстве исходных кодов программ-вымогателей Conti и LockBit — криминалисты Group-IB неоднократно видели их использование в атаках на организации в России.

Kill Chain: от заражения до вымогательства 

Самой популярной техникой, используемой для получения первоначального доступа в корпоративные сети, впервые стала эксплуатация уязвимостей публично доступных приложений — ее применяли в 61% расследованных инцидентов, за ней следуют фишинг — 22% и компрометация служб удаленного доступа —17%. 

Напомним, что годом ранее главным вектором атак для большинства банд вымогателей были публичные RDP-серверы (52%), фишинг (29%), и только затем — эксплуатация общедоступных приложений (17%).

Примечательно, что технику эксплуатации публично доступных приложений использовали как операторы шифровальщиков, пытавшихся получить выкуп, так и хактивисты, старавшиеся разрушить IT-инфраструктуру атакованной организации.  

Впрочем, долгоиграющую угрозу — фишинг — пока рано списывать со счетов. Группа OldGremlin для атак на крупный российский бизнестрадиционно использовала целевые грамотно составленные почтовые рассылки, «заточенные» под потенциальную компанию-жертву. 

Еще одним способом получения первоначального доступа к ИТ-инфраструктурам компаний стала компрометация служб удаленного доступа и проникновение через публично-доступные терминальные серверы, либо через VPN-сервисы. В этом случае атакующие могли воспользоваться как методом брутфорс (brutforce, перебор паролей), так и данными, украденными с помощью инфостилеров (тип вредоносного ПО, предназначенный для кражи данных онлайн-кошельков, логинов, паролей) или купленными у брокеров первоначального доступа.

Шифровальщики и бизнес: предупрежден, но не вооружен

Почти 68% исследованных атак завершались шифрованием данных. В качестве программы-шифровальщика злоумышленники могли использовать и легитимное ПО, например, программу BitLocker отMicrosoft. При этом, если атакующие хотели выгрузить ценные данные с серверов атакованной компании, их предварительно архивировали, скачивали и лишь затем запускали шифровальщик на хостах.

«Новое исследование Group-IB подтверждает наш давний прогноз — вымогатели пришли в Россию и стали одной из основных киберугроз для бизнеса, — убежден Валерий Баулин, генеральный директор Group-IB в России и СНГ — В ходе реагирований мы видели, что подавляющее большинство компаний-жертв не только технически не были готовы к отражению атак программ-вымогателей, но и не имели плана реагирования на киберинцидент. В этом случае в сжатые сроки стабилизировать работу профильных подразделений фактически невозможно. Для того, чтобы эффективно организационно и технически противостоять действиям атакующих и минимизировать ущерб для компании — необходимо или оперативно привлекать специалистов на аутсорсе, или, что проще заранее иметь подписку на ритейнерпо реагированиям на инциденты». 

 Услуга ритейнера по реагированиям на инциденты набирает популярность  на российском рынке, говорится в исследовании.  Ритейнер — это пакет предоплаченных проактивных и реактивных сервисов для оперативного профессионального реагирования на атаку, когда бы она не произошла, в формате 24/7/365. По первому сигналу команда криминалистов выезжает на реагировании или проводит его удаленно для минимизации простоя инфраструктуры и ущерба от кибератаки без потерь времени на согласование договоров и других юридических документов.