Подавляющее большинство из них (68%) составили атаки программ-вымогателей. В исследовании отмечается возросшая активность хактивистов, целью которых является кибердиверсия — остановка работы инфраструктуры организации. Наиболее популярными способами проникновения в сети организаций-жертв впервые стала эксплуатация уязвимостей публично доступных приложений компаний (61%), за ней следуют фишинг — 22% и компрометация служб удаленного доступа —17%.
Заработать или уничтожить
По данным исследования, в 2022 г. количество кибератак финансово-мотивированных хакеров увеличилось почти в три раза по сравнению с 2021 г. Самым популярным типом киберугроз, с которыми столкнулись во время реагирований эксперты лаборатории компьютерной криминалистики Group-IB стали атаки с использованием программ-вымогателей — на них пришлось 68% всех инцидентов. Жертвами шифровальщиков чаще всего становились российские ритейлеры, производственные и страховые компании. Для сравнения: пять лет назад 70% хакерской активности было связано с целевыми атаками на финансовый сектор.
Наиболее агрессивными группами программ-вымогателей в России в прошлом году стали Phobos, CryLock и Sojusz, а рекорд по сумме требуемого выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд руб. Среднее время простоя атакованной организации сократилось с 18 до 14 дней — восстановление происходило значительно быстрее.
Еще одной тенденцией прошлого года стало использование программ-вымогателей хактивистами — политически активными хакерами. Цель таких атак, как правило, не связана с финансовой мотивацией: они стремятся разрушить или остановить работу ИТ-инфраструктуры жертвы и создать общественный резонанс. Кибердиверсии — отличительная черта 2022 г. Этому во многом способствовал текущий геополитический кризис и появление в публичном пространстве исходных кодов программ-вымогателей Conti и LockBit — криминалисты Group-IB неоднократно видели их использование в атаках на организации в России.
Kill Chain: от заражения до вымогательства
Самой популярной техникой, используемой для получения первоначального доступа в корпоративные сети, впервые стала эксплуатация уязвимостей публично доступных приложений— ее применяли в 61% расследованных инцидентов, за ней следуют фишинг — 22% и компрометация служб удаленного доступа —17%.
Годом ранее главным вектором атак для большинства банд вымогателей были публичные RDP-серверы (52%), фишинг (29%), и только затем — эксплуатация общедоступных приложений (17%).
Примечательно, что технику эксплуатации публично доступных приложений использовали как операторы шифровальщиков, пытавшихся получить выкуп, так и хактивисты, старавшиеся разрушить ИТ-инфраструктуру атакованной организации.
Впрочем, долгоиграющую угрозу — фишинг — пока рано списывать со счетов. Группа OldGremlin для атак на крупный российский бизнес традиционно использовала целевые грамотно составленные почтовые рассылки, «заточенные» под потенциальную компанию-жертву.
Еще одним способом получения первоначального доступа к ИТ-инфраструктурам компаний стала компрометация служб удаленного доступа и проникновение через публично-доступные терминальные серверы, либо через VPN-сервисы. В этом случае атакующие могли воспользоваться как методом брутфорс (brutforce, перебор паролей), так и данными, украденными с помощью инфостилеров (тип вредоносного ПО, предназначенный для кражи данных онлайн-кошельков, логинов, паролей) или купленными у брокеров первоначального доступа.
Шифровальщики и бизнес: предупрежден, но не вооружен
Почти 68% исследованных атак завершались шифрованием данных. В качестве программы-шифровальщика злоумышленники могли использовать и легитимное ПО, например, программу BitLocker от Microsoft. При этом, если атакующие хотели выгрузить ценные данные с серверов атакованной компании, их предварительно архивировали, скачивали и лишь затем запускали шифровальщик на хостах.
Цитата
«Новое исследование Group-IB подтверждает наш давний прогноз — вымогатели пришли в Россию и стали одной из основных киберугроз для бизнеса, — сказал Валерий Баулин, генеральный директор Group-IB в России и СНГ — В ходе реагирований мы видели, что подавляющее большинство компаний-жертв не только технически не были готовы к отражению атак программ-вымогателей, но и не имели плана реагирования на киберинцидент. В этом случае в сжатые сроки стабилизировать работу профильных подразделений фактически невозможно. Для того, чтобы эффективно организационно и технически противостоять действиям атакующих и минимизировать ущерб для компании — необходимо или оперативно привлекать специалистов на аутсорсе, или, что проще заранее иметь подписку на ритейнер по реагированиям на инциденты».
Услуга ритейнера по реагированиям на инциденты набирает популярность на российском рынке, говорится в исследовании. Ритейнер — это пакет предоплаченных проактивных и реактивных сервисов для оперативного профессионального реагирования на атаку, когда бы она не произошла, в формате 24/7/365. По первому сигналу команда криминалистов выезжает на реагировании или проводит его удаленно для минимизации простоя инфраструктуры и ущерба от кибератаки без потерь времени на согласование договоров и других юридических документов.