Шифровальщики, стилеры и биржи доступов: главные киберугрозы 2023 года
На первом месте в перечне киберугроз для бизнеса по-прежнему остаются программы-вымогатели, на рынке продажи доступов в корпоративные сети прогнозируется рост, а антирекорд по «слитым» базам данных в новом году может быть побит. Рассказываем главное из отчета про ключевые киберриски от компании Group-IB, специализирующейся на исследовании высокотехнологичной преступности.
Угроза №1: шифровальщики
По мнению аналитиков Group-IB, ключевую угрозу для бизнеса в 2023 году будут представлять программы-вымогатели. По итогам прошлого года к числу таких группировок эксперты отнесли Lockbit, Conti и Hive. По данным русскоязычных СМИ, во всех трех присутствует «российский след», однако в случае с Hive, к примеру, подтверждений этому нет.
Сама структура таких группировок продолжает усложняться, и становится все более похожей на структуру самых что ни на есть законных IT-стартапов: с собственной иерархией, системами трудоустройства и мотивации, обучением и отпусками, указывают эксперты.
Развитие «индустрии шифровальщиков» происходит благодаря партнерским программам (Ransomware-as-a-Service, RaaS). Разработчики продают или сдают в аренду вредоносное ПО своим «коллегам», а те уже в дальнейшем взламывают сеть. За прошлый год эксперты выявили 20 новых RaaS, но шансом выжить наделяют только сильнейших из них.
Также за указанный период на 83% выросло количество Dedicated Leak Sites (DLS) —сайтов, где хакеры публикуют данные компаний. Каждый день на таких сайтах размещаются данные новых организаций, а всего в публичный доступ попали сведения с внутренней информацией почти 2,9 тысячи фирм.
Большая часть атак в 2022-м пришлась на американские фирмы, но также трехкратно увеличилось число атак на российский бизнес, целью которых был выкуп за расшифровку данных.
Рекорд по объему выкупа побила группировка OldGremlin, потребовавшая от жертвы 1 миллиард рублей. Названия пострадавшей компании эксперты не раскрыли. Еще осенью глава отдела динамического анализа Group-IB Threat Intelligence Иван Писарев говорил о том, что атакующие все чаще выбирают для своих целей более крупные и серьезные корпорации.
Угроза №2: перепродажа доступа к взломанным сетям
Рынок продавцов доступов в теневом интернете вырос более чем двукратно, при этом такие предложения стали доступнее по цене (средняя цена доступа снизилась в два раза). Как правило, хакеры реализуют свою «добычу» в виде предоставления доступов к VPN и RDP (протокол удаленного рабочего стола).
В Group-IB выявили 380 брокеров, реализующих доступ к взломанной инфраструктуре компаний. В даркнете ими опубликовано более 2,3 тысячи таких предложений. Наиболее активными названы мошенники с никнеймами Novelli, orangecake, Pirat-Networks, SubComandanteVPN, zirochka: на них в совокупности приходится четверть рынка продажи доступов.
Угроза №3: стилеры
Применение стилеров эксперты также относят к новым способам получения доступа к инфраструктуре компаний. Под «стилером» понимается вредоносное ПО, предназначенное для кражи данных с зараженных компьютеров и смартфонов граждан.
Стилер умеет «собирать» с зараженного компьютера логины-пароли из учетных записей в браузерах, благодаря чему хакеры могут получить самую разную информацию, включая не только логины и пароли, но и личные файлы, доступы к мессенджерам, почте и кошелькам в криптовалюте.
С ростом популярности «удаленки» и сервисов единого входа в ловушку стилеров стал чаще попадаться доступ к критической инфраструктуре компаний. В прошлом году в логах стилеров оказалось более 400 тысяч доступов к сервисам единого входа, 18 тысяч доступов к VPN и 3 тысячи — к сервисам Citrix. В начале января стало известно, что две критические уязвимости в Citrix ADC и Gateway, несмотря на их устранение, все еще угрожают тысячам серверов.
Приобрести стилеры на киберфорумах порой предлагают и бесплатно, отмечают в Group-IB. Объявлений об их продаже в даркнете обнаружилось более 200. Любопытно, что на работу со стилерами перешли и скамеры. Судя по всему, заниматься организацией доставок несуществующих товаров и фейковых свиданий стало менее прибыльно, чем зарабатывать на вредоносном ПО.
Угроза №4: рост числа утечек
Среди других трендов года — атаки не ради прибыли. Большая часть утечек баз данных российских компаний, то и дело всплывавших в прошлом году в Telegram-каналах, бесплатно была размещена в публичном доступе. Киберпреступников в условиях турбулентного 2022-го больше интересовало причинение компании репутационного или экономического ущерба (иногда — уничтожение IT-инфраструктуры), нежели прямой заработок.
За лето в сеть «слили» 140 баз с данными 75 российских компаний. Среди них были онлайн сервисы доставки продуктов, медицинские, строительные и транспортные компании, операторы связи: всего 304 миллиона «слитых» строк.
В новом году число утечек может возрасти, как и интенсивность противоборства, предупреждают эксперты. «Российский рынок сервисов на основе киберразведки переживает новое рождение, своего рода ренессанс», — констатирует Валерий Баулин, генеральный директор Group-IB в России и СНГ. С его слов, очень многие компании из РФ в 2022 году поняли бесполезность большого числа существующих решений. У многих из них отсутствовали технологии сканирования даркнета и предиктивная аналитика, возможность сопоставить атаку и атакующего, выстроить индивидуальное видение киберугроз.