Innostage: хакеры летом замедлили активность по отдельным направлениям

Эксперты Центра противодействия киберугрозам Innostage SOC CyberART провели исследование хакерской активности в российском ИТ-сегменте за летний сезон 2024 года, определив ключевые тренды атак инструментами киберразведки по открытым данным (OSINT). В частности, выявлена сезонная тенденция на снижение количества ИБ-инцидентов таких видов, как дефейс и утечки уникальных данных пользователей. А DDoS-атаки напротив производились в полтора раза чаще.

Результаты исследования были озвучены руководителем Центра противодействия киберугрозам Innostage SOC CyberART Максимом Акимовым на пресс-конференции в рамках международного ИТ-форума Kazan Digital Week.

Основные тренды хакерской активности лета 2024 года по версии экспертов Innostage

·       Сохраняется тренд на атаки вектора «компрометация подрядчика»

На 11% чаще, чем зимне-весенний период, хакеры пытались проникнуть в инфраструктуру российских компаний через внешние подключения. При этом предварительно взламывались их подрядчики, партнеры, контрагенты, дочерние и зависимые общества.

При этом первичное звено, подвергшееся такой атаке, может столкнуться с нарушением работы бизнес-процессов, теряет конфиденциальную информацию и несет огромные репутационные риски.

Основную цель хакеров в данном случае представляют крупные клиенты атакованного подрядчика. Негативные последствия для компаний-мишеней — хищение и потеря целостности данных, финансовые убытки и остановка деятельности вплоть до банкротства. Скомпрометировав учетные данные подрядчика и получив несанкционированный доступ в защищаемый контур его клиентов, хакеры могут как скопировать содержимое баз данных для последующей публикации, так и зашифровать, подменить или удалить информацию без возможности восстановления. Подобные действия остановят важнейшие бизнес-процессы, для выполнения которых нужны эти данные, и фактически парализуют операционную и производственную деятельность компании.

Как показало лето 2024 года, через скомпрометированного подрядчика можно атаковать даже крупные и хорошо защищенные компании. Среди жертв были: федеральный логистический оператор, ритейлер с разветвленной сетью магазинов, вендор ИБ-решений.

·         Объемы утечек уникальных данных пользователей летом резко снизились

Если за первое полугодие совокупный объем утечек российских компаний составлял 96,7 млн — уникальных записей (таким образом, в среднем их приходилось по 16 млн на месяц), то среднемесячный показатель за лето составил 1 млн строк. В июне в публичное пространство утекло 1,1 млн новых данных россиян, в июле — цифра втрое скромнее — 0,4 млн, но в августе хакеры снова усилили натиск и собрали урожай из 1,4 млн уникальных данных о пользователях.

При этом за 3 летних месяца произошло 19 утечек, в то время как за первые 6 месяцев года их было 24. Таким образом, летом утечки происходили на 58% чаще, но при этом объем похищенной информации оказался меньше, чем зимой и весной, когда ряд инцидентов затронул особо большие базы данных.

Вместе с тем, в августе наблюдается 40% рост публикаций утечек относительно среднего показателя в течение лета, что позволяет сделать прогноз об усилении этой угрозы осенью. «Выглядит так, что хакеры устраивали себе летом отпуск или как минимум работали вполсилы, не делая подходы к сложным и хорошо защищенным хранилищам данных», — комментируют эксперты.

·       Фишинговые атаки формата FakeBoss — в пределах среднегодовых значений

Хакеры продолжают взламывать компании, воздействуя на их сотрудников методами социальной инженерии. И одной из техник кражи данных и угона учетных записей остается FakeBoss. Летом число атак такого формата сохранилось на том же высоком уровне, что и зимой-весной. Злоумышленники все так же активно пытаются выдавать себя за владельца или C-level руководителя, рассылая от его имени вредоносные сообщения через мессенджеры или корпоративную почту сотрудникам и партнерам компании.

FakeBoss-атаки осуществляются через взломанный или подделанный аккаунт в мессенджерах, реже для этих целей используются почтовые сервисы. В рассылаемых личных сообщениях мошенники убеждают сотрудников организации перейти по вредоносной ссылке, предоставить свои учетные данные или выполнить другие подозрительные действия. Невнимательность и доверчивость жертвы приводит к компрометации учетных данных, инфицированию компьютера вредоносным ПО, использованию его в качестве точки входа и проникновению злоумышленников в периметр ИТ-инфраструктуры организации.

 Но если ранее в одной из пяти FakeBoss-кампаний хотя бы один адресат кликал по предоставленным ссылкам или отправляет запрашиваемые мошенниками данные, то сейчас потенциальные жертвы стали более осмотрительны и почти не реагируют на обман.

Как злоумышленники будут корректировать свою стратегию, предсказать сложно. Возможно, они станут реже применять FakeBoss или начнут наращивать качество фишинговых коммуникаций, например, еще активнее использовать нейросети для разработки убедительной легенды, генерации текста, визуального и аудио-контента.

·       Сокращение инцидентов с дефейсами на 50%

В период с 1 июня по 31 августа 2024 года хакеры реже прибегали к дефейсу — смене внешнего вида веб-сайта компании путем взлома для размещения вредоносного контента или сообщения. Как правило, на страницах атакованного ресурса появляются угрозы, запрещенная символика или призывы. Цель — продемонстрировать цифровую уязвимость и испортить репутацию компании или государственного сервиса.  Большинство случаев дефейса выявлено в компаниях, использующих версии CRM Битрикс. Также имеют место дефейсы, реализованные в ходе атак на подрядчиков, оказывающих услуги по хостингу и администрированию сайтов. Одним из резонансных летних примеров стал дефейс веб-ресурса ИБ-интегратора.

Нередко дефейс становится возможен из-за атаки на внешнего подрядчика, не имеющего доступа к ИТ-инфраструктуре компании — такая ситуация не несет иных рисков, кроме репутационных. Зачастую замена содержимого сайтов производится в значимые для хакеров или их заказчиков общественно-политические даты — день конституции и другие государственные праздники.

·         Количество атакуемых доменов выросло на 42 %

Натиск хакерских атак, направленных на нарушение доступа к онлайн-ресурсу путем перегрузки его трафиком, по-прежнему нарастает. DDoS-атаки были и остаются одними из ключевых инструментов злоумышленников. За лето свыше 4400 домена РФ атаковано, затронуто 112к IP адресов. Для сравнения за первое полугодие атакам подверглись около 6200 доменов. Таким образом, количество DDoS-атак на 42% превысило среднегодовой показатель. Кроме того, наблюдается значительное расширение списка атак, что говорит о подробном поиске злоумышленниками данных о периметре целей перед началом более изощренных и разрушительных хакерских действий.

DDoS-атаки особенно чувствительны для компаний, где сайт — ключевой инструмент производства или продаж. Кроме того, они активно применяются как отвлекающий маневр, во время которого хакеры «прощупывают» серверы и пытаются проникнуть в ИБ-периметр. За первое полугодие подобные атаки были реализованы в отношении ряда ИТ-интеграторов. Так, на непродолжительное время, в начале июня ошибка «отказ в обслуживании» появлялась и на официальном сайте Innostage. Однако, в данном случае это было связано с проведением открытых кибериспытаний, где пределы цифровой устойчивости бизнеса исследуют «белые» хакеры, а не их темные собратья.