У злоумышленников
никогда не бывает отпусков

В летние месяцы выросло число фишинговых писем, появились новые схемы телефонного мошенничества, активизировалась работа вымогателей в мессенджерах и соцсетях. Читайте отчеты об этом известных компаний по информационной безопасности – и будьте бдительны!

Компания «Лаборатория Касперского»

Открыть нельзя игнорировать

Сотрудники российских компаний склонны верить фишинговым письмам от «службы безопасности».

Фишинговые письма, посвящённые выполнению различных требований политики сетевой безопасности компании, вызывают наибольшее доверие у сотрудников российских корпораций. Сотрудники получали тренировочные фишинговые письма в рамках тестирования по информационной безопасности, и по вредоносной ссылке из сообщений якобы от службы безопасности компании перешли почти 30% получивших их пользователей, а 28% сочли убедительными письма про нарушение корпоративной политики использования веб-сервисов^[1].

Ещё одна распространённая фишинговая ловушка связана с финансовыми вопросами: почти каждый четвёртый (24%) открыл письмо, посвящённое изменениям в заработной плате, а 23% поверили в сообщения про налоговые задолженности.

«Мы увидели, что сотрудники склонны не ставить под сомнение письма, полученные якобы от существующих департаментов компании, а также описывающие организационные процессы – например, политику безопасности или вопросы финансирования, – говорит Татьяна Шумайлова, эксперт направления повышения цифровой грамотности Kaspersky Security Awareness. – А ведь чаще всего атаки на компанию начинаются именно с фишинга. В связи с этим важно научить сотрудников распознавать такие письма. Основные их признаки – эмоциональные и вовлекающие темы, ошибки и опечатки, странности в адресах отправителей и ссылках, а также давление на срочность – злоумышленники побуждают быстро перейти по ссылке или скачать файл. При этом, если фишинговое сообщение, например, про деньги, пришло во время пересмотра в компании зарплат, риски, что получатели перейдут по ссылке из него, повышаются».

Чтобы предотвратить компрометацию данных, а также финансовые и репутационные потери, «Лаборатория Касперского» рекомендует сотрудникам и бизнесу:

• всегда сообщать о фишинговых атаках специалистам по информационной безопасности: это позволит им своевременно перенастроить политики защиты от спама и предотвращать инциденты;
• обучать сотрудников как минимум базовым знаниям в области кибербезопасности
• применять комплексные защитные решения, которые позволяют выстроить гибкую и эффективную систему информационной безопасности, включающую в себя надёжную защиту рабочих мест, выявление и остановку атак любой сложности на ранних стадиях, сбор актуальных данных о кибератаках в мире и обучение сотрудников базовым навыкам цифровой грамотности.

Новый уровень сложности

Телефонные мошенники умело притворяются коллегами и в мессенджере просят не игнорировать предстоящие звонки

Эксперты «Лаборатории Касперского» рассказывают о новой многоступенчатой схеме телефонного мошенничества. Атаки стали более целевыми, злоумышленники ссылаются на сферу деятельности жертвы, используют как звонки, так и сообщения в мессенджере. Цель – выманить деньги.

Этап первый. Сначала человеку приходит сообщение в мессенджере (чаще всего это Telegram) – оно может быть как от знакомого контакта, например от коллеги, так и с неизвестного номера. Во втором случае адресанты обычно представляются сотрудниками той сферы, в которой работает потенциальная жертва. Таким образом мошенники стремятся вызвать больше доверия. Пользователя уведомляют о скором звонке по некому важному делу от представителей правоохранительных органов или регуляторов и обращают внимание, что эту беседу нельзя игнорировать. Для реализации этого этапа злоумышленники часто используют украденные ранее аккаунты других пользователей.

Этап второй. Вскоре с человеком действительно связываются якобы представители правоохранительных органов или регуляторов, настоятельно призывают к сотрудничеству, убеждают в социальной значимости взаимодействия, могут оказывать психологическое давление. Они готовят пользователя к следующему звонку – уже от поддельных сотрудников банка.

Этап третий. Через некоторое время абоненту звонят ненастоящие представители финансовой организации, чтобы заставить его перевести свои деньги на определённую карту, а также взять кредит и, например, положить на счёт через банкомат. В некоторых случаях злоумышленники – якобы для помощи – могут даже убедить человека купить отдельный телефон и SIM-карту и выключить личное устройство. Таким образом они прилагают максимум усилий, чтобы жертва не общалась с близкими и не «сорвалась с крючка».

«В июле мы увидели всплеск инцидентов с подобным сценарием. На ставшие уже многим знакомые легенды „представителей службы безопасности банка“, "звонок от правоохранительных органов" люди не реагируют. Ссылка на профессиональную деятельность – нестандартный подход. Она усложняется тем, что атака начинается с сообщения в мессенджере якобы от знакомого или сотрудника той же сферы, а также тем, что злоумышленники постоянно меняют канал связи и переводят общение с одного контакта на другой», – комментирует Сергей Голованов, главный эксперт «Лаборатории Касперского».

Потенциальный «нулевой этап». Схема стала актуальной в том числе на фоне общего роста количества фишинговых атак на Telegram в конце прошлого года и весной – летом этого, в результате которых мошенники крадут аккаунты пользователей.

«За июнь и июль мы зафиксировали больше 334 тысяч попыток перехода российских пользователей на ресурсы, мимикрирующие под Telegram. На них людей обычно просят ввести номер телефона, код подтверждения или навести камеру на QR-код – именно эти данные и нужны злоумышленникам для кражи аккаунта. Полученный доступ к аккаунтам злоумышленники могут затем использовать для различных целей, в том числе чтобы красть конфиденциальные данные, шантажировать и рассылать мошеннические сообщения. Резкий рост таких атак начался в мае – тогда количество атак увеличилось больше, чем в два раза», – комментирует Ольга Свистунова, старший контент-аналитик «Лаборатории Касперского».

«Лаборатория Касперского» для защиты рекомендует:

• сохранять бдительность при любых звонках и сообщениях, даже от знакомых: если есть сомнение, лучше перепроверить и уточнить по другому каналу связи;
• никому не сообщать данные из СМС и push-уведомлений;
• для защиты от телефонного мошенничества и спама использовать специальные решения, которые подскажут, что входящий вызов – нежелательный;
• для защиты аккаунта в Telegram: настроить двухфакторную аутентификацию и установить решение с защитой от перехода по фишинговым ссылкам;
• если у вас украли аккаунт, стоит восстановить его, чтобы им не смогли воспользоваться злоумышленники против ваших знакомых.

«Лаборатория Касперского» отразила за 5,5 месяцев почти 100 тысяч атак на малый и средний бизнес в России

В первой половине 2023 года решения «Лаборатории Касперского» детектировали в России 95 879 срабатываний вредоносных файлов на устройствах сотрудников компаний малого и среднего бизнеса.

С целью получения несанкционированного доступа к конфиденциальным данным мошенники используют множество методов. Злоумышленники умело обманывают сотрудников с помощью инструментов социальной инженерии, заставляя их разглашать конфиденциальную информацию или переводить деньги. Например, есть такой вид атаки как смишинг – это фишинг в СМС. Жертва получает текстовое сообщение с фишинговой ссылкой. Если перейти по этой ссылке, на устройство загружается вредоносное ПО.

«После проникновения в корпоративную инфраструктуру атака может осуществляться с помощью эксплойтов. Это такие зловреды, которые умеют использовать уязвимости в ПО для запуска других вредоносных программ, повышения привилегий или нарушения работы критически важных приложений без участия пользователя. Чтобы защититься от этой и других массовых киберугроз, организациям необходимо заниматься построением и развитием системы информационной безопасности. Первый обязательный шаг – использование надёжных защитных решений, – комментирует Алексей Киселёв, руководитель отдела по работе с клиентами малого и среднего бизнеса, «Лаборатория Касперского».

Для защиты бизнеса от киберугроз:

• обучайте сотрудников основам кибербезопасности и проводите имитацию фишинговых атак, чтобы убедиться, что они умеют отличать фишинговые письма;
• используйте решение для защиты конечных точек и почтовых серверов с функцией антифишинга, чтобы свести к минимуму вероятность заражения через фишинговое письмо;
• применяйте решения для управления парком мобильных устройств, задействованных в работе организации.
• установите политику доступа к корпоративным активам, включая почтовые ящики, общие папки и онлайн-документы. Поддерживайте её в актуальном состоянии и удаляйте доступ, если сотруднику больше не нужны данные для работы или если он покидает компанию;
• регулярно создавайте резервные копии важных данных, чтобы обеспечить сохранность корпоративной информации в случае возникновения непредвиденных ситуаций.

«Лаборатория Касперского» выявила серию целевых кибератак на промышленные предприятия с применением более 15 вредоносных имплантов для кражи данных

Компания завершила расследование серии кибератак на промышленные предприятия в Восточной Европе. Злоумышленники использовали продвинутые тактики, методы и процедуры (TTPs), чтобы скомпрометировать предприятия производственного сектора, а также занимающиеся инжинирингом и интеграцией автоматизированных систем управления (АСУ).

Специалисты компании выяснили, что эта серия целевых атак была направлена на создание постоянного канала кражи данных, в том числе из изолированных от внешнего мира систем. По ряду признаков эта вредоносная кампания похожа на ранее исследованные атаки ExCone и DexCone, которые предположительно связаны с группой APT31, также известной как Judgment Panda и Zirconium. Расследование показало, что для получения удалённого доступа к системам жертв, сбора и кражи данных использовалось более 15 различных имплантов. Они позволяли создавать множество постоянно действующих каналов для вывода украденной информации, в том числе из высокозащищённых систем. Злоумышленники продемонстрировали обширные знания и опыт в обходе мер безопасности.

Инструментарий и тактики атакующих:

Злоумышленники активно использовали техники DLL-подмены, чтобы избегать обнаружения во время работы имплантов. DLL-подмена подразумевает использование легитимных исполняемых файлов сторонних разработчиков, в которых есть уязвимости, позволяющие загрузить в их память вредоносную динамическую библиотеку.

Для эксфильтрации данных и доставки вредоносного ПО использовались облачные сервисы для хранения информации и платформы для обмена файлами. Злоумышленники развёртывали инфраструктуру управления и контроля (C2) скомпрометированных систем в облачной платформе и на частных виртуальных серверах.

Также в атаках использовались новые версии вредоносного ПО FourteenHi. Впервые оно было обнаружено в 2021 году в ходе кампании ExCone, которая была нацелена на госучреждения. Годом позже появились новые варианты программ этого семейства. Они использовались в атаках на промышленные организации.

Кроме того, в ходе расследования был обнаружен новый имплант, который получил название MeatBall. Он предоставлял обширные возможности для удалённого доступа.

Другая отличительная особенность – то, что атакующие копировали данные из изолированных компьютерных сетей через последовательное заражение съёмных носителей. Это не новая тактика, однако в данном случае её реализация, по мнению специалистов, оказалась оригинальной и эффективной. Она включала как минимум четыре различных модуля:

• модуль работы со съёмными носителями и сбором информации о них;
• модуль заражения съёмного носителя;
• модуль сбора и сохранения данных на заражённом носителе;
• модуль заражения и сбора информации с удалённого компьютера.

«Нельзя недооценивать серьёзность последствий целевых атак на промышленный сектор. Поскольку многие организации начинают или продолжают активную цифровизацию, стоит учитывать и пропорционально возрастающие риски атак на критически важные системы. Факт, что злоумышленники находят способы добраться до наиболее защищённых систем промышленных предприятий, говорит о том, насколько важно следовать лучшим практикам обеспечения кибербезопасности, включая обучение сотрудников, получение, анализ и правильное использование информации об актуальных угрозах, внедрение специализированных решений для защиты промышленной инфраструктуры», – комментирует Кирилл Круглов, старший разработчик-исследователь в Kaspersky ICS CERT.

Чтобы защитить АСУ ТП от киберугроз, специалисты рекомендуют:

• регулярно проводить оценку безопасности OT-систем, чтобы выявить и устранить возможные проблемы;
• предоставлять специалистам, ответственным за защиту АСУ, современные средства аналитики киберугроз.
• использовать интегрированные защитные решения;
• проводить тренинги для ИБ-специалистов и технических специалистов всех профилей, занятых на различных производственных участках предприятия и имеющих доступ к автоматизированным системам, чтобы предотвращать и своевременно обнаруживать инциденты компьютерной безопасности и улучшать качество противодействия различным, в том числе новым и продвинутым, техникам и тактикам атакующих.

Emotet вернулся, Lokibot по-прежнему активен

Ландшафт киберугроз постоянно расширяется и усложняется, и «Лаборатория Касперского» постоянно находит новые тому подтверждения.

Летом исследователи компании обнаружили новый загрузчик. Ему было присвоено название DarkGate. Он обладает расширенными функциями по сравнению с обычными вредоносными программами такого типа. В числе возможностей DarkGate – скрытое VNC-подключение, обход работы средства защиты Microsoft Defender, умение красть историю браузера, обратный прокси, файловый менеджер, умение красть токены Discord. Цепочка заражения состоит из четырёх этапов. Каждая строка шифруется с уникальным ключом и модифицированной версией кодировки Base64 (с собственным набором символов).

Возвращение Emotet. В этом году вновь была замечена активность печально известного ботнета – впервые после его ликвидации в 2021 году. В новой волне атак злоумышленники использовали популярный вектор заражения – рассылали письма с вредоносными файлами OneNote. Если жертва открывает и пытается посмотреть вложение, она запускает выполнение вредоносного скрипта VBScript.

Новая кампания с использованием известного стилера. Также «Лаборатория Касперского» обнаружила фишинговую кампанию, нацеленную на организации, занимающиеся морскими перевозками грузов. В ходе кампании злоумышленники внедряли Lokibot. Этот инфостилер был впервые обнаружен в 2016 году. Он предназначен для кражи учётных данных из разных приложений, в том числе браузеров и FTP-клиентов. Электронные письма, рассылаемые в рамках данной атаки, содержали Excel-файл, в котором пользователям предлагалось включить макросы. Злоумышленники использовали известную уязвимость в Microsoft Office (CVE-2017-0199), которая ведёт к загрузке RTF-документа. Этот RTF-документ затем использует другую уязвимость (CVE-2017-11882), чтобы загрузить и запустить LokiBot.

«Возрождение Emotet и продолжающееся использование Lokibot, как и появление DarkGate, – это серьёзное напоминание о постоянно развивающихся киберугрозах, с которыми мы сталкиваемся. Злоумышленники всё время усложняют методы заражения, и организациям бывает трудно определить, от каких киберугроз следует защищаться в первую очередь. В этом помогают отчёты о новейших тактиках, методах и процедурах атакующих», – комментирует Дмитрий Галов, руководитель российского исследовательского центра «Лаборатории Касперского».

Чтобы защитить компанию от кибератак, специалисты «Лаборатории Касперского» рекомендуют:

• регулярно обновлять программное обеспечение на всех используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей;
• ввести политику создания надёжных паролей к корпоративным сервисам и их регулярной смены и следить за её соблюдением;
• установить мультифакторную аутентификацию для доступа к удалённым сервисам;
• внедрить надёжное решение;
• внедрить EDR-решение и сервис, который умеет распознавать и останавливать атаки на ранней стадии, до того, как злоумышленники нанесут существенный урон.

Удалёнка удалёнке рознь

Злоумышленники выманивают доступ к онлайн-банкингу с помощью поддельных приложений

Специалисты обнаружили новый виток в эволюции банковского мошенничества на Android. Злоумышленники начали активно распространять в мессенджерах модифицированные версии программ для удалённого доступа под видом приложений служб поддержки российских банков. Они меняют сами названия программ и иконки (добавляют наименование и визуал нужного банка), а также надписи в некоторых текстовых полях. Такую схему обнаружили эксперты «Лаборатории Касперского». Цель злоумышленников – получить доступ к онлайн-банкингу на устройствах с Android.

Что за приложения? Атакующие копируют легитимные приложения для удалённого доступа, одно из которых также есть в Google Play, но намеренно вводят людей в заблуждение, модифицируя их. Легитимные приложения представляют собой программы с открытым исходным кодом, поэтому для злоумышленников не составило особого труда создать на их основе поддельные. Также эксперты столкнулись со случаями модификации готовых установочных пакетов.

Как выглядит схема? Сначала мошенник звонит потенциальной жертве, в большинстве случаев – через мессенджер, вероятно, с аккаунта-однодневки. Он представляется сотрудником службы поддержки банка и под разными предлогами побуждает человека установить приложение, которое присылает в сообщении в виде файла – установочного пакета. После этого злоумышленнику остаётся только узнать у доверчивой жертвы необходимые данные, чтобы получить удалённый доступ к смартфону.

При чём тут эволюция? Ранее злоумышленники уже использовали одну из обозначенных легитимных программ для удалённого доступа, чтобы обманным путём добраться до онлайн-банкинга на мобильных устройствах. Мошенники звонили потенциальным жертвам и вынуждали скачать приложение напрямую из Google Play. Здесь им «помогал» тот факт, что если составить поисковой запрос определённым образом, то первым результатом в выдаче оказывалась именно эта программа. Интересно, что большое количество негативных комментариев в отзывах под ней злоумышленники могли объяснять, например, делом рук конкурентов. Сейчас схема обмана эволюционировала: вероятно мошенники поняли, что многих смущает не имеющее отношения к банкам название и внешний вид ПО, поэтому они стали рассылать модифицированные версии программ пользователям в популярных мессенджерах.

«Ещё в прошлом году, судя по отзывам на Google Play, чтобы вынудить жертву найти в сторе и скачать определённую программу для удалённого доступа, злоумышленники изобретали самые разные приёмы. Например, ссылались на то, что приложение переименовали якобы из-за санкций, поэтому оно не имеет ничего общего с тем или иным банком. Пытались запугать тем, что только с этим приложением данные будут в безопасности или что оно необходимо, чтобы никакое другое устройство не могло подключиться к личному кабинету клиента. Встречались и другие поводы – якобы на пользователя пытались оформить кредит и, чтобы отменить операцию, нужно воспользоваться ПО службы поддержки банка. Не исключаем, что похожие легенды могли использоваться злоумышленниками, когда они начали распространять уже модифицированные версии программ для удалённого доступа», – отмечает Дмитрий Калинин, эксперт по кибербезопасности «Лаборатории Касперского».

Чтобы не попасться на уловки злоумышленников, специалисты рекомендуют:

• не переходите по ссылкам и не скачивайте присланные файлы из сомнительных сообщений;
• скачивайте программы только с официальных ресурсов – из магазинов приложений или сайтов компаний-разработчиков;
• перед тем как скачать то или иное приложение из магазина, посмотрите отзывы о нём, обратите внимание на рейтинг;
• помните, если вас просят сделать что-либо быстро и запугивают, – вероятнее всего, это мошенники;
• используйте надёжное защитное решение на всех своих устройствах: оно не даст установить вредоносное или подозрительное приложение.

Компания МТС RED

ИТ, промышленность и ритейл – наиболее атакуемые отрасли

МТС RED, дочерняя компания МТС по кибербезопасности, сообщает о том, что количество кибератак в первом полугодии 2023 года выросло примерно в два раза по сравнению с аналогичным периодом прошлого года. При этом число инцидентов, критичных с точки зрения последствий для бизнеса, сократилось примерно на 20%. По данным исследования МТС RED, их доля в общем объеме кибератак составила 22%, тогда как в первом полугодии 2022 года таких инцидентов было чуть меньше половины – 46%. Таким образом, в среднем по России число атак продолжает расти, а их уровень снижается. Однако в ряде отраслей аналитики МТС RED фиксируют обратную ситуацию.

Как и в прошлом году, наиболее атакуемыми отраслями в первом полугодии стали информационные технологии (35%), промышленность (21%) и ретейл (15%). По статистике центра мониторинга и реагирования на кибератаки МТС SOC, они ежемесячно испытывали на себе от 500 до 1000 вредоносных кибервоздействий различного уровня сложности. Наибольшее количество инцидентов в этих отраслях было связано с попытками киберпреступников обойти средства защиты организаций (37%). На втором месте с долями около 15% – нарушение сотрудниками политик информационной безопасности, заражение вредоносным ПО и попытки взлома учетных записей пользователей.

«В начале 2022 года преобладали простые и агрессивные атаки на внешний ИТ-периметр организаций, а также фишинговые рассылки на сотрудников компаний. В 2023 году общее количество значимых атак снизилось, так как компании стали более внимательно относиться к кибербезопасности, закрывая критичные уязвимости в информационных системах либо используя наложенные средства защиты и сервисы кибербезопасности», – прокомментировал результаты исследования Андрей Дугин, директор центра сервисов кибербезопасности МТС RED.

Кроме того, ретейл и промышленные предприятия подвергались наибольшему числу высококритичных атак. Доля ретейла от общего количества таких инцидентов составила 27%, критичными были около 40% всех атак на эту отрасль. Аналитики связывают это с высоким уровнем цифровизации в данной сфере и зависимостью ключевых бизнес-процессов ретейла от нормального функционирования ИТ-систем. Вследствие этого ретейл-компании более уязвимы перед киберугрозами – с точки зрения возможного ущерба для них критично большее количество различных типов атак.

Банки и телеком подвергались вредоносным кибер-воздействиям реже других отраслей. Если в первом полугодии 2022 года они занимали 3 и 4 место в списке наиболее атакуемых, то в этом году на них пришлось совокупно не более 10% атак. Однако эти отрасли чаще многих других становились мишенью профессиональных злоумышленников.

Высококритичными признаны 81% от всех инцидентов информационной безопасности, зафиксированные в телеком-компаниях. По сравнению с первым полугодием прошлого года их число выросло примерно в два раза. Доля таких атак в банках – 27%, финансовый сектор занимает третье место по этому показателю.

СМИ и организации, работающие в сфере слуг, заняли небольшую долю в общем объеме атак – 11% и 7% соответственно. Однако в целом их стали атаковать в пять с лишним раз чаще, чем в прошлом году.

За 6 месяцев 2023 г. объем фишинга вырос на 40%, более половины россиян получали вредоносную рассылку

МТС RED сообщает о результатах опроса по теме фишинговых рассылок. Опрос выявил, что в первом полугодии 2023 года 35%пользователей сталкивались с фишингом два и более раз в месяц, и еще 21,4% пользователей – раз в месяц. Вообще не получали фишинговых писем менее четверти респондентов. По данным аналитиков МТС RED, по сравнению с первым полугодием 2022 года общий объем фишинга вырос примерно на 40%.

Фишингом называется вид интернет-мошенничества, в ходе которого злоумышленники массово рассылают электронные письма или сообщения в мессенджерах, содержащие вредоносные вложения или ссылки. Чаще всего фишинг осуществляется от имени известных брендов или государственных учреждений. Целью таких атак является заражение компьютера или смартфона вредоносным ПО либо получение злоумышленниками конфиденциальной информации пользователей – логинов и паролей от учетных записей, персональных данных и данных банковских карт.

«Недостаточно внимательные пользователи в случае получения фишинговой рассылки рискуют скомпрометировать свои конфиденциальные данные, а также утратить доступ к личным аккаунтам в различных сервисах. Поэтому мы еще раз призываем всех к осторожности при посещении сайтов и не открывать вложения или ссылки в подозрительных письмах и сообщениях», –отмечает руководитель центра сервисов кибербезопасности компании МТС RED Андрей Дугин.

Фишинговые рассылки, с которыми столкнулись пользователи в первом полугодии 2023 года, преимущественно эксплуатируют стремление к быстрому заработку. Так, 48% участников опроса получили предложения вложить денежные средства в акции или проекты с высокой доходностью и еще 28% – купить товар с большой скидкой. Еще около 12% респондентов столкнулись с предупреждением о якобы неоплаченном штрафе, задолженности или нарушении законодательства.

Чаще всего в первом полугодии 2023 фишинговые письма распространялись от имени крупных банков и госорганов – на них совокупно пришлось 77,4% всех фишинговых рассылок. Еще 11,6% фишинговых писем были отправлены якобы от крупных промышленных предприятий. Чаще всего с помощью фишинговых рассылок злоумышленники пытались получить данные банковских карт граждан – опрос выявил 35,8% подобных случаев. Еще в 24,4% случаев целью инициаторов фишинга были паспортные данные, и в 17,9% случаев – логины и пароли для входа в онлайн-банк или иной сервис.

Компания F.A.C.C.T.

Тени исчезают в полдень

Эксперты компании F.A.C.C.T. выяснили, что вымогатели из преступной группы Shadow и хактивисты из Twelve являются частью одной хак-группы. В своих атаках на российские компании и организации обе группы используют не только схожие тактики, техники и инструменты, но и общую сетевую инфраструктуру. Однако, если Shadow движет финансовая мотивация – за расшифровку данных вымогатели требуют от жертвы выкуп в размере 140-190 млн рублей, то цель Twelve – саботаж: в ходе атаки они полностью уничтожают ИТ-инфраструктуру жертвы, не требуя денег.

Впервые активность группы Shadow, атаковавшей несколько крупных российских компаний, специалисты Лаборатории компьютерной криминалистики компании F.A.C.C.T. зафиксировали в феврале-марте этого года. За последние полгода жертвами вымогателей становились промышленные, логистические, энергетические компании. За расшифровку данных злоумышленники Shadow требуют от жертвы сумму в размере $1,5-2 млн., примерно 140-190 млн рублей по текущему курсу.

Хакеров отличает тщательная подготовка к атакам – они методично захватывают ИТ-инфраструктуру жертвы, похищают конфиденциальную информацию и на последнем этапе проводят полное шифрование инфраструктуры. Для Windows-систем вымогатели используют версию популярной программы-вымогателя LockBit, созданную с помощью одного из опубликованных в сентябре 2022 года билдеров. Для шифрования Linux-систем злоумышленники используют программу-вымогатель, созданную на основе опубликованных исходных кодов Babuk.

Для общения с каждой жертвой злоумышленники размещают в сети Tor панель с чатом, доступ в которую представитель атакованной компании получает при помощи персонального ключа из записки с требованием выкупа. Впоследствии общение с жертвой может проходить в Telegram-канале атакующих. Любопытно, что хакеры могут похищать сессии Telegram на компьютерах жертвы, благодаря чему члены банды могут получать информацию о ее действиях, список контактов сотрудников компании, а также напрямую писать в Telegram руководителям компании.

Параллельно с Shadow в феврале 2023 года были зафиксированы атаки на российские организации группы Twelve, целью которых являлось полное уничтожение ИТ-инфраструктуры жертвы. Именно эта группа – Twelve – весной 2023 года взяла на себя ответственность за кибератаку на структуры федеральной таможенной службы РФ, а в мае – на российского производителя гидравлического оборудования.

В своих кампаниях Twelve использовали также версию программы-вымогателя LockBit, но в текстовом файле для жертвы указывали название группы Twelve и не оставляли своих контактов для обсуждения выкупа. В своем Telegram-канале хактивисты заявляли, что их проект – «это ответ мира на российские кибератаки».

В ходе реагирований на атаки шифровальщика Shadow криминалисты F.A.C.C.T. установили, что действия атакующих технически небезупречны. В одной из атак был выявлен цифровой след, на который обратили внимание специалисты: атакующие допустили ошибку, набрав первоначально в своей консоли команду PowerShell на украинской раскладке клавиатуры. Атакующие допускали ошибки и при шифровании ИТ-инфраструктуры жертвы, впоследствии в других атаках корректировали свои действия.

Анализ атак Shadow и Twelve показал, что тактики, техники и инструменты, используемые в атаках, идентичны и в некотором смысле шаблонны, как будто, атакующие действуют в соответствии с разработанными внутренними «мануалами». Также при конфигурировании программ-вымогателей Twelve учитывался опыт ошибок, допущенных Shadow. Более того, в одной из атак Twelve была использована сетевая инфраструктура Shadow.

«Мы с уверенностью можем утверждать, что Shadow и Twelve являются частью одной группы, атакующей Россию, – говорится в опубликованном исследовании Лаборатории компьютерной криминалистики компании F.A.C.C.T. – Целью этой группы является нанесение максимального ущерба российским компаниям и организациям. При этом заметно, что у групп разная мотивация: где рационально с точки зрения атакующих требовать выкуп, они позиционируют себя как финансово мотивированные и действуют, как Shadow. В ином случае, если есть возможность получения резонанса, злоумышленники уничтожают инфраструктуру жертвы – и выступают, как Twelve».

В этом году программы-вымогатели останутся угрозой №1 для российского бизнеса – количество атак программ-вымогателей в России в этом году выросло на 50-60%.

Наиболее часто используемыми программами-вымогателями в России в первом полугодии 2023 года стали LokiLocker/BlackBit, Phobos, а также шифровальщики LockBit, Conti и Babuk. Жертвами чаще всего становятся российские ритейлеры, производственные, строительные, туристические и страховые компании. Средняя сумма выкупа колеблется от $10 000 до $100 000.

F.A.C.C.T. обнаружила с начала года более 2000 фишинговых сайтов для кражи аккаунтов в Telegram и WhatsApp

Пик активности киберпреступников пришелся на летние месяцы, а наиболее популярной темой для приманки вновь стали детские творческие конкурсы, к которым прибавились розыгрыши путевок в летние лагеря.

По данным аналитиков F.A.С.С.T. Digital Risk Protection, за семь месяцев текущего года было обнаружено 1 893 фишинговых ресурса, нацеленных на кражу аккаунтов пользователей в Telegram. Пиковыми месяцами для появления подобных страниц стали июнь и июль, когда было выявлено 369 и 589 мошеннических сайтов соответственно.

Напомним, что первая волна массовых “угонов” аккаунтов в мессенджере Telegram с помощью фишинга началась в декабре 2022 года. По одному из сценариев жертвы получали личное сообщение с просьбой поддержать на конкурсе детских рисунков крестницу или племянницу отправителя. Ссылка в сообщении вела на фишинговый ресурс с формой для авторизации через Telegram, после чего учетные данные жертвы оказывались в руках у преступников. После взлома аккаунта сообщения о конкурсе рассылались дальше – по адресным книгам жертв. После новогодних праздников количество фишинговых страниц, использующих данную схему, пошло на спад.

Но летом этого года мошенники вновь “взялись за старое” и принялись использовать тему детского творчества для кражи аккаунтов с еще большим размахом. Теперь злоумышленники просят проголосовать за победу ребенка в музыкальном или танцевальном конкурсе, чтобы он смог получить путевку в летний лагерь. Пост часто сопровождается фотографиями и логотипом IV Всероссийского музыкального конкурса, который на деле не имеет никакого отношения к мошеннической схеме в Telegram. Для охвата большей аудитории злоумышленники создают каналы со ссылками на фишинговые ресурсы, в которые сами добавляют жертв, если у тех нет соответствующего запрета в настройках. На середину августа с помощью платформы Digital Risk Protection, которая позволяет полностью автоматизировано выявлять незаконное использование брендов и других объектов авторского права, был обнаружен 31 активный “липовый” Telegram-канал.

Основной темой фишинговых страниц для кражи аккаунтов в WhatsApp стал детский классический балет – злоумышленники рассылали в личных сообщениях ссылки с украденных ранее учеток.

Впрочем, для кражи аккаунтов киберпреступники не ограничиваются темой детского творчества – с ноября 2022 года эксперты F.A.С.С.T. ежедневно выявляют и блокируют фишинговые ресурсы, которые требуют авторизации через Telegram для регистрации на разного рода сайтах, в группах получения бонусов для игр, призов, лайков в социальных сетях, приватных фото и премиум-аккаунтов в мессенджере.

Специалисты F.A.C.C.T. обращают внимание на то, что подобные схемы не приносили бы результатов, если бы пользователи применяли все инструменты безопасности в Telegram и WhatsApp, в том числе двухфакторную идентификацию и виртуальный пароль, обладали необходимыми знаниями в области цифровой гигиены.

«При взломе аккаунта в мессенджере опасность подстерегает не только пользователя, который доверчиво ввел свои данные на фишинговом ресурсе, но и его собеседников и участников общих с ним чатов. – комментирует Иван Лебедев, руководитель группы компании F.A.C.C.T. по защите от фишинга. – Летний всплеск количества фишинговых страниц может быть связан, в том числе с расширением партнерских программ мошеннических группировок и дальнейшим развитием автоматизации фишинга. Дополнительная опасность в краже аккаунтов для владельцев и администраторов Telegram-каналов – на взломанных ресурсах мошенники часто сразу публикуют посты о выгодном инвестировании, выманивая деньги у подписчиков».

Пользователям специалисты компании F.A.C.C.T. рекомендует включить встроенные функции безопасности Telegram и WhatsApp (2ФА, виртуальный пароль)­­­, проверять доменные имена подозрительных сайтов, никому не сообщать и не вводить на сторонних ресурсах коды из СМС и пуш-уведомлений, данные карты (ПИН и CVV-коды), персональные данные, не переходить по подозрительным ссылкам от неизвестных отправителей.

Компания «Доктор Веб»

Троян-загрузчик Fruity осуществляет многоступенчатое заражение Windows-компьютеров

Компания выявила атаку на пользователей Windows с применением модульной троянской программы-загрузчика Trojan.Fruity.1. С ее помощью злоумышленники способны заражать компьютеры различными типами вредоносных приложений в зависимости от своих целей. Для сокрытия атаки и повышения шансов на ее успех используется ряд приемов. Среди них – многоступенчатый процесс заражения целевых систем, применение безобидных программ для запуска компонентов трояна, а также попытка обойти антивирусную защиту.

Уже примерно год компания «Доктор Веб» регистрирует обращения пользователей с жалобами на заражение Windows-компьютеров вредоносной программой-шпионом Remcos RAT (Trojan.Inject4.57973). В ходе расследования этих инцидентов специалисты компании вскрыли атаку, в которой главная роль отведена многокомпонентной троянской программе-загрузчику Trojan.Fruity.1. Для ее распространения злоумышленники создают вредоносные сайты, а также специально подготовленные установщики различных программ. Среди них – инструменты для тонкой настройки работы процессоров, видеокарт и BIOS, утилиты для проверки состояния компьютерного оборудования и ряд других. Такие установщики служат приманкой и содержат не только интересующее потенциальную жертву ПО, но и самого трояна вместе со всеми его компонентами.

При попытке скачать ту или иную программу с поддельного сайта посетитель перенаправляется на страницу файлообменного сервиса MEGA, где ему предлагается загрузить zip-архив с троянским пакетом.

Когда ничего не подозревающая жертва извлекает из архива исполняемый файл и запускает его, начинается стандартный процесс установки. Однако наряду с искомой безобидной программой, которая отвлекает внимание пользователя, на компьютер попадает и Trojan.Fruity.1. Вместе с другими компонентами он копируется в ту же папку, что и программа-приманка.

Одними из «модулей» трояна злоумышленники сделали легитимные программы. В рассматриваемом примере Trojan.Fruity.1 внедрен в одну из библиотек языка программирования Python, для запуска которой используется интерпретатор python.exe с действительной цифровой подписью. Кроме того, были выявлены случаи применения файлов медиаплеера VLC и среды виртуализации VMWare.

Ниже представлен список файлов, связанных с трояном:

• python39.dll – копия библиотеки из пакета Python с внедренным в нее вредоносным кодом;
• python.exe – оригинальный интерпретатор языка Python для запуска модифицированной библиотеки;
• idea.cfg – конфигурация с данными о расположении полезной нагрузки;
• idea.mp3 – зашифрованные модули трояна;
• fruit.png – зашифрованная полезная нагрузка.

После их извлечения из установщика начинается многоступенчатый процесс заражения системы.

1 этап заражения. При запуске библиотеки python39.dll Trojan.Fruity.1 расшифровывает содержимое файла idea.mp3 и извлекает из него dll-библиотеку и шелл-код (код №1) для второй стадии. Он также считывает содержимое файла idea.cfg. Тот содержит строку с информацией о расположении полезной нагрузки, которую троян должен запустить. Полезная нагрузка может загружаться из интернета или располагаться на целевом компьютере локально. В данном случае используется локальный файл fruit.png, ранее извлеченный троянским установщиком.

2 этап заражения. Расшифрованный шелл-код (код №1) запускает командный интерпретатор cmd.exe в приостановленном состоянии. В память созданного процесса записывается информация о расположении полезной нагрузки (fruit.png), шелл-код для третьей стадии (код №2), а также контекст для его работы. Затем в образ расшифрованного на первом этапе dll-файла вносится патч, указывающий на адрес контекста в процессе. Далее происходит инжект этого dll-файла в процесс cmd.exe, после чего управление переходит библиотеке.

3 этап заражения. Инжектированная библиотека проверяет полученную строку с данными о расположении зашифрованной полезной нагрузки. Если строка начинается с аббревиатуры http, библиотека пытается скачать целевой файл из интернета. В противном случае она использует локальный файл. В данном случае библиотеке передается локальный путь до файла fruit.png. Это изображение перемещается во временный каталог, после чего запускается код №2 для его расшифровки. В файле fruit.png при помощи стеганографии скрыто два исполняемых файла (dll-библиотеки), а также шелл-код для инициализации следующей стадии (код №3).

4 этап заражения. После выполнения предыдущих шагов Trojan.Fruity.1 запускает код №3. С его помощью он пытается обойти детектирование антивирусами и помешать процессу своей отладки при анализе специалистами по информационной безопасности.

Троян пытается выполнить инжект в процесс msbuild.exe программы MSBuild. В случае неудачи попытка повторяется для процессов cmd.exe (командного интерпретатора Windows) и notepad.exe (программы «Блокнот»). В целевой процесс при помощи метода Process Hollowing внедряется одна из двух dll-бибилиотек, расшифрованных из изображения fruit.png, а также шелл-код для инициализации пятой стадии (код №4).

Затем во временном каталоге системы создается dll-файл со случайным названием, в который записывается содержимое расшифрованного исполняемого файла из того же изображения. Этот файл также инжектируется в целевой процесс. Однако при этом используется метод Process Doppelgänging, с помощью которого оригинальный процесс приложения в памяти подменяется вредоносным. В рассматриваемом случае библиотека представляет собой троянскую программу-шпион Remcos RAT.

5 этап заражения. При помощи внедренных в библиотеку шелл-кода (код №4) и dll-библиотеки Trojan.Fruity.1 устанавливает приложение python.exe в автозагрузку операционной системы. Также он создает в системном планировщике задачу на его запуск. Кроме того, Trojan.Fruity.1 добавляет это приложение в список исключений на проверку встроенным антивирусом Windows. Далее шелл-код записывает в конец файла python39.dll случайные данные таким образом, чтобы у него изменилась хеш-сумма и тем самым тот отличался от оригинального файла из троянского установщика. Кроме того, он модифицирует метаданные библиотеки, изменяя дату и время ее создания.

Несмотря на то, что в настоящее время Trojan.Fruity.1 распространяет шпионскую программу Remcos RAT, с помощью него злоумышленники способны заражать компьютеры и другими вредоносными программами. При этом те могут как скачиваться из интернета, так и распространяться вместе с Trojan.Fruity.1 в составе троянских установщиков ПО. В результате у киберпреступников появляется больше возможностей для реализации различных сценариев атак.

Специалисты «Доктор Веб» напоминают, что скачивать программное обеспечение необходимо только из заслуживающих доверия источников – с официальных сайтов разработчиков и из специализированных каталогов. Кроме того, для защиты компьютеров необходимо установить антивирус.

Объем утечек за полгода превысил общее число россиян

Компания «Qrator Labs»

Самым пострадавшим от DDoS-атак стал финансовый сектор

Qrator Labs, специализирующаяся на обеспечении доступности интернет-ресурсов и нейтрализации DDoS-атак, представляет статистику DDoS-атак во втором квартале 2023 года.

Во втором квартале 2023 года больше всего от DDoS-атак пострадал финансовый сегмент, на долю которого пришлось 44,34% всех атак на уровне L3-L4. Вторую и третью строчки заняли сегменты электронной коммерции и онлайн образования – 13,68% и 11,32% соответственно.

Углубляясь в детали сегментов, можно выделить следующее:

1. Наибольшее количество атак во втором квартале пришлось на банки. Их доля выросла почти на 30%. В частности, основной пик атак пришелся на апрель, в мае наблюдался небольшой спад, который компенсировался активным ростом в июне. В общей сложности на банки пришлось 37,6% всех зафиксированных атак во втором квартале. Данный рост в первую очередь связан с тем, что лето является активным бизнес-сезоном для многих, включая банки, которые начинают активно привлекать вклады и выдавать кредиты на путешествия, строительство и ремонт.
2. На втором месте оказались образовательные сервисы, на долю которых пришлось 11% всех атак. Повышенное внимание злоумышленников к этой сфере связано с окончанием учебного года, началом выпускных экзаменов и поступлением школьников в вузы. Кроме того, в начале лета обычно растет спрос на образовательные онлайн-программы на период школьных каникул, а значит, увеличивается конкуренция в этой сфере, что стимулирует спрос на организацию DDoS-атак.
3. Третье место практически поделили между собой сегмент электронных досок объявлений – 9,8% – и сфера онлайн-гейминга с 9,6% атак.

В абсолютных значениях количество атак продолжает расти. Резкое падение более чем на 30%, которое мы наблюдали в четвертом квартале прошлого года, продолжает отыгрывать свои позиции. За прошедшие шесть месяцев общее число снова выросло, увеличившись на 40%.

«В целом можно говорить о том, что в организации DDoS-атак присутствует фактор сезонности. Из года в год второй и третий квартал получают больше атак, чем первый и четвертый, что можно объяснить повышенной активностью злоумышленников в весенний период и в сентябре – в начале бизнес-сезона», – комментирует основатель Qrator Labs Александр Лямин.

Продолжительность DDoS-атак. Длительность атак во втором квартале показала отрицательную динамику. Средняя продолжительность уменьшилась на 29,15%, практически вернувшись к показателям четвертого квартала 2022 года, составив 47 минут. Аналогичный показатель в первом квартале составлял более одного часа.

Максимальная продолжительность продолжила снижаться, в этот раз уменьшившись с 42 часов в первом квартале до 20,7 часа во втором. В отличие от первого квартала, где самая продолжительная атака пришлась на банковский сектор, на этот раз под удар попала индустрия онлайн игр.

Самая продолжительная атака на банковский сектор составила всего 4,9 часов, оказавшись лишь на пятом месте. На первых трех позициях разместились игровые платформы (20,7 часов), онлайн медиа (17,3 часа) и сервисы путешествий (12 часов).

«Сокращение максимальной длительности DDoS-атак можно связать с тем, что злоумышленники сейчас не фокусируются на отдельных ресурсах, атакуя их в течение длительного периода времени. Если атака не результативна, они сразу переключаются на другие цели, которых у злоумышленников огромное количество, и не тратят свое время», – отмечает Александр Лямин.

Географическое распределение источников атак. Во втором квартале наибольшее количество заблокированных IP адресов пришлось на Россию – 8,2 млн. США стала вторым по популярности источником атак с результатом в более чем 3 млн заблокированных адресов. Замыкает тройку лидеров Китай, на долю которого пришлось 1,4 млн адресов.

Всего по итогам второго квартала в черный список было внесено почти 19,5 млн IP адресов, с которых совершались атаки. В ТОП стран также вошли Франция (830 тыс), Индия (638 тыс), Индонезия (573 тыс), Германия (543 тыс), Бразилия (524 тыс) и Великобритания (500 тыс).

Результаты исследований, полученные по итогам второго квартала, показали, что блокировка по гео IP стала менее эффективной. Причиной тому послужило поведение злоумышленников, которые для обхода блокировки стали использовать локальные источники трафика в странах, где располагаются их жертвы.

Самый большой ботнет. Во втором квартале 2023 года, по сравнению с предыдущим периодом, не было серьезных изменений с точки зрения источника атак. Самый значительный источник атаки включал в себя 136 590 устройств – почти столько же, сколько и в первом квартале 2023 года. Тем не менее, эта цифра почти в 2 раза больше, чем число устройств, задействованных в самом крупном источнике атаки во втором квартале 2022 года (84 000 устройств).

Статистика защиты от ботов. В сравнении с первым кварталом, количество атак ботов продолжило расти, достигнув 4 196 806 693 и превысив показатели первого квартала более чем на 1 миллиард. Больше всего атак ботов пришлось на май с показателем 1,48 млрд. заблокированных запросов ботов.

Как и в первом квартале, больше всего от активности ботов страдали сегменты беттинга (42,8%) и онлайн ритейла (22,2%). На их долю пришлось 65% всех атак. На третьей и четвертой позициях, на этот раз, оказались фармацевтика и финансовые организации, оттеснив недвижимость и онлайн-образование.

Крупнейшая атака ботов была в беттинге 21 мая. В этот день было зафиксировано 33 170 356 запросов ботов в данном сегменте. А наиболее быстрая атака произошла 6 июня в сегменте электронной коммерции, показатели которой составили 12 510 запросов ботов в пике (rps).

«Очевидно, с развитием интернета популярность вредоносных ботов продолжит расти, поскольку позволяет злоумышленникам за относительно небольшой бюджет совершать простые в эксплуатации, но довольно эффективные мошенничества. Этот тренд усилился после пандемии, (например, в 2022 году средний объем ботов на сайтах составил 40%) когда стало очевидно, что это вполне прибыльный полулегальный бизнес, который крайне сложно отследить и привлечь к ответственности», – резюмирует Александр Лямин.

Компания DLBI

Крупнейшие утечки данных за полгода

Российский сервис разведки утечек данных и мониторинга даркнета DLBI (Data Leakage & Breach Intelligence) проанализировал крупнейшие утечки данных, произошедшие в России за 6 месяцев 2023 года.

Всего за это время произошло 60 крупных утечек, содержащих 188,7 млн клиентских записей (содержащих уникальные клиентские e-mail или телефоны). При этом в первом полугодии прошлого года произошла 41 крупная утечка данных общим объемом 77,8 млн уникальных записей, что позволяет говорить о росте на 46% по числу утечек и в 2,4 раза по их объему.

Как и в первом квартале этого года, большинство утечек произошло из различных e-commerce проектов, а лидерами за полгода стали бонусная программа «СберСпасибо» (52,4 млн записей) и сеть «Спортмастер» (45,9 млн записей). Также среди крупнейших утечек можно отметить данные образовательной платформы «Российская электронная школа» (9 млн записей), Минстроя РФ (100 тыс. записей), «Агентства стратегических инициатив» (500 тыс. записей) и Почты России (100 тыс. записей).

При этом более 90% утечек, как и раньше, связаны с деятельностью украинских хактивистов и представляют собой дампы баз данных систем управления сайтом, в основном, «1С-Битрикс», выгрузка которых могла стать возможной в результате взлома с использованием уязвимостей в компонентах CMS, которые не были обновлены вовремя.

Как отметил основатель сервиса DLBI Ашот Оганесян, мы имеем дело со сформировавшейся тенденцией – тотального сканирования серверов в Рунете поисках известных уязвимостей. «При этом, как мы видим по списку утечек, российские компании (и большие, и малые) продолжают игнорировать эту проблему, а регуляторы ограничиваются декларативным ужесточением законодательства, которое на практике не применяется», – добавил он.

В исследовании рассматривались утечки, обнаруженные сервисом DLBI и опубликованные на сайтах в даркнете, а также закрытых и публичных форумах и телеграм-каналах в обычном интернете. В базу исследования включены как публикации массивов данных, так и сообщений о взломах с указанием объема украденных данных, а также предложений о продаже данных. Размер утечки определялся по числу уникальных телефонных номеров или e-mail адресов. При наличии отдельных баз телефонов или адресов, учитывалась большая база, а не их сумма в силу возможностей пересечения.

ГК InfoWatch

Уровень латентности утечек данных в РФ стал ниже общемирового

ГК InfoWatch представила исследование латентности утечек конфиденциальной информации за 2022-2023 годы.

Под термином «латентность» аналитики экспертно-аналитического центра группы компаний подразумевают отношение числа инцидентов, зафиксированных в СМИ, к их реальному количеству, о котором можно судить по появлению украденных баз данных в даркнете. Таким образом, латентность – это доля утечек, о которых не было рассказано на широкую публику (в СМИ, телеграм-каналах, публичных тематических рассылках и др.). Статистической базой работы стала информация, собранная с помощью ежедневного мониторинга открытых и закрытых источников, включая СМИ, сайты судов, открытых и теневых форумов, закрытых телеграм-каналов и т.д.

«В феврале прошлого года в мире было зафиксировано 418 утечек информации, большинство из которых (33%) приходились на США. Долю России в общем объеме также нельзя назвать низкой – она составила 11%, и это уверенное второе место. Замыкала тройку наиболее пострадавших стран Великобритания с 5%», – отметил руководитель экспертно-аналитического центра ГК InfoWatch Михаил Смирнов.

По словам эксперта, в рассматриваемом периоде информация чаще всего утекала из государственных учреждений (11%), банков, СМИ и промышленных компаний – по 9% в каждой категории. Польше половины от всего количества организаций (52%) – крупные, со штатом более 500 человек.

В открытых источниках аналитики не обнаружили информации о 308 из 418 утечек, произошедших в феврале 2022 года. Таким образом, их латентность в данном месяце составила 74% от общего числа всех утечек в даркнете за указанный период, что заметно больше показателя аналогичного периода текущего года (62%).

«Снижение латентности мы связываем с тем, что СМИ стали больше внимания уделять политической ситуации и состоянию мировой экономики, на которую влияют утечки. Кроме того, триггером для изменения ситуации стало значительное увеличение количества ИБ-инцидентов – до 800 эпизодов в месяц. Это прямое следствие продолжающейся кибервойны, интенсивность которой набирает обороты на фоне обострения политических событий», – подчеркнул Михаил Смирнов.

В распределении утечек по странам в феврале 2023 года также лидируют США и Россия с долями в 31% и 9% соответственно. На третьем месте Великобританию потеснила Индия, на которую пришлось 5% инцидентов.

Более значительные изменения произошли в структуре по отраслям – большинство утечек (13%) февраля 2023 произошло в торговых организациях, после которых следуют IT-компании с долей в 11%. В большинстве случаев инциденты происходили в средних и малых компаниях, на которые приходится 33 и 30% случаев соответственно.

Падение латентности утечек ускорилось в марте 2023 года – за этот период она составила всего 46% при росте количества инцидентов до уровня в 829 эпизодов, зафиксированных с помощью мониторинга даркнета. 35% из них произошли в США, 6% – в РФ, и 5% в Великобритании.

Как и в предыдущем месяце 2023, рекордсменами среди утечек в мире стали торговые организации (с долей в 13%), и IT-компании (12%). При этом целями злоумышленников становились, как правило, крупные и средние компании, на которые приходится 34% и 32% от общего количества инцидентов соответственно. В России же большинство утечек произошло в IT-секторе, СМИ и в государственных организациях.

Стоит отметить, что динамика латентности утечек конфиденциальных данных в России и мире имеет одинаковую направленность. Причем, если российские показатели были выше общемировых в рассматриваемых периодах прошлого года (93% и 73% в феврале, 85% и 59% в марте, 67% и 54% в августе, 86% и 63% в октябре соответственно), то в 2023 году ситуация изменилась на противоположную. В феврале и марте текущего года общемировая латентность была на уровнях 62% и 64%, а в РФ она составляла более скромные 54% и 40% соответственно.

По результатам исследования были сделаны следующие выводы:

На фоне увеличения количества утечек конфиденциальной информации из российских организаций в 2023 году в полтора раза (69 инцидентов в феврале против 46 за тот же период прошлого года), произошло заметное снижение их уровня латентности. Если в рассматриваемых в исследовании четырех месяцах 2022 года ее значение колебалось в диапазоне от 73 до 54%, то в феврале-марте текущего года оно составляло уже 56% и 40% соответственно. По мнению экспертов, это свидетельствует о росте внимания российского общества к киберугрозам, которые значительно возросли на фоне сложной политической обстановки.

Подобная тенденция характерна и для мира в целом, где снижение латентности происходило уже на фоне двукратного увеличения количества утечек конфиденциальной информации в 2023 году (829 инцидентов в марте против 323 за тот же период 2022 года).

^[1] Анонимизированные данные, полученные в результате работы симулятора фишинговых атак на платформе Kaspersky Automated Security Awareness Platform с января по июнь 2023 года. Были проанализированы данные тестирования более 35 тысяч сотрудников компаний, работающих в России.

Ключевые слова: утечки данных, фишинг, киберугрозы, троян, даркнет, ботнет, DDoS-атаки

Подпишитесь на журнал
Купите в Интернет-магазине

Комментарии могут оставлять только зарегистрированные пользователи