Каждая пятая атака происходит с использованием утекших данных пользователей
В 20% киберинцидентов злоумышленники получали первоначальный доступ к инфраструктуре с помощью легитимных учетных данных. Достать такие актуальные сведения преступникам несложно.
За первые десять месяцев 2023 года данные российских компаний попадали в телеграм-каналы и на теневые форумы почти в три раза чаще, чем за аналогичный период в прошлом году. Этот метод проникновения в периметр организации позволяет атакующим продолжительное время оставаться незамеченными в скомпрометированной сети.
Ситуацию осложняет то, что злоумышленники без труда получают доступ к инструментам компрометации. Все большей популярностью пользуется ВПО, продаваемое по модели malware-as-a-service. Этот способ дистрибуции позволяет проводить успешные атаки даже технически неподготовленным преступникам.
Также на ландшафт киберугроз повлияла геополитическая ситуация. Например, если ранее многие разработчики ВПО запрещали покупателям использовать его для атак на Россию и страны СНГ, то сейчас это ограничение не всегда действует. Более того, сами покупатели стали чаще модифицировать вредоносные программы, после чего атаки с использованием купленного на теневых ресурсах ПО становятся еще более популярными. Другой пример — из-за геополитической обстановки и конфликтов внутри киберпреступных групп в сети появились исходные коды программ-вымогателей, которые и раньше были востребованы, а теперь пользуются большим спросом среди злоумышленников.
Чтобы повысить эффективность атак, киберпреступники меняют методы и расширяют возможности инструментов. Так, на теневых площадках стало активно распространяться ВПО, совместимое со всеми основными операционными системами. Это увеличивает масштаб распространения угроз, не меняя при этом затраты преступников на кибератаки.
Появляются новые способы мотивировать компании-жертвы платить выкуп. Некоторые группировки, нацеленные на российские организации, начали публиковать данные о жертвах на специально созданных страницах в интернете: например, группировка Enigma Wolf через подобный сайт позволяла жертве даже купить пароли для расшифровки.
Злоумышленники также чаще экспериментируют с фреймворками постэксплуатации. На замену Cobalt Strike для атак на российские организации приходят Sliver и Mythic. Использование менее популярных фреймворков позволяет эффективнее обходить средства защиты.
Кроме того, увеличилось количество атак с применением ВПО, которое распространяется через USB-устройства. Так атакующие получают доступ в том числе к изолированным сетям.
"Фишинговые рассылки остаются одним из главных методов получения первоначального доступа в ходе целевых атак. Мы обнаружили, как с помощью одной такой рассылки с применением ВПО атакующие скомпрометировали до 400 компаний. Чаще всего злоумышленники распространяют таким образом стилеры и средства удаленного доступа", — рассказал Олег Скулкин, руководитель управления киберразведки BI.ZONE.