На Россию нападают хакеры-наемники из Азии и Восточной Европы

Об этом сообщила пресс-служба ООО "Солар" (ГК "Солар" входит в ПАО "Ростелеком") со ссылкой на исследование экспертов компании, проанализировавших 30 случаев успешных атак. С января по июнь 2024 г., по данным компании, около 60% успешных целевых кибератак на российские компании и ведомства проводились профессиональными хакерами-наемниками или группировками. Годом ранее, за тот же период, большую часть хакерских атак совершали киберхулиганы и хактивисты.

https://www.comnews.ru/content/234491/2024-07-26/2024-w30/1008/koliches…

Отчет построен на данных расследований, проведенных командой Solar 4RAYS с января по июнь 2024 г. Исследование содержит информацию об атакованных отраслях, целях злоумышленников, их техниках и тактиках. Также в отчете представлены основные характеристики обнаруженных экспертами кибергрупировок. Всего за отчетный период разобрано более 30 инцидентов, связанных с проникновением в ИТ-инфраструктуру различных компаний и организаций.

Согласно исследованию, уровень технической "подкованности" и квалификации среди злоумышленников растет, все чаще заявляют о себе профессиональные хакеры, атакующие цели по заказу. Так, в первой половине 2023 г. они совершили 10% всех расследованных атак, а в 2024 г. уже 44%. Профессионалы-наемники в 2024 г. обогнали мошенников (28%), хакерские группировки (16%) и автоматические сканеры (12%). Лидеры 2023 г. из числа хактивистов и киберхулиганов вообще пропали из поля зрения экспертов. Заказчиками взломов часто становятся правительства других стран.

Главная цель злоумышленников - кибершпионаж. Заполучив нужную информацию, хакеры стараются нанести как можно больше ущерба инфраструктуре жертвы, шифруя данные без требования выкупа. Чаще всего жертвами становятся государственные организации (31% расследованных случаев атак), компании в сфере промышленности (22%), телеком (10%) и ИТ-разработка (10%).

https://www.comnews.ru/content/234475/2024-07-25/2024-w30/1010/gk-solar…

Самыми популярными методами проникновения в систему стали скомпрометированные аккаунты компаний (43%) и уязвимости в вэб-приложениях (43%). Популярный в 2023 г. фишинг (тогда его использовали в 31% проанализированных атак) в 2024 г. применяли всего в 7% случаев. Средняя длительность атак (с момента проникновения в систему до момента обнаружения активности) составила от нескольких дней до полугода, при этом каждый третий инцидент длился меньше недели.

Точно определить национальность хакеров экспертам не удалось, но большинство из них (включая группировки Lifting Zmiy, Shedding Zmiy, Moonshine Trickster, Morbid Trickster, Fairy Trickster) - выходцы из Восточной Европы или (группировка Obstinate Mogwai) Азии. Происхождение двух хакерских групп (NGC6160 и NGC4020) установить пока не удалось.

https://www.comnews.ru/content/234219/2024-07-09/2024-w28/1008/lifting-…

Инженер группы расследования инцидентов Solar 4RAYS ГК "Солар" Геннадий Сазонов рассказал, что перемены в способах проникновения злоумышленников в системы (рост количества проникновений через взломанные аккаунты) связан в первую очередь с большим количеством утечек персональных данных из различных организаций.

"Хакеры всегда использовали взломанные аккаунты для проникновения в инфраструктуру. Но этот способ был не так популярен, как фишинг или эксплуатация уязвимостей в публично доступных веб-приложениях, так как требовал дополнительных действий по добыче учетных данных", - отметил Геннадий Сазонов.

С ним согласен представитель ООО "Гарда" Лука Сафонов. Он отметил, что метод эксфильтрации данных из агрегаторов утечек, биржи логов и с троянов-стилеров (password spraying attack) не новый, но все еще эффективный.

По словам Геннадия Сазонова, злоумышленники время от времени обращаются к сотрудникам компаний-целей с предложением продать им доступ или рассылают им фишинговые письма с троянами-стикерами или вредными ссылками.

"В некоторых случаях хакеры могут сохранить учетные данные от предыдущего взлома, - рассказывает он. - И если команда защитников забудет их сменить, то они могут быть использованы в новой атаке".

Другим направлением для атак, таким же популярным, как и атаки через аккаунты, согласно исследованию экспертов ГК "Солар", являются веб-приложения. Инженер ООО "Монт" (Mont) Дмитрий Наумов рассказал, что веб-приложения, даже внутрикорпоративные, бывают доступны извне. "Обычно это связано с особенностями сетевой архитектуры или сделано для удобства ИТ-отделов компаний. Это дает злоумышленникам дополнительный вектор атаки иными словами, оставлять веб-сервер без наблюдения нельзя", - рассказал он.

Чтобы защитить веб-приложения, Дмитрий Наумов порекомендовал пользоваться сочетанием фаерворла веб-приложений (web application firewall, WAF), EDR-решений (Endpoint detection and response) и центров мониторинга информационной безопасности (SOC).

"Комбинация WAF, EDR и SOC превратит веб-приложения из самого уязвимого звена в ИТ-инфраструктуре компании в одно из самых защищенных", - заключил Дмитрий Наумов.

Геннадий Сазонов обратил внимание, что некоторые группы хакеров нацелены на сбор и выгрузку чувствительной информации из инфраструктуры жертвы, а в случае успеха или обнаружения стараются нанести как можно больший ущерб, шифруя данные пострадавшей компании. Это позволяет им замести часть следов и затруднить будущее расследование.

Это косвенно свидетельствует о высоком профессионализме злоумышленников, строго выполняющих условия заказчиков и не пытающихся заработать легких денег с помощью вымогательства. Однако, по мнению Луки Сафонова, это может означать обратное. Он считает, что большую часть атак проводят любители, использующие инструменты и технические решения, созданные профессионалами.