Основные киберугрозы 1 квартала 2023 года

Привет! Меня зовут Александр Новиков. Я руководитель Службы поиска и анализа киберугроз информационной безопасности Группы «Иннотех». Наша команда продолжает собирать информацию об активностях злоумышленников. В этой статье я расскажу, с какими именно вызовами по информационной безопасности столкнулись российский бизнес и банковская отрасль в 1 квартале 2023 года.

Основные киберугрозы 1 квартала 2023 года

Главное

Основная повестка в информационном поле ИБ остаётся неизменной – противостояние России и Запада. Количество и мощность атак неуклонно растёт, а тема ИБ всё чаще становится предметом обсуждения первых лиц государств.

Первый квартал 2023 года запомнился несколькими резонансными компьютерными атаками, совершенными на российские предприятия различных отраслей. В частности, в одной из серии атак злоумышленники шифровали устройства жертв и оставляли записку, в которой открыто заявляли о своей политической мотивации.

Утечки баз данных информационных систем, в которых содержатся конфиденциальные сведения о российских гражданах и организациях, продолжают оставаться на высоком уровне. Данный факт вызывает серьезную обеспокоенность, так как они могут быть использованы злоумышленниками для совершения более сложных атак, в том числе с применением методов социальной инженерии. Также присутствует высокий риск использования утекших данных для шантажа жертв.

Объём обнаруженных уязвимостей в Q1 увеличился по сравнению с предыдущим кварталом. Также было зафиксировано несколько резонансных уязвимостей и эксплойтов к ним, которые были моментально взяты на вооружение злоумышленниками.

Новым вектором угроз стали фишинговые кампании, направленные на пользователей мессенджера Telegram, а простота и быстрота осуществления подобного вида атак за короткое время сделали их массовыми.

Основные киберугрозы 1 квартала 2023 года

Атаки на финансовый сектор

В Q1 2023 фиксировалась преступная активность, нацеленная на финансовый сектор ряда стран. Значительная часть направлена на клиентов финансовых организаций. В атаках использовалось как новое ВПО, так и обновленные версии уже известного ранее.

  • В январе наблюдался рост фишинговых ресурсов инвестиционной тематики. Злоумышленники предлагали жертвам повысить доход через вложения в финансовые инструменты. Например, пройти предварительный опрос или же сразу зарегистрировать «учетную запись» в сервисах, которые якобы принадлежали крупным российским компаниям.

Основные киберугрозы 1 квартала 2023 года
Основные киберугрозы 1 квартала 2023 года
Основные киберугрозы 1 квартала 2023 года
  • В начале 2023 года был обнаружен PixPirate – новый банковский троян для Android, нацеленный на бразильские банки. Он может выполнять функции системы автоматического перевода (ATS) , позволяющие =злоумышленникам автоматизировать процесс денежных переводов через платформу мгновенных платежей Pix, активно используемую несколькими бразильскими банками.
  • В начале января появилось исследование атаки, в результате которой неизвестные хакеры взломали IT-инфраструктуру колумбийского банка, используя украденную у него информацию для создания убедительных фишинговых писем. В руки злоумышленников попали данные клиентов.
  • В Google Play под видом финансовых приложений распространялись apk, после установки которых похищались конфиденциальные данные жертв. Жертвам демонстрируется вводящая в заблуждение информация, либо предлагается пройти предварительный опрос, а затем зарегистрировать учетную запись, указав персональные данные.
  • В начале февраля в мексиканских банках было обнаружено новое ВПО FiXS, заражающее банкоматы с установленной ОС Windows. Одной из примечательных характеристик FiXS является его способность выдавать наличные через 30 минут после последней перезагрузки банкомата.

Активные APT-группировки

Особенность целенаправленных атак (APT) заключается в том, что злоумышленников интересует конкретная компания, государственная организация или целая отрасль. Это отличает данную угрозу от массовых хакерских атак.

Целенаправленные атаки обычно хорошо спланированы и включают несколько этапов — от разведки и внедрения до сокрытия следов присутствия. Как правило, в результате такой атаки злоумышленники закрепляются в инфраструктуре жертвы и остаются незамеченными в течение весьма продолжительного времени.

Основные тренды

  • Появление новых неатрибутированных APT-угроз (Advanced Persistence Threat) .
  • Мотивом APT-группировок, атакующих российские организации, является шпионаж.

  • Основные цели – государственные учреждения.

  • При распространении фишинговых писем используется

    государственная тематика.

  • APT-группировки, нацеленные на организации из России, улучшают

    свои техники и обновляют арсенал используемого ВПО.

Активные APT-группировки, атакующие РФ

YoroTrooper

YoroTrooper нацелен на правительства по всей Восточной Европе по крайней мере с июня

2022 года. Атаки на Россию зафиксированы в августе, сентябре и декабре 2022. Чтобы обмануть своих жертв, злоумышленник регистрирует вредоносные домены с опечатками, делая их похожими на легитимные домены организаций СНГ для размещения вредоносных артефактов.

Шпионаж является основной мотивацией группировки.

На данный момент YoroTrooper нельзя однозначно атрибутировать с какой-либо из уже известных групп. Злоумышленники являются русскоговорящими, но не обязательно проживающими в России или ее гражданами. Кроме того, в некоторых случаях целями YoroTrooper являются машины с установленным русским языком, что указывает на то, что группа нацелена на русскоговорящих людей.

Первоначальные векторы атаки — фишинговые электронные письма, содержащие вредоносное вложение с заманчивым названием, представляющим интерес для стран СНГ, либо с общим названием, типа «вложение. rar». Артефакты, похожие по структуре и содержимому на те, что использовались в атаках YoroTrooper, были найдены на VirusTotal исследователями из «Qi An Xin». Временной диапазон атак на Россию также совпадает – с сентября по декабрь 2022 года. В числе целей вероятно были Федеральное агентство по делам СНГ (Россотрудничество) и Министерство внешних связей Астраханской области.

Новая APT

В Q1 2023 зафиксированы атаки, направленные на правительственные, сельскохозяйственные и транспортные организации, расположенные в Донецке, Луганске и Крыму. На данный момент прямой связи кода и данных с какими-либо известными ранее кампаниями не выявлено.

Предполагается, что на начальном этапе атаки злоумышленники используют целевой фишинг по электронной почте. В атаках использовались файлы-приманки, текст которых освещал события государственной тематики.

Компьютеры заражались через ранее неизвестный бэкдор PowerMagic новым вредоносным фреймворком CommonMagic. Хотя ВПО и используемые в нем техники не отличаются особой сложностью, они достаточно эффективны.

Вредоносные действия, выполняемые в ходе атак, позволяют полагать, что основной целью злоумышленников является шпионаж.

Lazarus (КНДР)
Группа активна по крайней мере с 2009 года. В числе целевых атакуемых стран неоднократно была замечена Россия. Последний раз атаки на РФ были замечены в Q3 2022– аналитиками описывалась атака группы Andariel, входящей в состав Lazarus.

Результатом атак было шифрование файлов с использованием шифровальщика Maui.

В Q1 2023 появилось исследование нового бэкдора WinorDLL64, который специалисты ESET с низкой степенью достоверности относят к группе Lazarus, основываясь на целевом регионе и совпадении как в поведении, так и в коде с известными образцами Lazarus.

Mustang Panda (Китай)

Группа занимается шпионажем и впервые была замечена в 2017 году. На фоне конфликта в Украине в Q2 2022 фиксировалось учащение атак китайских проправительственных APT- группировок на различные предприятия РФ. Одна из идентифицированных кампаний получила название Twisted Panda, за ней, предположительно, может стоять Mustang Panda.

В кампании, начавшейся в январе 2023 года, группа начала использовать новый бэкдор, получивший название MQsTTang.

Kimsuky (КНДР)

Группа осуществляет атаки с целью шпионажа как минимум с 2012 года. Россия является одной из целевых стран. Последний раз атака на РФ была зафиксирована в Q1 2022 – целями злоумышленников были сотрудники Министерства иностранных дел Российской Федерации.

Недавно было обнаружено, что группа Kimsuky использует альтернативный поток данных (ADS) для сокрытия своего ВПО. Использование этого метода приводит к тому, что при проверке файла в каталоге его размер отображается как 0 байт.

Вредоносное ПО

Финансовый сектор

Среди основных угроз для финансового сектора можно отметить мобильные банковские трояны, а также фишинговые рассылки многофункционального ВПО, нацеленного в том числе на хищение средств.

Основные киберугрозы 1 квартала 2023 года

Вымогатели

В первом квартале была зафиксирована активность более 160 различных семейств шифровальщиков. Наиболее активной из них была группировка LockBit, на счету которой оказалось 272 жертвы.

Основные киберугрозы 1 квартала 2023 года

Уязвимости

Зарегистрированы уязвимостей в мире – 7885 CVE (за Q1 2023). По сравнению с Q4 2022 количество зарегистрированных уязвимостей увеличилось примерно на 48% (за Q4 2022 было зарегистрировано 5310 уязвимостей) . Наибольший интерес представляют 0-day уязвимости, опубликованные в открытом доступе, так как по статистике, продвинутым APT-группировкам требуется менее суток для написания эксплойта. Также важно отметить, что с момента публикации в открытом доступе PoC/эксплоита проходит в среднем 2 суток, после чего уязвимость начинает активно эксплуатироваться злоумышленниками.

Основные киберугрозы 1 квартала 2023 года

Топ уязвимостей Q1 2023

Основные киберугрозы 1 квартала 2023 года

Утечки

Утечки данных являются одной из самых опасных угроз для компаний. Помимо рисков проникновения в инфраструктуру, наличие утечек также наносит ощутимый удар по репутации и финансовому состоянию любой организации.

  • 18 января специалисты DLBI сообщили, что в 2022-м году различные утечки затронули данные 75% российских граждан.

  • Исследование InfoWatch утверждает, что количество утечек в российских компаниях финансового сектора за прошлый год увеличилось в 1,7 раза, а всего за год утекло более 44 млн записей персональных данных и платежной информации.
  • 16 марта Роскомнадзор сообщил, что в 2023-м году в открытый доступ уже попало 165 миллионов записей, относящихся к гражданам РФ. Всего за этот период было зафиксировано 27 утечек.

Основные киберугрозы 1 квартала 2023 года

Supply Chain

По оценкам специалистов, 98% организаций имеют партнеров, которые подвергались взлому в течение последних двух лет. Кроме того, согласно исследований, 87% используемых в рабочей среде образов контейнеров имеют критические либо очень серьезные уязвимости.

На протяжении Q1 сохранялся существовавший ранее тренд на публикацию большого количества вредоносных пакетов в публичных репозиториях. Другой потенциальной опасностью для осуществления supply chain атак является увеличение случаев непреднамеренной публикации секретов, таких как учетные данные и приватные ключи, в коммитах Github.

В первом квартале 2023-го года был представлен фреймворк Open Software Supply Chain Attack Reference (OSC&R) , разработанный по аналогии с MITRE ATT&CK. Он создан для изучения и анализа тактик, техник и процедур злоумышленников, применяемых непосредственно в атаках на цепочки поставок. Также сама MITRE выпустила прототип облачной платформы Risk Model Manager (RMM) для фреймворка System of Trust, с помощью которого можно проводить оценку рисков для поставщиков оборудования, программного обеспечения и услуг.

Основные киберугрозы 1 квартала 2023 года

Спам и фишинг

Вид мошенничества, в котором используется социальная инженерия, с целью кражи личных данных пользователей. Мошенники полагаются на невнимательность пользователей, вводят их в заблуждение с помощью поддельных сайтов, адресов электронных почт и сообщений. Обманным путем мошенники заставляют жертв предоставлять личные или конфиденциальные данные компаний.

Фишинговые атаки становятся все более продуманными и приводят к большим финансовым и репутационным потерям.

В большинстве случаев фишинговые сайты визуально очень похожи на легальные. Мошенники используют логотипы, корпоративные цвета, расположение контента в точности как на официальном ресурсе.

Основные тренды

В Q1 2023 главным трендом стал ChatGPT. Мы зафиксировали большой всплеск регистрации доменов с упоминанием «gpt», «chatgpt», «openai». Наиболее распространенными схемами, реализуемые злоумышленниками, можно выделить следующие:

  • Продажа несуществующих аккаунтов ChatGPT. Для оплаты создаются фейковые страницы для оплаты, с помощью которых получают платежные данные клиентов и похищают их денежные средства;

  • Схема с распространением вредоносных файлов под видом приложения ChatGPT. Нами зафиксировано несколько подобных инцидентов, причём данное ВПО слабо детектируется популярными антивирусами.

Также сохраняет актуальность мошенническая активность, направленная на кражу Telegram-аккаунтов. Шаблон схемы остается прежним, меняется только легенда для распространения и заманивания на фишинговые сайты.

Как и в Q4 2022 лидирующими доменными зонами остаются .ru, .site и .online. На них приходится более 94% от общего количества обнаруженных фишинговых ресурсов.

DDOS-атаки

Мы продолжаем наблюдать увеличение количества DDoS-атак на российские информационные ресурсы со стороны политически-мотивированных хактивистов. Атаки в основном были направлены на официальные сайты банков и ресурсы, которые используются для предоставления услуг и сервисов.

Авторы DDoS-атак на российские организации все чаще осуществляют их для отвлечения внимания от других действий по взлому и кражи данных.

Для проведения DDoS-атак против российских организаций в начале 2023 года использовался специальный ботнет, состоящий как минимум из 55 000 скомпрометированных устройств, среди которых были ПК, смартфоны, серверы и маршрутизаторы.

В январе наблюдалось большое количество DDoS-атак на сферу электронной коммерции в России.

  • 6 января зафиксированы сбои в работе Всероссийского банка развития регионов.
  • С 23 января фиксировались DDoS-атаки, направленные на операторов фискальных данных (ОФД).

28 января компания BI.ZONE подверглась рекордной по мощности DDoS-атаке с пиком в 1,3 Тб/с

Это новый рекорд для российского сегмента сети Интернет. До января 2023 года пик мощности DDoS-атак достигал уровня в 1 Тбит/сек.

В феврале был зафиксирован всплеск DDoS-атак на инфраструктуру ритейлеров.

  • 24 февраля из-за DDOS-атаки наблюдались сбои в работе Точка банк.
  • В середине февраля компания Cloudflare заблокировала мощнейшую DDoS-атаку за всю историю наблюдений: 71 млн запросов в секунду. Предыдущий зарегистрированный в июне 2022 года рекорд составлял 46 миллионов запросов в секунду. DDoS был направлен против ряда целей, включая игровых провайдеров, платформы облачных вычислений, криптовалютные и хостинговые компании.


В марте началась волна DDoS-атак на банки и платежные системы.

  • 13 марта Росбанк сообщил о возможных сбоях в работе приложений, интернет- банка и сайта из-за крупной DDoS-атаки. Банк продлил работу офисов, чтобы клиенты могли подать заявления на срочные платежи в бумажном варианте.
  • 14 марта с теми же проблемами столкнулся Уральский банк реконструкции и развития (УБРиР) – из-за DDoS-атаки наблюдалась проблема со входом на сайт банка и интернет-банк.
  • 15 марта из-за DDoS-атаки в течение нескольких часов были недоступны Ак Барс Онлайн, сайт akbars.ru и другие сервисы банка.
  • 17 марта Уралсиб сообщил о затяжной DDoS-атаке на инфраструктуру банка, из-за чего кредитная организация была вынуждена временно отключить часть каналов обслуживания.

Эксперты StormWall выяснили, что в январе 2023 года предельная мощность DDoS-атак на финансовый сектор возросла примерно на 92%, а общее число DDoS-атак увеличилось на 120% в сравнении с показателями января прошлого года

Прогнозы

Наблюдаемые и анализируемые данные дают нам основания полагать, что в следующем квартале количество угроз ИБ будет оставаться на прежнем высоком уровне.

Злоумышленники за последний год накопили большой опыт при совершении компьютерных атак на реальные инфраструктуры жертв. В свободном доступе также оказалось большое количество конфиденциальных данных, которые могут быть легко использованы при совершении атак с применением методов социальной инженерии и шантажа. Мы считаем, что впереди нас ждёт еще много резонансных компьютерных атак, крупных утечек данных, и рекордных по мощности DDoS-атак.

  • Активность хактивистских групп останется на прежнем высоком уровне. Возможно мы увидим использование активности данных групп для прикрытия более сложных атак со стороны APT группировок.

  • 0-day уязвимости продолжат пользоваться популярностью у продвинутых злоумышленников.

    Ожидаем увеличение количества компьютерных атак с использованием уязвимости Microsoft Outlook CVE-2023- 23397.

  • Постоянное увеличение количества жертв фишинговых атак не приводит к снижению его популярности у злоумышленников. Данный способ остаётся высокоэффективным и мы ожидаем увеличения количества подобного рода атак в новом квартале.

  • Ожидаем рост количества атак шифровальщиков и вайперов на российские компании.
  • Продолжатся supply chain атаки. ПО с открытым исходным кодом останется приоритетной целью для злоумышленников.

  • Ожидаем еще больше резонансных утечек в Q2 2023. Главными источниками по прежнему останутся дочерние организации и подрядные компании, уровень безопасности которых находится на относительно низком уровне.
  • Риск атак со стороны APT-группировок остается на прежнем высоком уровне. Помимо известных всем китайских и северокорейских группировок, атаковать российские предприятия могут и западные APT, которые сложно атрибутировать.

  • Продолжатся массированные DDoS-атаки на российские онлайн-ресурсы.

44
2 комментария

сколько мошенничества развелось и мошенники все изощреннее становятся

Это действительно так, увы.