Разбираем актуальные киберугрозы для российского бизнеса в 3 квартале 2022 года

Привет! Меня зовут Александр Новиков. Я руководитель Службы исследований, кибераналитики и развития Группы «Иннотех». Как одна из крупнейших ИТ-компаний страны, мы регулярно имеем дело с большим количеством киберугроз. Ввиду нестабильных геополитических факторов, в этом году наша работа стала еще более интенсивной. В этой статье я расскажу, с какими именно угрозами столкнулись как «Иннотех», так и российский бизнес в целом в 3 квартале 2022 года.

Главную роль в выборе целей для кибератак продолжает играть нестабильность на геополитической арене. Злоумышленники атакуют крупные компании и социально значимые организации, а затем публикуют в открытом доступе украденные базы данных, с целью создания общественного резонанса. Мошенники используют эти данные в фишинговых и скам кампаниях. Особый резонанс в Q3 2022 приобрела лжеутечка мобилизационных списков Министерства обороны. Файл оказался фейком, собранным из баз данных, слитых ранее. Публикация подобных данных способна породить панику и дестабилизировать обстановку в обществе

Третий квартал 2022 года отметился критичными уязвимостями в продуктах компаний Microsoft, Google, Vmware, Apple. Негативной тенденцией можно отметить появление всё большего количества 0day уязвимостей, которые активно эксплуатируются злоумышленниками.

В отчетном периоде мы наблюдали снижение количества атак шифровальщиков на российские компании. Возможно, это связано со сложностью осуществления подобного рода атак и недостатком нужной квалификации у хактивистов.

В случае с DDoS-атаками картина противоположна. Злоумышленникам удалось оказать влияние на онлайн-ресурсы многих крупных российских компаний, в том числе финансового сектора.

Атаки типа supply chain и relationship по-прежнему в тренде у злоумышленников. Компании, занимающиеся разработкой ПО, являются привлекательной целью для них. Компрометация инфраструктуры такой компании создает точку проникновения в корпоративные сети множества клиентов.

• В Q3 2022 фиксировалась активность нескольких киберпреступных групп, связанная с атаками на финансовый сектор.

• Большинство вредоносных кампаний имели массовый характер, жертвами являлись организации из разных стран по всему миру. В атаках злоумышленники используют как уже известные инструменты, так и новое уникальное ВПО.

• 23 августа проукраинская хакерская группа 2402 сообщила в своем Telegram канале о взломе компании Right Line крупнейшего поставщика ПО в сфере онлайн-банкинга в России и СНГ. В результате взлома злоумышленниками было выложено в открытый доступ 500 ГБ данных: резервные копии исходных кодов продуктов компании, внутренняя документация, служебные документы. Утечка также содержит информацию о различных продуктах компании. Среди известных — СБП-Коннект, платежный шлюз Right Payments, система защиты транзакций 3D-Secure, система токенизации Right Tokenization, проект «Цифровой рубль». Клиентами компании являются Тинькофф Банк, Альфа-Банк, Газпромбанк и другие банки РФ.

  
  

• 13 сентября на хакерском форуме Breached злоумышленник под псевдонимом leakyleakyleak опубликовал данные, которые, по его словам, относятся к компании ЭЛТ-ПОИСК – IT-компания в сфере FinTech/InsurTech. Среди партнеров ЭЛТ-ПОИСК около 40 страховых компаний (в том числе АльфаСтрахование, ВСК, Росгосстрах, РЕСО-Гарантия, Ингосстрах, Ренессанс) и около 20 банков.

• Специалисты Fox IT обнаружили в Google Play приложения Mister Phone Cleaner и Kylhavy Mobile Security, распространяющие новую версию банковского трояна SharkBot, способного похищать учетные данные со взломанных устройств и обходить механизмы многофакторной аутентификации. Приложения, под которые маскировался троян, были установлены более 60 000 раз.

Особенность целенаправленных атак (APT) заключается в том, что злоумышленников интересует конкретная компания, государственная организация или целая отрасль. Это отличает данную угрозу от массовых хакерских атак. Целенаправленные атаки обычно хорошо спланированы и включают несколько этапов — от разведки и внедрения до сокрытия следов присутствия. Как правило, в результате целенаправленной атаки злоумышленники закрепляются в инфраструктуре жертвы и остаются незамеченными в течение весьма продолжительного времени.

• Целевые фишинговые письма – основной вектор APT-атак на Россию.

• APT-группировками по-прежнему используется тематика конфликта России и Украины при распространении фишинговых писем. Этот тренд был отмечен аналитиками и в предыдущем квартале.

• APT-группировки, атакующие организации из России, исследователи относят к северокорейским и китайским хакерам.

• Основные цели – государственные, финансовые, военные учреждения, НИИ.

• В ходе атаки киберпреступники в основном используют известные ранее вредоносные программы класса backdoor, а также стандартные техники развития атаки и обхода детектирования антивирусных решений.

На фоне геополитической нестабильности хакеры из группировки 2402 атаковали компанию Right Line и выложили в открытый доступ 600 Гб похищенных данных. Организация поставляет ПО в сфере онлайн-банкинга в России и СНГ и сотрудничает с рядом крупных банков.

Помимо этого, можно отметить следующие основные угрозы для финансовых организаций:

Вымогатели по-прежнему являются ключевой угрозой для компаний и организаций из разных сфер и отраслей. В Q3 2022 фиксировалась активность около 30 различных новых и существовавших ранее группировок. Ниже представлены заметные события, связанные с шифровальщиками:

В третьем квартале было отмечено снижение количества supply chain атак, осуществляемых с целью хактивизма, таких как размещение авторами вредоносного кода в open-source проектах и репозиториях.

В то же время, сохранился тренд на размещение различных вредоносных пакетов в отрытых репозиториях, мимикрирующих под легитимные и нацеленных на невнимательных пользователей.

Также, во внешних исследованиях, были зафиксированы кампании APT-группировок с использованием supply chain в качестве начального вектора, что говорит об актуальности данного метода атак. В частности, для распространения ВПО использовались 2 скомпрометированных приложения популярных мессенджеров.

Кроме того, эксперты продолжают обнаруживать новые методы, которые могут быть использованы злоумышленниками: например, один из них связан с подделкой метаданных в коммитах GitHub, другой – с уязвимостью 15-летней давности в Python, представляющей потенциальную угрозу для 350 000 проектов.

В Q3 2022 зафиксировано увеличение поддельных сайтов под различные бренды. Мошенники оперативно реагируют на изменения в мире и следят за новостным полем. Актуальность мошеннических схем – залог успешной атаки. Большинство нелегитимных ресурсов направлено на выплаты, бонусы, прохождение опросов и получение «выгодных» предложений и подарков от имени известных компаний. Мошенники полагаются на невнимательность и лояльность клиентов. Наиболее привлекательными для мошенников являются сфера услуг, ритейл, криптовалюта, инвестиции, геймерские сервисы, банковский сектор. Причинами стремительного роста онлайн-мошенничества под узнаваемые бренды являются как нестабильная геополитическая обстановка, так и уход с рынка многих известных торговых марок.

Мы продолжаем наблюдать большое количество DDoS-атак на российские онлайн сервисы со стороны хактивистов. Стоит отметить, что в Q3 2022 злоумышленники перестали заранее публично освещать информацию о своих целях, ограничиваясь лишь отчетами об успешных атаках после их совершения. Таким образом, низкоквалифицированные атакующие добровольно запускают на своих устройствах вредоносное ПО для DDoS-атаки, превращая свое устройство в часть ботнета. Организаторы могут использовать такой ботнет не только в хактивистских целях, но и с целью обогащения, предлагая услуги по DDoS-атакам на специализированных ресурсах.

• Одной из наиболее атакуемых отраслей остается финансовый сектор. В августе 2022 года специалисты StormWall зафиксировали всплеск DDoS-атак на российские платежные системы. По данным компании, количество DDoS-атак в августе 2022 года выросло на 126% по сравнению с аналогичным периодом прошлого года. DDoS-атаки были организованы группой хактивистов, которые преследовали цель нарушить работу сервисов, чтобы сделать невозможным проведение любых финансовых операций. У ряда сервисов наблюдались проблемы с выполнением операций в течение нескольких часов. Максимальная мощность атак составила 400 тыс. запросов в секунду, а максимальная длительность атак была 8 часов.

• В начале августа 2022 года StormWall выявили сильный всплеск DDoS-атак на российские системы видеоконференцсвязи. Массовые атаки на системы видеоконференцсвязи произошли впервые, что указывает на то, что хактивисты постоянно стремятся находить новые цели для DDoS-атак. Было атаковано до 20 различных сервисов, среди которых TrueConf, Videomost, Webinar.ru, iMind. Данные платформы используются многими российскими компаниями, в том числе такими государственными компаниями как Роскосмос, Росатом, Ростех.

Пиковая мощность атак составляла 180 тысяч запросов в секунду, а максимальная длительность атак была 30 часов.

Мы ожидаем продолжения увеличения количества DDoS-атак в последующие периоды, при этом финансовый сектор продолжит оставаться главной целью для злоумышленников.

С июля по сентябрь 2022 года мы обнаружили и взяли под контроль на 80% больше инцидентов по сравнению со вторым кварталом. Кроме того, мы зафиксировали на 68% больше подозрительных писем. Отметим, что увеличение внимания злоумышленников связано с восходящим трендом по количеству атак в мире из-за геополитического конфликта.

Наблюдаемые и анализируемые данные дают нам основания полагать, что количество киберугроз в дальнейшем будет продолжать расти. Геополитическая ситуация, низкий порог входа в мир киберпреступности, большое количество 0day уязвимостей и низкий уровень зрелости информационной безопасности у многих компаний, будут способствовать этому.

Представленные ниже выводы сформулированы на основе кейсов, созданных за отчётный период в TIP.