Собрали главные тренды киберугроз 4 квартала 2022 года

Привет! Меня зовут Александр Новиков. Я руководитель Службы исследований, кибераналитики и развития Группы «Иннотех». Наша команда продолжает собирать информацию об актуальных киберугрозах и активностях злоумышленников. Сегодня мы рассмотрим основные тенденции 4 квартала 2022 года.

Главным трендом в мире информационной безопасности оставалась геополитическая напряжённость. В прошедшем квартале были совершены ряд резонансных компьютерных атак, информация о которых широко освещалась в СМИ.

Крупные утечки данных давно стали привычным явлением и Q4 не стал исключением. Можно смело сказать, что в 2022 году вопросы информационной безопасности коснулись практически каждого жителя России, так как объёмы утечек беспрецедентны. При этом, утечкам подвержены как небольшие компании, оказывающие узкоспециализированные услуги населению, так и крупные организации.

Объём обнаруженных уязвимостей в Q4 незначительно снизился. По сравнению с предыдущими кварталами, в Q4 не было зафиксировано высокорезонансных уязвимостей. Вместе с тем, была опубликована информация о нескольких 0-day, которые на момент публикации обновлений активно эксплуатировались злоумышленниками.

В Q4 мы наблюдали несколько крупных DDoS-атак, совершенных на организации различных сфер деятельности, в том числе финансовой. Атаки проводились преимущественно с иностранных ip-адресов и совершались хактивистами с помощью ботнетов.

Угроза фишинга осталась на прежнем высоком уровне. Злоумышленники отслеживают новые тренды и создают актуальные ресурсы для реализации своих противоправных схем. Главные тренды Q42022–ЧМ по футболу 2022, новогодние розыгрыши и подарки, распродажи.

Представляет собой набор типов киберугроз и определенных злоумышленников (групп), которые находятся в фокусе организаций различных отраслей.

Мы сформировали ландшафт киберугроз на основе общедоступных данных и экспертных мнениях вендоров кибербезопасности. Он состоит из списка приоритетных киберугроз в соответствии с частотой появления, возможного риска и влияния на инфраструктуры организаций.

При построении ландшафта угроз принимались во внимание особенности, присущие Группе «Иннотех» как IT-компании, занимающейся разработкой программных продуктов для организаций финансовой и банковской отраслей.

В Q4 2022 фиксировалась активность злоумышленников, нацеленная на финансовый сектор ряда стран. Значительная часть направлена на клиентов финансовых организаций.

Большинство вредоносных кампаний имели массовый характер, жертвами являлись организации из разных стран по всему миру. В атаках злоумышленники использовали обновленные версии уже известного ВПО.

• В октябре было зафиксировано появление новых троянских приложений, распространяющихся под видом инвестиционных программ, якобы имеющих прямое отношение к российским банкам. Потенциальным жертвам обещали обучение инвестированию, выгодное вложение средств и бесплатное получение акций. В действительности вредоносные приложения загружали специально созданные сайты, на которых под видом регистрации учетных записей собирались персональные данные.

• В октябре появилась информация о том, что мошенниками были скомпрометированы банкоматы компании NCR. Злоумышленники внесли купленные в сувенирных магазинах и немного усовершенствованные пятитысячные купюры «банка приколов» на свои счета в, при этом банкоматы не обнаружили подделки и приняли все наличные.

  Сообщается, что мошенники внесли в банкоматы фальшивые купюры на общую сумму более 60 млн рублей, после чего сняли уже настоящие деньги через другие банкоматы. Инцидент произошел в конце августа, атака длилась несколько дней. Было установлено, что для атаки преступники выбрали два типа банкоматов компании NCR с устаревшими ПО и устройствами приема купюр.

• В начале октября в официальном магазине Google Play было обнаружено 5 вредоносных приложений, распространяющих банковские трояны SharkBot и Vultur. Целями вредоносов стало 231 банковское и криптовалютные приложение финансовых

  учреждений в Италии, Великобритании, Германии, Испании, Польше, Австрии, США, Австралии, Франции и Нидерландах.

  Суммарно приложения были загружены более 130 000 раз.

  
  

Особенность целенаправленных атак (APT) заключается в том, что злоумышленников интересует конкретная компания, государственная организация или целая отрасль. Это отличает данную угрозу от массовых хакерских атак.

Целенаправленные атаки обычно хорошо спланированы и включают несколько этапов — от разведки и внедрения до сокрытия следов присутствия. Как правило, в результате такой атаки злоумышленники закрепляются в инфраструктуре жертвы и остаются незамеченными в течение весьма продолжительного времени.

Основные тренды:

• APT-группировки, нацеленные на организации из России, исследователи относят к северокорейским и китайским хакерам.

• Мотивом APT-группировок, атакующих российские организации,

  является кибершпионаж.

• Основные цели – государственные, оборонные учреждения, СМИ, ИТ- компании.

• При распространении фишинговых писем используется тематика текущей политической ситуации в мире.

Q4 отметился появлением обновленных версий мобильных троянов, а также увеличением активности некоторых известных ранее семейств. В первую очередь, к ним можно отнести ботнет Emotet, в последнее время проводящий широкую вредоносную кампанию и активно возвращающийся к лидирующим позициям среди финансово-мотивированных атакующих.

Активность шифровальщиков по-прежнему делает их одной из основных угроз для корпоративного сектора. Атакующие продолжают разрабатывать новое и модифицировать существующее ВПО, а также пользуются услугами операторов ботнетов для получения доступа к скомпрометированным системам.

Для защиты инфраструктуры организации от злоумышленников в 2022 году уже недостаточно простой блокировки угрозы по маркерам компрометации.

Для реализации более точного детектирования угрозы, предотвращения её развития, а также проведения более точной атрибуции злоумышленников необходимо понимать тактику злоумышленников и создавать средства, позволяющие отслеживать подозрительную активность на разных этапах модели Kill Chain.

По сравнению с Q3 2022 количество зарегистрированных уязвимостей в мире уменьшилось примерно на 18% (за Q3 2022 было зарегистрировано 6497 уязвимостей).

Утечки данных являются одной из самых опасных угроз в киберпространстве. Помимо рисков проникновения в инфраструктуру, наличие утечек также наносит ощутимый удар по репутации и финансовому состоянию любой организации.

• Значительная часть обнаруженных в Q4 утечек была связана с действиями политически мотивированных хакеров.

• Другая сохраняющаяся тенденция – частичная или полная публикация в открытых источниках украденных данных организаций, атакованных операторами шифровальщиков, с целью оказания давления на жертву и увеличения шансов получения выкупа.

• Продолжаются случаи публикации старых утечек, их компиляций, а также информации из открытых источников под видом новых баз данных, полученных в результате компрометации инфраструктур жертв. Целью злоумышленников может быть нанесение ущерба репутации жертвы либо повышение собственной узнаваемости.

По результатам исследования BlackBerry было установлено, что 80% цепочек поставок программного обеспечения были атакованы или имели уязвимости за последние 12 месяцев. Это делает supply chain атаки крайне привлекательным вектором для злоумышленников.

Q4 отметился новыми резонансными случаями размещения вредоносных пакетов в открытых репозиториях. По оценкам Sonotype, количество таких случаев выросло на 742% за последние три года.

В октябре операторы шифровальщика Lockbit заявили о компрометации инфраструктуры японской технологической компании Oomiya, являющейся подрядчиком для большого количества различных организаций, относящихся к производственному сектору, производителям полупроводников и автомобилей, а также сферам связи и здравоохранения.

Среди средств защиты от supply chain атак можно отметить запуск проекта GUAC от Google, а также анонс GitLab возможности сканировать на наличие уязвимостей исходный код, контейнеры, зависимости и приложения. Также GitHub представил функцию непубличного оповещения о багах, что должно улучшить взаимодействие между исследователями безопасности и разработчиками open source проектов.

Вредоносные пакеты в открытых репозиториях

На протяжении Q4 был обнаружен ряд случаев размещения вредоносного кода с использованием обфускации либо техники typosquatting в открытых репозиториях. Одним из наиболее популярных векторов для атакующих остается сервис PyPI: в частности, через него распространялся инфостилер W4SP, а также там были опубликованы вредоносные пакеты shaderz и aioconsol.

Кампания SocGholish

В начале ноября специалисты из Proofpoint зафиксировали supply chain атаку, в ходе которой злоумышленники из группировки TA569 скомпрометировали инфраструктуру неназванной медиакомпании и разместили вредоносный код фреймворка SocGholish в сотни американских новостных сайтов.

Атаки с использованием ВПО Fantasy

7 декабря ESET представила отчет об атаках APT-группировки Agrius, нацеленных на организации в Израиле, Гонконге и Южной Африке. В кампаниях применялось вредоносное ПО Fantasy, целью которого являлось уничтожение данных на целевых системах, а для его распространения злоумышленники осуществили supply chain атаку на неназванного разработчика программного обеспечения.

Компрометация информации о сотрудниках Uber

В начале декабря злоумышленник с псевдонимом UberLeaks опубликовал на одном из теневых форумов данные, относящиеся к сотрудникам Uber и UberEats. Доступ к ним был получен в результате компрометации сервера компании-подрядчика Teqtivity, поставляющей программное обеспечение.

Троянизированное чат-приложение LiveHelp100

14 декабря аналитики из Trend Micro опубликовали отчет, в котором описали использование неизвестными злоумышленниками троянизированной версии приложения LiveHelp100 для проведения вредоносных кампаний. Напомним, что в прошлом квартале была зафиксирована схожая supply chain атака с применением утилиты Comm100.

Предположительно, за ней могут стоять те же акторы.

Вид мошенничества, в котором используется социальная инженерия, с целью кражи личных данных пользователей. Мошенники полагаются на невнимательность пользователей, вводят их в заблуждение с помощью поддельных сайтов, адресов электронных почт и сообщений. Обманным путем мошенники заставляют жертв предоставлять личные данные или конфиденциальные данные компаний. В большинстве случаев фишинговые сайты визуально очень похожи на легальные. Мошенники используют логотипы, корпоративные цвета, расположение контента в точности как на официальном ресурсе.

Фишинговые атаки становятся все более продуманными и приводят к большим финансовым и репутационным потерям.

Основные тренды

Фишинговая активность в Q4 2022 продолжала расти. Помимо фишинга на финансовый сектор, сферу услуг, ритейл, злоумышленники следили за событиями в мире. В связи с проведением ЧМ по футболу 2022, был зафиксирован рост фишинга, направленного на футбольных болельщиков. Основные темы: продажа билетов через сайты и группы в соцсетях и продукции с изображением логотипа турнира.

• Во время Чёрной пятницы активизировались сайты по продаже промокодов, скидок, подарочных сертификатов на различные маркетплейсы.
• Перед новогодними праздниками начинали активно появляться аналогичные мошеннические схемы. Злоумышленники создают поддельные сайты с выигрышами, скидками и подарками, поэтому призываем быть бдительными и с осторожностью относиться к подобным предложениям.
  

Злоумышленники использовали стандартные фишинговые кампании. Одними из наиболее успешных векторов распространения поддельных сайтов являются соцсети и мессенджеры. Мошенники размещают нелегитимные ссылки в каналах с сообщением об “успешных” выплатах от крупных банков. Для продолжительных атак развивают свои сообщества или покупают рекламу в крупных каналах.

Остаются актуальными фишинговые схемы, связанные с опросами, компрометацией учетных данных для входа в личный кабинет, выплатами материальной помощи, получением подарков. Были зафиксированы сайты, направленные на распространение нелегитимных мобильных приложений. Некоторые из сайтов, направленные на поддержку клиентов, предлагают установить приложение некоторых российских банков, замаскированное под приложение для получение удаленного доступа к устройству пользователя.

Мы продолжили наблюдать большое количество DDoS-атак на российские онлайн сервисы со стороны хактивистов. В Q4 2022 злоумышленники публично не освещают заранее информацию о своих целях, ограничиваясь лишь отчетами об успешных атаках после их совершения.

Эксперты StormWall изучили техническую сторону DDoS-атак и пришли к выводу, что злоумышленники продолжают использовать современные ботнеты, которые вновь начали набирать популярность. Ботнеты позволяют киберпреступникам легко запускать ряд мощнейших атак и продолжать их в течение длительного периода времени.

• Показательна статистика Сбера - с начала 2022 года банк подвергся 470 DDoS-атакам, что в совокупности больше, чем все атаки, которые были проведены на Сбер за последние семь лет.

• Большая часть DDoS-атак на российские финансовые организации вероятно были проведены политически мотивированными хактивистами, преследующими цель нанести вред финансовой системе России. Об этом свидетельствуют публикации в Telegram-канале «IT Army of Ukraine», который в настоящее время насчитывает более двухсот тысяч подписчиков.

  
  

В конце октября 2022 года специалисты компании StormWall зафиксировали мощнейшие DDoS-атаки на российские брокерские компании. Атаки такой мощности на брокерские компании в России наблюдались впервые. Большинство атак длились 5-7 часов, однако было несколько атак длительностью до 10 часов.

В результате DDoS-атак в течение определенного времени были проблемы со входом в приложения брокеров, были недоступны сайты организаций, возникли технические сбои в работе личного кабинета. Многие пользователи не смогли воспользоваться сервисами брокеров в течение нескольких часов.

Наблюдаемые и анализируемые данные дают нам основания полагать, что в следующем квартале количество киберугроз будет оставаться на прежнем высоком уровне.

Возможность осуществлять компьютерные атаки под эгидой кибервойны позволяет злоумышленникам оттачивать свои навыки на реальной инфраструктуре жертв, не боясь при этом быть наказанными. Недостаточный уровень зрелости организаций в вопросах информационной безопасности, отсутствие риск-ориентированного подхода и недооценивание последствий компьютерных атак будут способствовать увеличению количества громких инцидентов ИБ.

• Активность хактивистских групп останется на прежнем высоком уровне. Количество опубликованных скомпрометированных данных

  будет расти.

• Продолжатся supply chain атаки. ПО с открытым исходным кодом останется приоритетной целью для злоумышленников.

• На смену популярному у злоумышленников инструменту тестирования на проникновение Cobalt Strike может прийти взломанный в 2022 году Brute Ratel C4, использование и продажи которого можно было наблюдать в Q4.

• Фишинг также продолжит оставаться в тренде. Главная цель – клиенты финансовых учреждений. Рассылки будут носить преимущественно массовый характер.

• Количество атак со стороны китайских и северокорейских APT-группировок на российские организации не изменится. Для первоначального доступа преимущественно будет использоваться фишинг.

• 0-day уязвимости продолжат пользоваться популярностью у продвинутых злоумышленников. Также продолжится активная эксплуатация уже известных уязвимостей: CVE-2022-41040, CVE- 2022-41082 (ProxyNotShell), CVE-2021-44228 (Log4j).

• Продолжатся массированные DDoS-атаки на российские онлайн-ресурсы.

  Финансовый сектор будет оставаться приоритетной целью у злоумышленников