Собрали главные тренды киберугроз 4 квартала 2022 года

Привет! Меня зовут Александр Новиков. Я руководитель Службы исследований, кибераналитики и развития Группы «Иннотех». Наша команда продолжает собирать информацию об актуальных киберугрозах и активностях злоумышленников. Сегодня мы рассмотрим основные тенденции 4 квартала 2022 года.

Главным трендом в мире информационной безопасности оставалась геополитическая напряжённость. В прошедшем квартале были совершены ряд резонансных компьютерных атак, информация о которых широко освещалась в СМИ.

Крупные утечки данных давно стали привычным явлением и Q4 не стал исключением. Можно смело сказать, что в 2022 году вопросы информационной безопасности коснулись практически каждого жителя России, так как объёмы утечек беспрецедентны. При этом, утечкам подвержены как небольшие компании, оказывающие узкоспециализированные услуги населению, так и крупные организации.

Объём обнаруженных уязвимостей в Q4 незначительно снизился. По сравнению с предыдущими кварталами, в Q4 не было зафиксировано высокорезонансных уязвимостей. Вместе с тем, была опубликована информация о нескольких 0-day, которые на момент публикации обновлений активно эксплуатировались злоумышленниками.

В Q4 мы наблюдали несколько крупных DDoS-атак, совершенных на организации различных сфер деятельности, в том числе финансовой. Атаки проводились преимущественно с иностранных ip-адресов и совершались хактивистами с помощью ботнетов.

Угроза фишинга осталась на прежнем высоком уровне. Злоумышленники отслеживают новые тренды и создают актуальные ресурсы для реализации своих противоправных схем. Главные тренды Q42022–ЧМ по футболу 2022, новогодние розыгрыши и подарки, распродажи.

Представляет собой набор типов киберугроз и определенных злоумышленников (групп), которые находятся в фокусе организаций различных отраслей.

Мы сформировали ландшафт киберугроз на основе общедоступных данных и экспертных мнениях вендоров кибербезопасности. Он состоит из списка приоритетных киберугроз в соответствии с частотой появления, возможного риска и влияния на инфраструктуры организаций.

При построении ландшафта угроз принимались во внимание особенности, присущие Группе «Иннотех» как IT-компании, занимающейся разработкой программных продуктов для организаций финансовой и банковской отраслей.

В Q4 2022 фиксировалась активность злоумышленников, нацеленная на финансовый сектор ряда стран. Значительная часть направлена на клиентов финансовых организаций.

Большинство вредоносных кампаний имели массовый характер, жертвами являлись организации из разных стран по всему миру. В атаках злоумышленники использовали обновленные версии уже известного ВПО.

Особенность целенаправленных атак (APT) заключается в том, что злоумышленников интересует конкретная компания, государственная организация или целая отрасль. Это отличает данную угрозу от массовых хакерских атак.

Целенаправленные атаки обычно хорошо спланированы и включают несколько этапов — от разведки и внедрения до сокрытия следов присутствия. Как правило, в результате такой атаки злоумышленники закрепляются в инфраструктуре жертвы и остаются незамеченными в течение весьма продолжительного времени.

Основные тренды:

Q4 отметился появлением обновленных версий мобильных троянов, а также увеличением активности некоторых известных ранее семейств. В первую очередь, к ним можно отнести ботнет Emotet, в последнее время проводящий широкую вредоносную кампанию и активно возвращающийся к лидирующим позициям среди финансово-мотивированных атакующих.

Активность шифровальщиков по-прежнему делает их одной из основных угроз для корпоративного сектора. Атакующие продолжают разрабатывать новое и модифицировать существующее ВПО, а также пользуются услугами операторов ботнетов для получения доступа к скомпрометированным системам.

Для защиты инфраструктуры организации от злоумышленников в 2022 году уже недостаточно простой блокировки угрозы по маркерам компрометации.

Для реализации более точного детектирования угрозы, предотвращения её развития, а также проведения более точной атрибуции злоумышленников необходимо понимать тактику злоумышленников и создавать средства, позволяющие отслеживать подозрительную активность на разных этапах модели Kill Chain.

По сравнению с Q3 2022 количество зарегистрированных уязвимостей в мире уменьшилось примерно на 18% (за Q3 2022 было зарегистрировано 6497 уязвимостей).

Утечки данных являются одной из самых опасных угроз в киберпространстве. Помимо рисков проникновения в инфраструктуру, наличие утечек также наносит ощутимый удар по репутации и финансовому состоянию любой организации.

По результатам исследования BlackBerry было установлено, что 80% цепочек поставок программного обеспечения были атакованы или имели уязвимости за последние 12 месяцев. Это делает supply chain атаки крайне привлекательным вектором для злоумышленников.

Q4 отметился новыми резонансными случаями размещения вредоносных пакетов в открытых репозиториях. По оценкам Sonotype, количество таких случаев выросло на 742% за последние три года.

В октябре операторы шифровальщика Lockbit заявили о компрометации инфраструктуры японской технологической компании Oomiya, являющейся подрядчиком для большого количества различных организаций, относящихся к производственному сектору, производителям полупроводников и автомобилей, а также сферам связи и здравоохранения.

Среди средств защиты от supply chain атак можно отметить запуск проекта GUAC от Google, а также анонс GitLab возможности сканировать на наличие уязвимостей исходный код, контейнеры, зависимости и приложения. Также GitHub представил функцию непубличного оповещения о багах, что должно улучшить взаимодействие между исследователями безопасности и разработчиками open source проектов.

Вредоносные пакеты в открытых репозиториях

На протяжении Q4 был обнаружен ряд случаев размещения вредоносного кода с использованием обфускации либо техники typosquatting в открытых репозиториях. Одним из наиболее популярных векторов для атакующих остается сервис PyPI: в частности, через него распространялся инфостилер W4SP, а также там были опубликованы вредоносные пакеты shaderz и aioconsol.

Кампания SocGholish

В начале ноября специалисты из Proofpoint зафиксировали supply chain атаку, в ходе которой злоумышленники из группировки TA569 скомпрометировали инфраструктуру неназванной медиакомпании и разместили вредоносный код фреймворка SocGholish в сотни американских новостных сайтов.

Атаки с использованием ВПО Fantasy

7 декабря ESET представила отчет об атаках APT-группировки Agrius, нацеленных на организации в Израиле, Гонконге и Южной Африке. В кампаниях применялось вредоносное ПО Fantasy, целью которого являлось уничтожение данных на целевых системах, а для его распространения злоумышленники осуществили supply chain атаку на неназванного разработчика программного обеспечения.

Компрометация информации о сотрудниках Uber

В начале декабря злоумышленник с псевдонимом UberLeaks опубликовал на одном из теневых форумов данные, относящиеся к сотрудникам Uber и UberEats. Доступ к ним был получен в результате компрометации сервера компании-подрядчика Teqtivity, поставляющей программное обеспечение.

Троянизированное чат-приложение LiveHelp100

14 декабря аналитики из Trend Micro опубликовали отчет, в котором описали использование неизвестными злоумышленниками троянизированной версии приложения LiveHelp100 для проведения вредоносных кампаний. Напомним, что в прошлом квартале была зафиксирована схожая supply chain атака с применением утилиты Comm100.

Предположительно, за ней могут стоять те же акторы.

Вид мошенничества, в котором используется социальная инженерия, с целью кражи личных данных пользователей. Мошенники полагаются на невнимательность пользователей, вводят их в заблуждение с помощью поддельных сайтов, адресов электронных почт и сообщений. Обманным путем мошенники заставляют жертв предоставлять личные данные или конфиденциальные данные компаний. В большинстве случаев фишинговые сайты визуально очень похожи на легальные. Мошенники используют логотипы, корпоративные цвета, расположение контента в точности как на официальном ресурсе.

Фишинговые атаки становятся все более продуманными и приводят к большим финансовым и репутационным потерям.

Основные тренды

Фишинговая активность в Q4 2022 продолжала расти. Помимо фишинга на финансовый сектор, сферу услуг, ритейл, злоумышленники следили за событиями в мире. В связи с проведением ЧМ по футболу 2022, был зафиксирован рост фишинга, направленного на футбольных болельщиков. Основные темы: продажа билетов через сайты и группы в соцсетях и продукции с изображением логотипа турнира.

Злоумышленники использовали стандартные фишинговые кампании. Одними из наиболее успешных векторов распространения поддельных сайтов являются соцсети и мессенджеры. Мошенники размещают нелегитимные ссылки в каналах с сообщением об “успешных” выплатах от крупных банков. Для продолжительных атак развивают свои сообщества или покупают рекламу в крупных каналах.

Остаются актуальными фишинговые схемы, связанные с опросами, компрометацией учетных данных для входа в личный кабинет, выплатами материальной помощи, получением подарков. Были зафиксированы сайты, направленные на распространение нелегитимных мобильных приложений. Некоторые из сайтов, направленные на поддержку клиентов, предлагают установить приложение некоторых российских банков, замаскированное под приложение для получение удаленного доступа к устройству пользователя.

Мы продолжили наблюдать большое количество DDoS-атак на российские онлайн сервисы со стороны хактивистов. В Q4 2022 злоумышленники публично не освещают заранее информацию о своих целях, ограничиваясь лишь отчетами об успешных атаках после их совершения.

Эксперты StormWall изучили техническую сторону DDoS-атак и пришли к выводу, что злоумышленники продолжают использовать современные ботнеты, которые вновь начали набирать популярность. Ботнеты позволяют киберпреступникам легко запускать ряд мощнейших атак и продолжать их в течение длительного периода времени.

В конце октября 2022 года специалисты компании StormWall зафиксировали мощнейшие DDoS-атаки на российские брокерские компании. Атаки такой мощности на брокерские компании в России наблюдались впервые. Большинство атак длились 5-7 часов, однако было несколько атак длительностью до 10 часов.

В результате DDoS-атак в течение определенного времени были проблемы со входом в приложения брокеров, были недоступны сайты организаций, возникли технические сбои в работе личного кабинета. Многие пользователи не смогли воспользоваться сервисами брокеров в течение нескольких часов.

Наблюдаемые и анализируемые данные дают нам основания полагать, что в следующем квартале количество киберугроз будет оставаться на прежнем высоком уровне.

Возможность осуществлять компьютерные атаки под эгидой кибервойны позволяет злоумышленникам оттачивать свои навыки на реальной инфраструктуре жертв, не боясь при этом быть наказанными. Недостаточный уровень зрелости организаций в вопросах информационной безопасности, отсутствие риск-ориентированного подхода и недооценивание последствий компьютерных атак будут способствовать увеличению количества громких инцидентов ИБ.