МОСКВА, 17 марта. /ТАСС/. Количество атак финансово-мотивированных хакеров в РФ в 2022 году увеличилось в три раза, а жертвами становились ретейлеры, производственные и страховые компании. Об этом говорится в исследовании лаборатории цифровой криминалистики Group-IB, работающей в сфере кибербезопасности.
"По данным исследования, в 2022 году количество кибератак финансово-мотивированных хакеров увеличилось почти в три раза по сравнению с 2021 годом", - сказано в исследовании.
Так, самым популярным типом киберугроз, с которыми столкнулись во время реагирований эксперты лаборатории, стали атаки с использованием программ-вымогателей, на них пришлось 68% всех инцидентов. Жертвами этих программ чаще всего становились российские ретейлеры, производственные и страховые компании. "Для сравнения: пять лет назад 70% хакерской активности было связано с целевыми атаками на финансовый сектор", - отмечается в исследовании.
Наиболее агрессивными группами программ-вымогателей в России в прошлом году стали Phobos, CryLock и Sojusz, а рекорд по сумме требуемого выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей. "Среднее время простоя атакованной организации сократилось с 18 до 14 дней - восстановление происходило значительно быстрее", - добавили эксперты.
Еще одной тенденцией 2022 года, согласно данным исследования, стало использование программ-вымогателей с политически активными хакерами. Цель данных атак, как пояснили в Group-IB, связана не с финансовой мотивацией, а со стремлением разрушить или остановить работу IT-инфраструктуры жертвы и создать общественный резонанс. "Кибердиверсии - отличительная черта 2022 года. Этому во многом способствовал текущий геополитический кризис и появление в публичном пространстве исходных кодов программ-вымогателей Conti и LockBit - криминалисты Group-IB неоднократно видели их использование в атаках на организации в России", - считают эксперты.
Что использовали хакеры
Как отмечают в Group-IB, самой популярной техникой, используемой для получения первоначального доступа в корпоративные сети, впервые стала эксплуатация уязвимостей публично доступных приложений. По данным экспертов, ее применяли в 61% расследованных инцидентов, за ней следуют фишинг - 22% и компрометация служб удаленного доступа -17%. Годом ранее главным вектором атак, как напомнили в исследовании, для большинства банд вымогателей были публичные RDP-серверы, фишинг и эксплуатация общедоступных приложений. "Примечательно, что технику эксплуатации публично доступных приложений использовали как операторы шифровальщиков, пытавшихся получить выкуп, так и хактивисты, старавшиеся разрушить IT-инфраструктуру атакованной организации", - подчеркнули эксперты.
Еще одним способом получения первоначального доступа к IT-инфраструктурам компаний, согласно исследованию, стала компрометация служб удаленного доступа и проникновение через публично-доступные терминальные серверы, либо через VPN-сервисы. В этом случае атакующие могли воспользоваться как методом перебора паролей, так и данными, украденными с помощью вредоносного ПО, предназначенного для кражи данных онлайн-кошельков, логинов и паролей или купленными у брокеров первоначального доступа.
"Почти 68% исследованных атак завершались шифрованием данных. В качестве программы-шифровальщика злоумышленники могли использовать и легитимное ПО, например, программу BitLocker от Microsoft. При этом, если атакующие хотели выгрузить ценные данные с серверов атакованной компании, их предварительно архивировали, скачивали и лишь затем запускали шифровальщик на хостах", - сообщают эксперты.