Анализ актуальных киберугроз за второй квартал 2024 года показал, что социальная инженерия – один из основных методов атаки на организации, при этом в 83% случаев использовались электронные письма. Эксперты Positive Technologies пришли к выводу, что киберпреступники атакуют жертв руками их коллег.
Сложные схемы
Специалисты компании зафиксировали сложные схемы фишинга: злоумышленники стали отправлять письма сотрудникам компаний с просьбой переслать их жертвам. Кроме того, во втором квартале продолжила расти доля использования ВПО для удаленного управления (remote access trojan, RAT) в атаках на организации, а также было выявлено массовое распространение скиммеров (ВПО для считывания данных банковских карт).
Социальная инженерия использовалась в каждой второй успешной атаке на компании (51%). В мае специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировали необычную фишинговую рассылку от кибергруппировки Hive0117. Одно из писем, к которому был приложен защищенный паролем архив, содержавший бэкдор DarkWatchman, пришло сотруднику холдинговой компании. DarkWatchman – это троян удаленного доступа, написанный на JavaScript. Позволяет подключиться к зараженному компьютеру и загрузить другие вредоносные программы, собрать необходимую информацию о компании или продвинуться далее по сети.
Чтобы вызвать доверие получателя, злоумышленники замаскировали сообщение под ответ на некое ранее отправленное письмо, а в тексте намекнули на срочность – якобы идет налоговая проверка – и попросили переслать информацию бухгалтеру. Такие атаки имеют высокие шансы на успех, потому что коллеги, как правило, воспринимаются как доверенные лица.
Использование вредоносного ПО по-прежнему занимает лидирующую позицию среди других методов кибернападений на компании (64%). При этом второй квартал подряд эксперты отмечают увеличение доли инцидентов с применением ВПО для удаленного управления в атаках как на организации (41%), так и на частных лиц (42%). По сравнению с первыми тремя месяцами текущего года рост составил 9% и 5% соответственно. Киберпреступники стали чаще использовать RAT, с помощью этого типа ВПО можно получить постоянный доступ ко взломанным системам для длительного шпионажа за жертвами.
Мнение аналитика
«Злоумышленники активно распространяют инструменты RAT, в том числе через различные менеджеры пакетов, такие как npm, PyP, имитируя названия реальных файлов. Популярность этого способа возросла на 15% по сравнению с предыдущим кварталом, а значит, разработчики ПО стали одними из основных целей киберпреступников в первом полугодии, – рассказал Дмитрий Стрельцов, аналитик исследовательской группы Positive Technologies. – Злоумышленники искусно совершенствуют методы распространения ВПО и сами программы, чтобы оставаться незаметными. Например, новая версия зловреда CraxsRAT может обходить встроенный антивирус на устройствах под управлением Android – Google Play Protect, а также позволяет внедрять вредоносную нагрузку в APK-файлы (которые используются для установки приложений на устройствах под управлением Android). И это тревожный звонок для безопасности смартфонов на этой платформе».
По итогам II квартала доля данных платежных карт среди украденной информации в атаках на частных лиц увеличилась на 9% и составила 22%. Эксперты связывают это с массовым распространением скиммеров. Например, специалисты компании Sucuri обнаружили новый веб-инструмент – Caesar Cipher, нацеленный на системы управления контентом, такие как WordPress, Magento, OpenCart. Украденные данные злоумышленники используют в дальнейших атаках и продают в даркнете.
Рекомендации экспертов
С учетом специфики киберугроз II квартала эксперты Positive Technologies рекомендуют:
- Частным лицам: вдумчиво читать письма, даже если они пришли от знакомых пользователей, не открывать сразу защищенные паролем архивы, проверять подлинность подозрительных сообщений, связываясь с отправителями по другим каналам, а также изучать незнакомые ресурсы перед тем, как ввести личные данные.
- Разработчикам ПО: регулярно обновлять инструменты для управления исходным кодом и проверять пакеты, внедрить практику безопасности цепочек поставок, используя инструменты application security.
- Организациям: периодически проводить инвентаризацию ИТ-активов и классифицировать их по степени важности, вводить политики разграничения доступа к данным и отслеживать обращения к чувствительной информации. Для защиты периметра эксперты советуют применять межсетевые экраны веб-приложений и налаживать процессы управления уязвимостями.
