Эксперты Центра противодействия киберугрозам Innostage SOC CyberART провели исследование хакерской активности в российском ИТ-сегменте за летний сезон 2024 года, определив ключевые тренды атак инструментами киберразведки по открытым данным (OSINT). В частности, выявлена сезонная тенденция на снижение количества ИБ-инцидентов таких видов, как дефейс и утечки уникальных данных пользователей. А DDoS-атаки напротив производились в полтора раза чаще.
Основные тренды хакерской активности лета 2024 года по версии экспертов Innostage:
- Сохраняется тренд на атаки вектора «компрометация подрядчика»
На 11% чаще, чем зимне-весенний период, хакеры пытались проникнуть в инфраструктуру российских компаний через внешние подключения. При этом предварительно взламывались их подрядчики, партнеры, контрагенты, дочерние и зависимые общества.
При этом первичное звено, подвергшееся такой атаке, может столкнуться с нарушением работы бизнес-процессов, теряет конфиденциальную информацию и несет огромные репутационные риски.
Основную цель хакеров в данном случае представляют крупные клиенты атакованного подрядчика. Негативные последствия для компаний-мишеней – хищение и потеря целостности данных, финансовые убытки и остановка деятельности вплоть до банкротства. Скомпрометировав учетные данные подрядчика и получив несанкционированный доступ в защищаемый контур его клиентов, хакеры могут как скопировать содержимое баз данных для последующей публикации, так и зашифровать, подменить или удалить информацию без возможности восстановления. Подобные действия остановят важнейшие бизнес-процессы, для выполнения которых нужны эти данные, и фактически парализуют операционную и производственную деятельность компании.
Как показало лето 2024 года, через скомпрометированного подрядчика можно атаковать даже крупные и хорошо защищенные компании. Среди жертв были федеральный логистический оператор, ритейлер с разветвленной сетью магазинов, вендор ИБ-решений.
- Объемы утечек уникальных данных пользователей летом резко снизились
Если за первое полугодие совокупный объем утечек российских компаний составлял 96,7 млн уникальных записей (в среднем приходилось по 16 млн на месяц), то среднемесячный показатель за лето составил 1 млн строк. В июне в публичное пространство утекло 1,1 млн новых данных россиян, в июле – цифра втрое скромнее – 0,4 млн, но в августе хакеры снова усилили натиск и собрали «урожай» из 1,4 млн уникальных данных о пользователях.
При этом за три летних месяца произошло 19 утечек, в то время как за первые 6 месяцев года их было 24. Таким образом, летом утечки происходили на 58% чаще, но при этом объем похищенной информации оказался меньше, чем зимой и весной, когда ряд инцидентов затронул особо большие базы данных.
Вместе с тем, в августе наблюдается 40% рост публикаций утечек относительно среднего показателя в течение лета, что позволяет сделать прогноз об усилении этой угрозы осенью.
- Фишинговые атаки формата FakeBoss – в пределах среднегодовых значений
Хакеры продолжают взламывать компании, воздействуя на их сотрудников методами социальной инженерии. И одной из техник кражи данных и угона учетных записей остается FakeBoss. Летом число атак такого формата сохранилось на том же высоком уровне, что и зимой-весной. Злоумышленники все так же активно пытаются выдавать себя за владельца или C-level руководителя, рассылая от его имени вредоносные сообщения через мессенджеры или корпоративную почту сотрудникам и партнерам компании.
Если ранее в одной из пяти FakeBoss-кампаний хотя бы один адресат кликал по предоставленным ссылкам или отправляет запрашиваемые мошенниками данные, то сейчас потенциальные жертвы стали более осмотрительны и почти не реагируют на обман.
- Сокращение инцидентов с дефейсами на 50%
В период с 1 июня по 31 августа 2024 года хакеры реже прибегали к дефейсу – смене внешнего вида веб-сайта компании путем взлома для размещения вредоносного контента или сообщения.
Большинство случаев дефейса выявлено в компаниях, использующих версии CRM Битрикс. Также имеют место дефейсы, реализованные в ходе атак на подрядчиков, оказывающих услуги по хостингу и администрированию сайтов. Одним из резонансных летних примеров стал дефейс веб-ресурса ИБ-интегратора.
Нередко дефейс становится возможен из-за атаки на внешнего подрядчика, не имеющего доступа к ИТ-инфраструктуре компании – такая ситуация не несет иных рисков, кроме репутационных. Зачастую замена содержимого сайтов производится в значимые для хакеров или их заказчиков общественно-политические даты – день конституции и другие государственные праздники.
- Количество атакуемых доменов выросло на 42%
Натиск хакерских атак, направленных на нарушение доступа к онлайн-ресурсу путем перегрузки его трафиком, по-прежнему нарастает. DDoS-атаки были и остаются одними из ключевых инструментов злоумышленников. За лето свыше 4400 домена РФ атаковано, затронуто 112к IP адресов. Для сравнения за первое полугодие атакам подверглись около 6200 доменов. Таким образом, количество DDoS-атак на 42% превысило среднегодовой показатель.
DDoS-атаки особенно чувствительны для компаний, где сайт – ключевой инструмент производства или продаж. Кроме того, они активно применяются как отвлекающий маневр, во время которого хакеры «прощупывают» серверы и пытаются проникнуть в ИБ-периметр. За первое полугодие подобные атаки были реализованы в отношении ряда ИТ-интеграторов.