Число кибердиверсий в России выросло на 140%

Лаборатория цифровой криминалистики компании F.A.С.С.T. исследовала высокотехнологичные преступления 2023 года на основе проведенных реагирований на инциденты в российских компаниях. Количество атак программ-вымогателей за 9 месяцев 2023 года выросло на 75% по сравнению с аналогичным периодом прошлого года, а средняя сумма первоначального выкупа за расшифровку данных превысила 37 млн рублей. Еще стремительнее росло количество политически мотивированных кибератак, целью которых было хищение конфиденциальных данных или полное разрушение IT-инфраструктуры — рост к прошлому году составил 140%.

По данным исследования, количество кибератак в России со стороны финансово-мотивированных хакеров за 9 месяцев 2023 года выросло на 75% по сравнению с  аналогичным периодом 2022 года. Самым популярным типом киберугроз, с которыми столкнулись во время реагирований на инциденты криминалисты  F.A.С.С.T., стали атаки с использованием программ-вымогателей. Жертвами шифровальщиков чаще всего становились российские ритейлеры, производственные, строительные, туристические и страховые компании. Среднее время простоя атакованной компании составило 14-18 дней.

Два в одном

Наиболее агрессивными преступными группами в России в этом году оказались Shadow и Twelve. Несмотря на то, что на радарах у исследователей они возникли лишь в начале этого года, хакеры успели отметиться серией громких атак. Вымогатели из Shadow похищают и шифруют данные, требуя от жертвы крупный выкуп — обычно в размере 5-10% от годового дохода компании — за расшифровку и не публикацию похищенной конфиденциальной информации.

Twelve же, напротив, работают не за деньги: сначала злоумышленники похищают конфиденциальные данные жертвы, а на финальном этапе атаки уничтожают ИТ-инфраструктуру, стирая и шифруя данные без возможности их восстановлениярасшифровки данных. Именно эта группа весной 2023 года взяла на себя ответственность за атаку на федеральную таможенную службу РФ, а в мае — на российского производителя гидравлического оборудования и др.

После публикации исследования экспертов компании F.A.C.C.T. о том, что Shadow и Twelve — это одна хак-группа с общими инструментами, техниками, а в нескольких атаках — и с общей сетевой инфраструктурой, вымогатели из Shadow провели ребрендинг и стали использовать в своих атаках новое название — Comet (C0met).

В целом, в России средняя сумма первоначального выкупа, которую требуют вымогатели у жертвы, в этому году составила 37 млн рублей. Рекорд установили вымогатели из группы Shadow, потребовавшие за расшифровку данных 200 млн рублей. Правда, это в пять раз меньше, чем  в 2022 году  просили вымогатели OldGremlin у одной из жертвы — тогда сумма выкупа достигала 1 млрд рублей.

Наиболее распространенными шифровальщиками, которые преступники используют для атак на российские компании, стали  LockBitConti и Babuk — причина в появлении в публичном пространстве их исходных кодов.

Самой популярной техникой, используемой для получения первоначального доступа в корпоративные сети, в 2023 году, стала компрометация служб удаленного доступа, в особенности RDP и VPN. Наряду с этим отмечается и рост атак с доступом в инфраструктуру в результате компрометации IT-партнеров, услугами которых пользовались организации-жертвы жертвы. Напомним, что в 2022 году основными векторами атак для большинства банд вымогателей являлись эксплуатация уязвимостей публично доступных приложений и фишинг.

Каскадные атаки

Более активно, чем с киберкримирал, российские компании  атаковали прогосударственные хакеры и хактивисты —  рост количества атак по сравнению с предыдущим годом составил рекордные 140%. Целями политически-мотивированных  атакующих чаще других становились предприятия, связанные с критической инфраструктурой, госсектором или оборонной промышленностью. Наряду с гигантами в группе риска оказались IT-компании из сегмента малого и среднего бизнеса —   интернет-ритейлеры, интеграторы, разработчики ПО, атаки на которых позволяют атакующим получить доступ не только к клиентским базам данных, но и аутентификационным данным к инфраструктуре заказчиков, более крупных игроков рынка.

Напомним, что за первую половину 2023 г. F.A.C.C.T. зафиксировала 114 утечек из российских коммерческих компаний и госорганизаций, число утекших строк пользовательских данных по сравнению  с предыдущим периодом 2022 года выросло более чем в 11 раз – до 62,1 млн. Большинство похищенных баз данных преступники выкладывали в публичный доступ бесплатно, но часть утечек злоумышленники не публиковали в открытом доступе — продавали или использовали в последующих атаках.

«Уже четвертый год подряд программы-вымогатели остаются одной из главных киберугроз, с которой имеют дело российские компании. Начиная с прошлого года у киберпреступников заметно изменился мотив — не столько заработать, сколько нанести наибольший ущерб компаниям и их клиентам. В текущем году рост подобных атак был особенно заметным. Утекшие данные атакующие сразу не публикуют, а используют для проведения каскадных атак на крупных игроков как коммерческого, так и государственного секторов». — Антон Величко, Рруководитель Лаборатории цифровой криминалистики компании F.A.C.C.T.

Для того, чтобы эффективно организационно и технически противостоять действиям атакующих и минимизировать ущерб для компании — необходимо или оперативно привлекать специалистов на аутсорсе, или, что проще заранее иметь подписку на ритейнер по реагированиям на инциденты. Это пакет предоплаченных проактивных и реактивных сервисов для оперативного профессионального реагирования на атаку, когда бы она не произошла, в формате 24/7/365. По первому сигналу команда криминалистов выезжает на реагирование или проводит его удаленно для минимизации простоя инфраструктуры и ущерба от кибератаки без потерь времени на согласование договоров и других юридических документов. Впервые услуга ритейнера по реагированиям на инциденты в России была запущена Лабораторией цифровой криминалистики в 2015 году.

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Цифровой девелопмент

Подробнее
Спецпроект

Машиностроительные предприятия инвестируют в ПО

Подробнее


Подпишитесь
на нашу рассылку