Наши эксперты проанализировали актуальные киберугрозы за I квартал 2023 года. Исследование показало увеличение числа уникальных инцидентов и всплеск активности вымогателей, особенно в отношении научных и образовательных учреждений. Мы фиксируем появление большого числа фишинговых писем, связанных с трудоустройством, возникновение QR-фишинга и увеличение количества вредоносной рекламы.

По данным нашего исследования, в I квартале 2023 года число инцидентов увеличилось на 7% по сравнению с предыдущим кварталом и на 10% — по сравнению с началом 2022 года. Наиболее частыми последствиями успешных кибератак на организации были утечки конфиденциальной информации (51%) и нарушение основной деятельности (44%). По сравнению с прошлым кварталом увеличилась доля использования вредоносного ПО: на 7 процентных пунктов в атаках на организации и на 10 п. п. — в атаках на частных лиц. Наблюдались случаи значительных перебоев в работе бизнеса и критически значимой инфраструктуры, масштабные утечки данных, появление новых схем обмана пользователей.

Наиболее заметные утечки I квартала:

???? Неизвестные злоумышленники атаковали GDS Holdings и ST Telemedia и похитили учетные данные (логины и пароли) для входа в центры обработки данных в Азии. Услугами операторов пользуются крупнейшие мировые компании, например AG, Amazon, BMW, Huawei, Walmart. Конфиденциальная информация была выставлена на продажу в дарквебе за 175 тыс. долларов.

???? Данные HDB Financial Services, дочерней компании крупнейшего в Индии частного банка HDFC Bank, были опубликованы на форуме Breached. Преступники похитили обширный набор персональных данных клиентов (полные имена, даты и места рождения, сведения о занятости, кредитный рейтинг) и сотрудников. Информация из утечки практически сразу была использована в фишинговых атаках.

???? Вымогателям BlackCat удалось извлечь 2 ТБ конфиденциальной информации из сети крупного производителя взрывчатки Solar Industries India. Особо примечательно то, что нарушители получили доступ к документам с технической спецификацией и чертежами действующих образцов вооружения, к данным о цепочках поставок продукции, деталям сотрудничества с правительством Индии и даже к записям камер видеонаблюдения на предприятии. Утечка привлекла значительное внимание правительства и Министерства обороны Индии.

???? Тайваньский технологический гигант Acer подтвердил утечку после того, как злоумышленник разместил объявление о продаже похищенных данных на форуме в дарквебе. Информация включала в себя технические руководства, сведения о серверной инфраструктуре, образы BIOS, продуктовую документацию и сервисные ключи активации.

???? Вымогатели LockBit взяли на себя ответственность
за компрометацию систем Maximum Industries, технологического подрядчика SpaceX: преступникам удалось похитить около 3 тыс. чертежей деталей. Злоумышленники пообещали устроить аукцион для желающих приобрести технологические наработки конкурента в случае неуплаты выкупа.

Активность вымогателей в I квартале 2023 года значительно возросла: доля использования шифровальщиков в атаках на организации с применением ВПО составила 53% (на 9 п. п. больше, чем в прошлом квартале), а рост числа инцидентов по сравнению с началом 2022 года составил 77%.

Особенно напряженная обстановка наблюдается в науке и образовании: на эту сферу пришлась большая доля атак вымогателей (19%); целью злоумышленников стали школы и ряд высших учебных заведений по всему миру.

Социальная инженерия остается одним из наиболее популярных методов атак на организации (50%) и частных лиц (91%). Для атак на организации социальные инженеры в основном выбирают электронную почту (86%), а для атак на частных лиц — различные веб-ресурсы и сервисы (59%).

Федор Чунижеков

Аналитик исследовательской группы Positive Technologies

В I квартале мы отметили увеличение числа фишинговых писем, связанных с трудоустройством, увольнением, получением льгот и пособий. Злоумышленники отправляют письма со стилерами — вредоносными вложениями, похищающими учетные данные, — или размещают в письмах ссылки на фишинговые формы входа, например в Microsoft 365, Amazon Web Services и другие сервисы. Мошенничество в сфере трудоустройства стало набирать популярность в 2020 году с началом периода пандемии, для которого были характерны массовые простои, увольнения и переход к формату удаленной работы. На фоне накаленной геополитической обстановки, роста цен и инфляции во всем мире фишеры активно использовали в качестве прикрытия для своих атак всевозможные выплаты и льготы, подделывали соответствующие сайты, рассылали фишинг.

Кроме того, наши эксперты отмечают, что, помимо писем с вредоносными ссылками и вложениями, атакующие используют QR-коды, чтобы обойти антиспам-фильтры и другие средства защиты, поскольку QR-коды являются изображениями и не содержат подозрительных ссылок или отличительных метаданных. Эти особенности писем с QR-кодами могут привести к увеличению числа подобных фишинговых кампаний.

В I квартале 2023 года можно выделить несколько случаев серьезных финансовых потерь вследствие успешных кибератак. Атака вымогателей на MKS Instruments вызвала серьезные нарушения в цепочке поставок продукции, а процесс восстановления оказался затруднен; убытки в виде упущенной прибыли составили 200 млн долларов. Нарушения информационной безопасности могут повлиять и на стоимость ценных бумаг: после инцидента в системах Dish Network стоимость компании снизилась почти на 7%.

Еще одной отличительной чертой I квартала, по мнению наших специалистов, стало повышение активности правоохранительных органов и спецслужб в отношении киберпреступников. Если раньше их деятельность чаще пытались пресечь или осложнить в сфере регулирования, то сейчас правоохранители переходят к активным действиям. В качестве примеров можно назвать обыски и аресты среди администраторов и пользователей мессенджера Exclu, популярного в киберпреступном сообществе, и изъятие серверов группировки вымогателей Hive сотрудниками ФБР.

???? О пятерке атак, которые вызвали наибольшой резонанс в начале года, а также о том, что еще интересного зафиксировали в I квартале наши аналитики, читайте в полной версии исследования.