Двойной листинг и шантаж законом: новые методы атак в III квартале 2023г

В III квартале 2023 года киберпреступники продолжали атаковать организации и частных лиц с целью вымогательства. По данным исследования Positive Technologies, злоумышленники отказывались от шифрования данных и угрожали их раскрытием в случае невыплаты выкупа. Эксперты также отметили новые необычные методы социальной инженерии и приемы операторов вымогателей.

Одним из ведущих методов атак на организации остается эксплуатация уязвимостей (37% всех инцидентов). Злоумышленники активно использовали недостатки популярных IT-решений в преступных целях. Это подчеркивает важность регулярного обновления и обеспечения безопасности ПО.

В III квартале доля атак с использованием вредоносного ПО осталась на уровне прошлого квартала и составила 45%. На протяжении всего квартала вымогатели требовали выкуп за неразглашение информации, в ряде атак отказываясь от шифрования систем.

«Шифровальщики все еще остаются наиболее часто используемым типом вредоносного ПО в атаках на организации, однако их доля уменьшилась на 6 п. п. относительно предыдущего квартала, — отметили в Positive Technologies. — По нашему мнению, на снижение эффективности шифровальщиков повлияло распространение дешифраторов, а также постепенный переход вымогателей к шантажу раскрытием украденной информации без шифрования скомпрометированных систем и данных. В некоторых случаях при отказе организации платить выкуп злоумышленники напрямую связываются с жертвами — клиентами пострадавших организаций, предлагая им возможность заплатить за удаление своих данных. Еще одной интересной тенденцией стал „двойной листинг“, когда об атаке на одну и ту же организацию заявляют сразу две группировки вымогателей, требуя выкуп».

В компании также обратил внимание на уникальный прием, которым пользуется группировка Ransomed.vc. Позиционируя свою вредоносную деятельность как «услугу тестирования на проникновение», злоумышленники активно используют правовой режим Общего регламента ЕС по защите данных (GDPR): в случае если жертва не платит требуемый выкуп, Ransomed.vc публикует украденную информацию, что приводит к штрафу для организации. Эксперт назвал этот прием «шантаж в законе».

По данным Positive Technologies, в III квартале выросла доля атак с использованием шпионского ПО в атаках на частных лиц (65%). В успешных атаках на организации доля случаев заражения шпионским ПО остается на прежнем уровне (20%). Больше половины заражений организаций различными типами вредоносов происходило с помощью электронной почты (57%). Основным способом распространения ВПО среди частных лиц остались сайты (49%), доля которых увеличилась на 9 п. п. относительно II квартала.

Социальная инженерия остается главной угрозой для частных лиц (92%) и одной из главных — для организаций (37%). Злоумышленники продолжали эксплуатировать для фишинга темы трудоустройства, политических событий и быстрого заработка, в том числе с помощью криптовалют, а также маскировались под службы доставки.

Эксперты Positive Technologies отмечают, что методы социальной инженерии постоянно эволюционируют. Для внушения жертве ложного чувства безопасности злоумышленники применяли изощренные тактики. Мошенники использовали модульные инструменты для создания убедительных фишинговых сайтов и переписок, а также проводили многоэтапные атаки: добивались преступной цели за несколько шагов, сочетая различные методы обмана. В ряде атак киберпреступники использовали скомпрометированные IT-системы компаний для атак на их клиентов и партнеров, как в случае с атакой на отели, размещенные на Booking.com. В Positive Technologies прогнозируют рост атак с использованием нейросетей, постепенно пополняющих арсенал злоумышленников.

Эксперты рекомендуют оставаться бдительными в сети, не переходить по подозрительным ссылкам и не скачивать вложения из непроверенных источников. С подозрением стоит относиться к срочным требованиям, слишком выгодным предложениям.

Результатом успешных атак чаще всего становилась утечка данных (56% в успешных атаках на организации и 61% — на частных лиц). В атаках на частных лиц вторыми по распространенности последствиями стали прямые финансовые потери (35%). Нарушение основной деятельности вновь стало вторым по частотности результатом успешных атак на организации (36%), однако его доля снизилась на 8 п. п. относительно II квартала в связи со спадом применения шифрования при вымогательстве. Тем не менее эксперты рекомендуют не сбрасывать атаки шифровальщиков со счетов, поскольку они вызывают, как правило, серьезные последствия, как в случае с атакой на правительственные учреждения Шри-Ланки, в результате которой была утрачена электронная корреспонденция за три с небольшим месяца.

Для защиты устройств от заражения эксперты рекомендуют использовать песочницы, которые позволяют проанализировать поведение файлов в виртуальной среде, выявить вредоносную активность и вовремя предотвратить ущерб компании. Для защиты от шифрования рекомендуется не пренебрегать резервным копированием.