Обзор киберугроз за 1 квартал 2022 года

Во второй половине квартала проводились множественные атаки на веб-ресурсы, и их доля выросла до 22% по сравнению с 13%, наблюдаемыми в прошлом квартале. Увеличилась доля атак, которые стали возможны из-за компрометации или подбора учетных данных. В основном они проводились на веб-ресурсы и аккаунты компаний в социальных сетях.

Последствия атак

Последствия атак разнообразны, и масштаб их влияния может варьироваться от воздействия на одного человека до воздействия на функционирование целой отрасли экономики или всего региона. Чаще всего атаки злоумышленников были направлены на получение конфиденциальной информации. Также из-за действий преступников возникали перебои в работе организаций, нарушение основной деятельности.

Данные прежде всего

В I квартале действия злоумышленников были преимущественно направлены на кражу конфиденциальной информации: для организаций это в первую очередь персональные данные (34%) и сведения, составляющие коммерческую тайну (19%). Также пользовались популярностью медицинская информация (14%) и учетные данные (12%). В атаках на частных лиц были украдены учетные данные (46%), персональные данные (19%) и данные платежных карт (21%).

Типы украденных данных (в атаках на организации)

Типы украденных данных (в атаках на частных лиц)

Громкие утечки коснулись преимущественно IT-компаний. Стоит отметить, что наибольшую ценность в атаках как на организации, так и на частных лиц представляют учетные данные, которые позже могут быть проданы на теневом рынке или же использоваться для развития атаки внутри корпоративной сети. Охота на такую информацию ведется постоянно: так, в середине марта специалисты PT Expert Security Center (PT ESC) зафиксировали фишинговую рассылку на российские организации, отправленную якобы от Госуслуг, целью которой был сбор доменных учетных записей. В теле письма содержалась ведущая на поддельную страницу ссылка, которая формировалась интересным образом: злоумышленники использовали всего лишь несколько доменов, однако, чтобы ссылка была похожа на домен компании, вставляли в третий уровень домен атакуемой компании. Структура ссылки выглядела следующим образом: mail.[домен_компании].[фишинговый_домен].ru.

Вредоносное ПО: шпионы и вайперы

Лидирующие позиции, как и ранее, занимают шифровальщики, использующиеся практически в каждой второй атаке с использованием ВПО, а также вредоносные инструменты для удаленного управления. Также в 1 квартале были замечены кампании по распространению ПО для удаления данных и для проведения DDoS-атак.

Типы вредоносного ПО (доля атак с использованием ВПО)

Волна вайперов

В 1 квартале увеличилось количество атак с использованием ПО для удаления данных: для организаций их доля составляет 3%, а для частных лиц — 2%. Среди таких «очистителей» данных, получивших распространение в 1 квартале, можно отметить WhisperGate, HermeticWiper, IsaacWiper, DoubleZero, CaddyWiper.

В ряде случаев (а именно с WhisperGate) такое ВПО имитировало атаку программы-вымогателя: жертвам даже были оставлены сообщения с информацией о выкупе, однако ключи дешифрования предоставлены не были, а данные были необратимо повреждены. ВПО CaddyWiper, которое проверяло, не являлось ли устройство контроллером домена: если оно являлось таковым, то данные не удалялись. Предполагается, что такая тактика использовалась злоумышленниками для сохранения доступа к зараженной системе.

Способы распространения вайперов также разнообразны: например, HermeticWiper распространялся через HermeticWizard — сетевого червя, а DoubleZero содержался в архивах, распространяемых в целевых фишинговых атаках. В случае с CaddyWiper злоумышленники обычно уже имели доступ к скомпрометированным сетям организаций.

Для защиты от атак вайперов в первую очередь необходимо проверять все полученные файлы в песочнице — специальной виртуальной среде. Убедиться, что сеть корректно сегментирована: это усложнит распространение вредоносной программы в инфраструктуре. При этом особое внимание уделить изоляции критически важных систем и защите хранилищ резервных копий данных, чтобы избежать недопустимых для организации последствий.

Перепродажа доступов: VPN и не только

Злоумышленники активно распространяют инфостилеры для сбора информации о пользователе и системе, эксплуатируя разнообразные методы заражения. Доля шпионского ПО в атаках на организации составила 18%, а на рядовых пользователей — 38%.

Злоумышленники особо заинтересовались учетными данными пользователей VPN-сервисов, их теперь собирают инфостилеры: например, RedLine, Phoenix, Jester Stealer, Saintstealer. Так, стилер Phoenix может собирать данные из браузеров, инструментов VPN, Discord, местоположений файловой системы и криптовалютных кошельков, после чего отправлять их на удаленный сервер. Интересно, что это ВПО было замаскировано под другое, такое же незаконное: изначально пользователи скачивали программу для проведения DDoS-атак. RedLine, еще одно широко используемое ВПО, нацелено на хищение учетных данных, хранящихся в браузере, паролей VPN, данных платежных карт и криптовалютных кошельков, файлов куки и другой информации. Впоследствии данные пользователей часто продаются на площадках в дарквебе: так, больше половины учетных данных на одной из площадок продавцы получают с помощью RedLine. При этом цена за доступ к одной учетной записи составляет от пяти долларов, но дальнейший ущерб для организации может исчисляться миллионами долларов, если злоумышленники скомпрометируют учетные данные сотрудника для удаленного подключения к корпоративной сети. Учетные данные пользователей VPN были похищены в 21% атак, направленных на кражу данных частных лиц.

Способы распространения вредоносного ПО

Самым распространенным способом доставки ВПО по-прежнему является электронная почта, этот метод используется в 52% атак на организации. Так, например, специалисты PT ESC зафиксировали рассылку с вложением, содержащим информацию о мероприятиях, якобы проводимых Роскомнадзором. На самом деле злоумышленники эксплуатировали уязвимость CVE-2021-40444 и загружали Cobalt Strike Beacon на устройство.

Также в марте в атаках на российские научные предприятия использовались массовые рассылки. Пользователям предлагалось открыть вложение, чтобы ознакомиться со списком лиц, попавших под санкции, однако сам шаблон содержал вредоносный макрос, с помощью которого на устройство попадал загрузчик.

В атаках на частных лиц злоумышленники чаще всего использовали поддельные или скомпрометированные сайты, электронную почту, различные мессенджеры и социальные сети. Так, упомянутый выше стилер RedLine был нацелен на игроков Valorant и распространялся через YouTube: пользователям предлагалось перейти по ссылке в описании к видео, чтобы загрузить бота с автоматическим прицеливанием.

Способы распространения вредоносного ПО в атаках на организации

Способы распространения вредоносного ПО в атаках на частных лиц

Способы сокрытия вредоносной деятельности

Чтобы скрыть свою деятельность, злоумышленники адаптируют методы и подходы для противодействия обнаружению. Например, ВПО BazarBackdoor распространяется через контактные формы на сайтах организаций вместо обычных фишинговых писем, чтобы вредоносное вложение не было обнаружено.

Также преступники продолжают злоупотреблять функциями легитимных сервисов и ПО. Например, в атаках на пользователей с учетными записями Google злоумышленники использовали функцию упоминания в Google Документах: пользователь получал уведомление об упоминании по почте, после чего мог перейти по вредоносной ссылке, оставленной в комментариях. А Raccoon Stealer использовал Telegram в качестве сервера контроля и управления: это позволяло скрыть подозрительный трафик в тех компаниях, в которых использовался этот мессенджер. Из-за популярности приложения злоумышленники все чаще используют этот инструмент.

Для противодействия анализу в некоторые вредоносные программы встраивают специальные функции, выполняющиеся в случае обнаружения. Так, в последнюю версию BRATA, ВПО для Android, была добавлена функция, сбрасывающая настройки устройства для удаления всех следов вредоносной деятельности.

Можно отметить и появление новых киберпреступников, еще не реализовавших свой потенциал. Исследователи сообщают, что неизвестный злоумышленник использует новый сложный и мощный загрузчик вредоносного ПО Verblecon в относительно простых атаках, направленных на майнинг криптовалюты. Это ВПО на основе Java использует полиморфизм на стороне сервера, что помогает избежать обнаружения: с помощью шифрования и обфускации Verblecon может изменяться для сканеров безопасности каждый раз, когда загружается.

Курс на пользователей Android

Вредоносные программы снова и снова попадают в официальные магазины приложений, обходя защиту. В 1 квартале в Google Play появлялись и удалялись программы, содержащие вредоносные приложения: FluBot, TeaBot, SharkBot, Escobar, Vultur.

Большинство распространяемых инфостилеров — это банковские трояны, а их доля от общего числа ВПО в атаках на частных лиц составляет 35%. Необходимо быть осторожными при установке новых приложений и внимательно просматривать отзывы: ВПО может содержаться даже в безобидных, на первый взгляд, программах. Так, банковский троян FluBot распространялся как Flash Player, но, попав на устройство и получив необходимые разрешения, мог красть учетные данные из онлайн-банкинга, перехватывать SMS-сообщения и одноразовые пароли. Другой банковский троян, TeaBot, неоднократно появлялся в Google Play с декабря 2021 года, выдавая себя за приложения для считывания QR-кодов, приложения с прогнозом погоды, инструменты для очистки данных, и заразил более 140 000 устройств. Некоторые ВПО, например SharkBot, могут выдавать себя даже за антивирусные программы.

Злоумышленники все чаще добавляют в приложения возможность перехвата кодов многофакторной аутентификации (некоторые ВПО выдают себя за MFA-приложения, как, например, банковский троян Vultur) и увеличивают число встроенных функций. Так, банковский троян Escobar имеет широкий спектр возможностей: контроль над зараженными устройствами с помощью VNC Viewer, запись аудио, снимки экрана, перехват SMS-сообщений, чтение и запись хранилища, получение списка учетных записей, отключение блокировки клавиатуры, совершение вызовов и доступ к точному местоположению устройства. И это, по всей видимости, неокончательная версия ВПО: автор сдавал в аренду бета-версию программы за 3000 долларов в месяц, при этом другие злоумышленники могли бесплатно тестировать бота в течение трех дней.

Адаптация шифровальщиков

В 1 квартале шифровальщики были все так же активны, и большая часть атак была направлена, как и ранее, на медучреждения: злоумышленников привлекал объем содержащейся в системах информации в сочетании с низкой защищенностью инфраструктуры. Выросла доля атак, направленных на госучреждения (с 8% до 13%). Кроме того, мы вновь наблюдали случаи громких атак на промышленные предприятия и IT-компании.

Продолжение атак на устройства QNAP

Владельцам сетевых накопителей все еще необходимо держать руку на пульсе, своевременно устанавливая обновления системы безопасности: в январе программа-вымогатель Qlocker вернулась с новой кампанией. Сообщения о выкупе начали массово появляться на взломанных устройствах.

Позже, также в январе, уже новая группа вымогателей DeadBolt массово шифровала устройства QNAP NAS по всему миру, используя уязвимость нулевого дня в программном обеспечении. Также DeadBolt оставила сообщение для компании: злоумышленники предложили сообщить детали уязвимости или прислать универсальный мастер-ключ для дешифрования за 50 BTC.

Адаптация к разным системам и кроссплатформенность

Для адаптации шифровальщиков к различным системам злоумышленники переписывают программы на другие языки: например, команда шифровальщиков BlackCat (бывшие участники BlackMatter, она же Darkside) делает новое мультиплатформенное ВПО на Rust. На этот же язык переписала свое ВПО и группировка Hive.

Атаки на системы виртуализации продолжаются. В начале квартала злоумышленники активно использовали нашумевшую уязвимость в библиотеке Log4j для атак на серверы VMware, при этом операторы-вымогатели адаптируют программы для разных операционных систем. Например, шифровальщик AvosLocker перешел на Linux и атакует серверы VMware ESXi.

Что будет дальше

Небольшое снижение доли атак шифровальщиков объясняется тем, что некоторые вымогатели переходят на кражу данных, шифруя инфраструктуру не во всех своих атаках. Примером может послужить группировка Lapsus$, вновь заявившая о себе атаками на такие крупные компании, как Nvidia, Samsung, Microsoft и Globant. Скомпрометированные данные были выложены в открытый доступ, при этом системы не были зашифрованы.

В проведении атак злоумышленники переключаются на страховые компании, в системах содержатся сведения о компаниях, которые с большой вероятностью заплатят выкуп, так как имеют полисы киберстрахования.

Рост числа атак на госучреждения

В 1 квартале 2022 года количество атак, направленных на госучреждения, вернулось на прежний уровень, увеличившись практически в два раза по сравнению с данными 4 квартала 2021 года.

Действия злоумышленников в основном были направлены на нарушение деятельности организаций, а также на кражу конфиденциальной информации. Во второй половине квартала отмечен всплеск атак на веб-ресурсы различных государственных учреждений.

Серьезные последствия для промышленности

1 квартал не обошелся без масштабных атак, направленных на различные отрасли промышленности: нефтегазовую отрасль, энергетику, агропромышленность. Чаще всего злоумышленники атаковали компании для кражи конфиденциальной информации, но вредоносные воздействия значительно влияли и на основную деятельность компаний, наносили им серьезный ущерб: возникали простои из-за остановки целых заводов, поломки из-за вмешательства в технологические и бизнес-процессы.

Отметим и крупные атаки на агропромышленность, произошедшие в 1 квартале в России: например, в марте один из крупнейших производителей и дистрибьютеров мясной продукции «Мираторг» подвергcя атаке шифровальщика BitLocker, а в Ростовской области в результате атаки был временно остановлен завод «Тавр». Крупные атаки были вызваны не только шифровальщиками: в феврале злоумышленники попытались испортить 40 тонн продукции в агрохолдинге «Селятино»: получив несанкционированный доступ к системам, преступники изменили ключевые параметры, отвечающие за температурный режим хранения замороженной продукции.

Криптовалюты и блокчейн

Криптовалюты обретают все большую популярность. Этим пользуются злоумышленники, исследуя уязвимости криптовалютных бирж и протоколов передачи средств, а также модифицируя схемы обмана, направленные на частных лиц и криптоинвесторов.

Криптоинвесторы и владельцы криптокошельков под прицелом

Многие инфостилеры переключаются на компрометацию кошельков, реже воруя данные банковских карт. Например, исследователи Bitdefender обнаружили новое модульное ВПО BHUNT, предназначенное для кражи криптовалютных кошельков, нацеленное на их содержимое, пароли и защитные фразы.

Крупные финансовые потери

В 1 квартале мы отметили рост атак на блокчейн-проекты и криптовалютные биржи. Часто после атак компании предлагают денежное вознаграждение за раскрытие найденных и проэксплуатированных уязвимостей.

Атаки на разработчиков

Кража исходного кода и сертификатов для подписей

В 1 квартале наблюдались крупные атаки, направленные на IT-компании: в феврале Lapsus$ атаковали американского разработчика графических процессоров Nvidia, а в начале марта под ударом оказалась компания Samsung, был украден исходный код Samsung Galaxy. В результате атаки на Nvidia был украден 1 ТБ данных. И это еще не все последствия атаки: позже украденные сертификаты Nvidia использовались злоумышленниками для подписи своего ВПО, чтобы создавать видимость легитимной программы.

ВПО в открытых библиотеках

Многих разработчиков в 1 квартале ждал сюрприз — массовое распространение вредоносного ПО, встроенного в коды открытых библиотек.

В марте разработчик node-ipc, популярного пакета npm, выпустил версии библиотеки, при исполнении которых на компьютерах пользователей удалялись и перезаписывались все данные. Потенциально такая атака может нанести пользователям большой ущерб: node-ipc — важный пакет, используемый основными библиотеками для разработки, который загружается более миллиона раз в неделю. Например, Vue.js, фреймворк JavaScript, также использует node-ipc в качестве зависимости, поэтому многие пользователи обратились к разработчикам проекта с просьбой привязать зависимость node-ipc к безопасной версии, после того как некоторые из систем были повреждены.

Злоумышленники часто используют тайпсквоттинг — метод атаки, при котором жертву можно обмануть с помощью пакетов, имена которых схожи с именами легитимных. Также в марте аналитики компании JFrog обнаружили 218 вредоносных пакетов, нацеленных на разработчиков npm, использующих область @azure, а также @azure-rest, @azure-tests, @azure-tools и @cadl-lang. Перечисленный набор законных пакетов загружается десятки миллионов раз каждую неделю, поэтому вероятность ошибки при печати и скачивания шпионского ПО частью пользователей является достаточно высокой.

Разработчикам важно следить за сохранением безопасности специализированных сред, предназначенных для разработки. В конце марта исследователи Aqua Security обнаружили программу-вымогатель, написанную на Python и нацеленную на тех, кто случайно оставил свою среду уязвимой из-за неправильной конфигурации Jupyter Notebook. Эта среда разработки используется для анализа и построения моделей данных, поэтому такая атака может нанести значительный ущерб организациям.

Об исследовании

Этот отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников.

Большинство кибератак могут не предаваться огласке из-за репутационных рисков, поэтому подсчитать точное число угроз невозможно даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Исследование проводится для того, чтобы обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также чтобы выявить основные тенденции в изменении ландшафта киберугроз.

В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна атака, а не как несколько атак.

Итоги 1 квартала 2022 года:

• Количество атак увеличилось на 14,8% по сравнению с 4 кварталом 2021 года. При этом увеличилась доля массовых атак: теперь их количество составляет 33% от общего числа.

• Доля атак на частных лиц остается на прежнем уровне, составляя 15% от общего числа. Методы и мотивы атак не претерпевают существенных изменений.

• Чаще всего в результате атак организации сталкиваются с утечкой конфиденциальной информации (45%) и нарушением основной деятельности (30%). В атаках на частные лица чаще всего были скомпрометированы конфиденциальные данные (55%), также пользователи могли понести финансовые потери (25%).

• Вырос интерес к веб-ресурсам: доля атак на них увеличилась до 22% от общего количества по сравнению с 13%, наблюдаемыми в 4 квартале 2021 года.

• В пятерке наиболее атакуемых отраслей оказались СМИ: доля атак на них составляет 5%. А чаще всего атакам подвергались госучреждения: количество атак на них выросло практически в два раза по сравнению с предыдущим кварталом.

• Злоумышленники активно распространяют шпионское ПО, направленное на кражу учетных данных. В атаках на частных лиц учетные данные составили 46% случаев от общего объема похищенной информации. Особый интерес представляют учетные данные различных VPN-сервисов, которые впоследствии продаются на теневых форумах.

• Доля шифровальщиков несколько снизилась по сравнению с 4 кварталом 2021 года — с 53% до 44%. Такие изменения в определенной степени вызваны тем, что часть группировок вымогателей переходит на промышленный шпионаж без шифрования устройств. Некоторые из шифровальщиков, напротив, не присылают ключи дешифрования, нацеливаясь на разрушение инфраструктуры. Также растет число атак вайперов, которые уничтожают данные.

• ВПО продолжает попадать в официальные магазины приложений: было замечено множество, на первый взгляд, легитимных приложений, нацеленных на пользователей Android. Большинство из таких приложений являются банковскими троянами и загрузчиками, а количество скачиваний пользователями в некоторых случаях превышает сотни тысяч.

• Крупные атаки затронули IT-компании: от утечки данных пострадали такие гиганты отрасли, как Nvidia и Samsung. Также злоумышленники проводят массовые атаки на разработчиков, встраивая вредоносный код в открытые пакеты и библиотеки популярных платформ и фреймворков.

Для защиты от кибератак прежде всего необходимо придерживаться общих рекомендаций по обеспечению личной и корпоративной кибербезопасности. Учитывая особенности 1 квартала, разработчикам ПО нужно внимательно тестировать библиотеки перед их использованием, а также контролировать защищенность и безопасную конфигурацию используемых сред разработки, проверять безопасность собственного кода. Укрепить безопасность веб-ресурсов на периметре компании можно с помощью современных средств защиты (например, web application firewalls). Чтобы предотвратить заражение устройства вредоносным ПО, лучше использовать песочницы, которые анализируют поведение файлов в виртуальной среде и выявляют вредоносную активность.

Статья подготовлена по материалам блога Positive Technologies.