Шифровальщики, стилеры и утечки: в Group-IB назвали тренды 2023 года

Шифровальщики, стилеры и утечки: в Group-IB назвали тренды 2023 года

Шифровальщики, стилеры и утечки: в Group-IB назвали тренды 2023 года

Программы-вымогатели останутся главной кибербедой бизнеса в 2023 году. Свой аналитический отчет публикует Group-IB. Будут расти продажи доступов ко взломанным корпоративным сетям, а стилеры станут главным источником доступов в компанию.

В новом году империя программ-вымогателей сохранит за собой лидерство в рейтинге основных киберугроз для бизнеса. Такой прогноз дается в отчете компании Group-IB "Эволюция киберпреступности. Анализ, тренды и прогнозы 2022/2023".

Самыми активными группами в 2022 были Lockbit, Conti и Hive. Структура преступных группировок продолжает усложняться и все больше напоминает структуру легальных ИТ-стартапов со своей иерархией, системой найма, обучения, мотивации и отпусками.

Индустрия шифровальщиков существует и развивается за счет партнерских программ (Ransomware-as-a-Service, RaaS). Разработчики продают или сдают в аренду вредоносы своим партнерам для дальнейшего взлома сети и развертывания программ-вымогателей.

В прошлом году Group-IB обнаружила 20 новых публичных партнерских программ.

Из них в 2023 году выживут только сильнейшие: мелкие группы, как и в прошлом году, будут распадаться, а их участники перейдут в более крупные.

Количество сайтов, где злоумышленники публикуют похищенные данные компаний для более эффективного давления на жертву (Dedicated Leak Sites, DLS), выросло на 83%, достигнув 44.

По данным Group-IB, ежедневно на DLS оказываются данные 8 жертв, атакованных шифровальщиками, а всего в публичном доступе были выложены данные 2 894 компаний.

Как и ранее, большинство атак вымогателей приходилось на компании в США. Однако в прошлом году количество атак с целью выкупа за расшифровку данных на бизнес в России увеличилось в три раза. 

Рекорд по сумме выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей. Подсчитать общий ущерб или число пострадавших сложно, так как данные российских компаний почти не выкладываются на DLS.

Были замечены и другие тренды, например, активное использование в качестве шифровальщика легального ПО, а также атаки вымогателей на уничтожение ИТ-инфраструктуры жертвы, а не ради денег.

Рост спроса на рынке продажи доступов в скомпрометированные сети компаний подпитывает индустрию вымогателей с новой силой. 

За прошлый год рынок продавцов доступов в даркнете вырос более чем в два раза, при этом средняя цена доступа уменьшилась вдвое. Чаще всего злоумышленники реализуют свой “товар” в виде доступов к VPN и RDP (протокол удаленного рабочего стола).

Новым способом получения доступов в инфраструктуру компаний становится использование стилеров — вредоносных программ для кражи данных с зараженных компьютеров и смартфонов пользователей.

Всего Group-IB обнаружила 380 брокеров по продаже доступов к скомпрометированной инфраструктуре компаний, которые опубликовали более 2 300 предложений на даркнет форумах. 

Самыми активными были злоумышленники под никами Novelli, orangecake, Pirat-Networks, SubComandanteVPN, zirochka — их предложения в сумме составили 25% от всего рынка продажи доступов.

В 2022 году данные, украденные с помощью стилеров, вошли в топ-3 самого продаваемого “товара” в даркнете наряду с продажей доступов и текстовыми данными банковских карт (имя владельца, номер карты, срок истечения, CVV).

Еще один тренд — данные, похищенные с помощью стилеров, злоумышленники все чаще хранят на облаках логов – специальном сервисе для доступа к украденной конфиденциальной информации. 

Впервые эти сервисы появились в 2018 году, однако пик популярности пришелся на 2022 год, когда было обнаружено 102 облака. В облаках логов было обнаружено более 12 000 доступов к сервисам Auth0, 1700 Okta, и 700 OneLogin.

В 2023 году специалисты прогнозируют и рост утечек. Подавляющее большинство баз данных российских компаний выкладывались в 2022 году на андеграундных форумах и тематических Telegram-каналах в публичный доступ бесплатно.

В 2023 году количество скомпрометированных баз данных может увеличиться, а интенсивность самого противостояния в киберпространстве будет возрастать, говорится в отчете.

“Российский рынок сервисов на основе киберразведки переживает новое рождение, своего рода ренессанс”,— считает генеральный директор Group-IB в России и СНГ Валерий Баулин. Большинство российских компаний в 2022 году осознали, что огромное количество решений для кибербезопасности бесполезны, они не укомплектованы технологиями сканирования даркнета, не сопоставляют атаку и атакующего, не имеют предикативной аналитики и не позволяют строить собственную картину киберугроз для каждой отдельно взятой компании.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимые Yealink Meeting Server могут слить учетки участников видеовстреч

Эксперты Positive Technologies выявили в Yealink Meeting Server уязвимость, позволяющую аутсайдеру получить учетные данные всех пользователей системы видео-конференц-связи (ВКС) в целевой организации.

Патч включен в состав сборки 26.0.0.67 и давно доступен, однако далеко не все корпоративные клиенты провайдера удосужились его применить, в том числе в России. Тем, кто этого еще не сделал, рекомендуется обновить софт в кратчайшие сроки.

Уязвимость CVE-2024-48352 (7,5 балла CVSS) классифицируется как раскрытие конфиденциальной информации. Эксплойт осуществляется подачей на сервер HTTP-запроса с ID атакуемого предприятия.

«До своего исправления уязвимость CVE-2024-48352 позволяла любому злоумышленнику без авторизации получить учетные данные всех пользователей системы, — уточнил старший специалист PT по пентесту Егор Димитренко. — Это означает, что атакующий мог бы входить в ВКС-систему от имени любого пользователя и перехватывать информацию внутри организации».

По данным ИБ-компании, в прошлом месяце в интернете присутствовал 461 непропатченный экземпляр Yealink Meeting Server. Больше половины установок расположены в Китае, 13% — в России.

 

В начале этого года исследователи из PT обнаружили в том же продукте Yealink еще одну, более опасную проблему — CVE-2024-24091 (инъекция команд, 9,8 балла CVSS). Использование обеих уязвимостей в связке, по словам экспертов, позволяет получить начальный доступ к корпоративной сети.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru