Новый флагманский отчет является единственным и наиболее полным источником стратегических и тактических данных о киберугрозах, актуальных для России и СНГ в период острого геополитического конфликта. Исследование станет практическим руководством по стратегическому и тактическому планированию проактивной киберзащиты для руководителей групп кибербезопасности, аналитиков SOC, CERT, специалистов по реагированию на инциденты, Threat Intelligence и Threat Hunting, а также компаниям из различных секторов.
Аналитики департамента Threat Intelligence компании F.A.С.С.T. выделили в прошлом году 14 прогосударственных хакерских групп (APT, Advanced Persistent Threat), которые атаковали организации на территории России и стран СНГ. Чаще всего цели APT-группировок находились в России (28 атак), Азербайджане (6 атак), Белоруссии, Киргизии, Казахстане (по 4 атаки). В основном, мишенями атакующих оказывались госучреждения, организации, связанные с критически важной инфраструктурой, военные ведомства и предприятия оборонно-промышленного комплекса.
За большинством DDoS-атак и публикацией скомпрометированных баз данных российских компаний в 2023 году, как выяснили эксперты F.A.C.C.T., стояли проукраинские хактивисты. В то же время кибершпионажем в России и СНГ по-прежнему занимаются и группировки из не участвующих прямо в конфликте стран, например, Китая или Северной Кореи.
Кроме того, были зафиксированы инциденты, когда инфраструктуры российских компаний были скомпрометированы с участием бывших сотрудников. Многие из них совершали свои противоправные действия, находясь за пределами России.
В 2024 году в условиях продолжающегося острого геополитического конфликта приоритетными целями хактивистов и прогосударственных хакерских групп будут шпионаж, кража интеллектуальной собственности и получение доступа к базам данных компаний — в первую очередь госорганизаций, предприятий военно-промышленного и научно-исследовательского сектора. Кроме того, эксперты F.A.С.С.T. предупреждают о рисках проведения новых сложных кибератак на российские организации через компрометацию их поставщиков, вендоров и партнеров.
В 2023 году эксперты F.A.C.C.T. вновь наблюдали взрывной рост киберугроз и высокотехнологичных атак на российские компании. Так, количество атак программ-вымогателей для получения выкупа выросло на 160%, средняя сумма первоначального выкупа по итогам 2023 года составила 53 млн рублей. Жертвами чаще всего становились ритейлеры, производственные, строительные, туристические и страховые компании.
Обнаруженный экспертами F.A.C.C.T. преступный синдикат Comet (Shadow) — Twelve стал «открытием года», поскольку продемонстрировал новую тенденцию — появление групп «двойного назначения», которые преследуют как финансовые, так и политические цели. Одной из новых тактик злоумышленников стала кража учетных записей в Telegram на устройствах жертв, что уже после проведения атаки позволяло шпионить за сотрудниками атакованной компании.
Кроме того, впервые в России некоторые группировки вымогателей, например Shadow (Comet) и Werewolves, стали выкладывать данные об атакованных российских компаниях на собственные DLS-ресурсы. Публичное сообщение об атаке и угроза публикации украденных данных — это дополнительный инструмент давления на жертву, который уже давно и успешно применялся за пределами России.
По мнению экспертов F.A.C.C.T., программы-вымогатели в 2024 году сохранят за собой первое место в списке главных киберугроз для российских компаний. Одной из причин успеха их атак является и растущий теневой рынок продажи скомпрометированных доступов в инфраструктуру потенциальных целей. Возможность получения доступа к скомпрометированному хосту намного упрощает работу атакующих.
Для хранения, продажи и распространения похищенных данных злоумышленники всё чаще используют облака логов (Underground Cloud of Logs, UCL), специальные сервисы для доступа к украденной конфиденциальной информации, через которые проходят огромные потоки украденных данных, полученных в основном с помощью вредоносных программ-стилеров. Облака логов являются для киберпреступников ценным источником скомпрометированных данных для развития атак на компании в России и СНГ.
По сравнению с прошлым годом количество облаков логов выросло в три раза в 2023 году: эксперты F.A.C.C.T. обнаружили около 300 облаков логов (в прошлом году — 102 облака).
В 2023 году в облаках зафиксирован пятикратный рост количества данных, имеющих отношение к крупным банкам в России и СНГ: с 496 до 2282 скомпрометированных хостов — рабочих станций, компьютеров, на которых с помощью стилера была скомпрометирована учетная запись хотя бы одной крупной финансовой организации.
Еще одним источником приобретения данных банковских карт, доступов к серверам, панелям управлениям или аккаунтам пользователей являются теневые андеграундные маркеты. Благодаря тому, что все подобные ресурсы собираются и обрабатываются автоматическими системами F.A.C.C.T. в реальном времени, читатели отчета могут ознакомиться со статистикой скомпрометированных хостов — компьютеров или серверов пользователей. Среди стран СНГ, чьи скомпрометированные данные были выставлены на продажу на андеграундных маркетах, кроме России, оказались Азербайджан (5523), Узбекистан (2183) и Армения (798).