Positive Technologies
Новости

Исследование Positive Technologies: киберпреступники атакуют жертв руками их коллег

Анализ актуальных киберугроз за II квартал 2024 года показал, что социальная инженерия осталась одним из основных методов атаки на организации, при этом в 83% случаев использовались электронные письма

Эксперты Positive Technologies зафиксировали сложные схемы фишинга: злоумышленники стали отправлять письма сотрудникам компаний с просьбой переслать их жертвам. Кроме того, во II квартале продолжила расти доля использования ВПО для удаленного управления (remote access trojan, RAT) в атаках на организации, а также было выявлено массовое распространение скиммеров1.

Социальная инженерия использовалась в каждой второй успешной атаке на компании (51%). В мае специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировали необычную фишинговую рассылку от кибергруппировки Hive0117. Одно из писем, к которому был приложен защищенный паролем архив, содержавший бэкдор DarkWatchman2, пришло сотруднику холдинговой компании. Чтобы вызвать доверие получателя, злоумышленники замаскировали сообщение под ответ на некое ранее отправленное письмо, а в тексте намекнули на срочность — якобы идет налоговая проверка — и попросили переслать информацию бухгалтеру. Такие атаки имеют высокие шансы на успех, потому что коллеги, как правило, воспринимаются как доверенные лица.

Использование вредоносного ПО по-прежнему занимает лидирующую позицию среди других методов кибернападений на компании (64%). При этом второй квартал подряд эксперты отмечают увеличение доли инцидентов с применением ВПО для удаленного управления в атаках как на организации (41%), так и на частных лиц (42%). По сравнению с первыми тремя месяцами текущего года рост составил 9% и 5% соответственно. Киберпреступники стали чаще использовать RAT, с помощью этого типа ВПО можно получить постоянный доступ ко взломанным системам для длительного шпионажа за жертвами.

«Злоумышленники активно распространяют инструменты RAT, в том числе через различные менеджеры пакетов, такие как npm, PyP, имитируя названия реальных файлов. Популярность этого способа возросла на 15% по сравнению с предыдущим кварталом, а значит, разработчики ПО стали одними из основных целей киберпреступников в первом полугодии. Злоумышленники искусно совершенствуют методы распространения ВПО и сами программы, чтобы оставаться незаметными. Например, новая версия зловреда CraxsRAT может обходит...

Дмитрий Стрельцов
Дмитрий СтрельцовАналитик исследовательской группы Positive Technologies

По итогам II квартала доля данных платежных карт среди украденной информации в атаках на частных лиц увеличилась на 9% и составила 22%. Эксперты связывают это с массовым распространением скиммеров. Например, специалисты компании Sucuri обнаружили новый веб-инструмент — Caesar Cipher, нацеленный на системы управления контентом, такие как WordPress, Magento, OpenCart. Украденные данные злоумышленники используют в дальнейших атаках и продают в даркнете. 

С учетом специфики киберугроз II квартала эксперты Positive Technologies рекомендуют:

  • Частным лицам: вдумчиво читать письма, даже если они пришли от знакомых пользователей, не открывать сразу защищенные паролем архивы, проверять подлинность подозрительных сообщений, связываясь с отправителями по другим каналам, а также изучать незнакомые ресурсы перед тем, как ввести личные данные. 
  • Разработчикам ПО: регулярно обновлять инструменты для управления исходным кодом и проверять пакеты, например с помощью PT PyAnalysis, внедрить практику безопасности цепочек поставок, используя инструменты application security, такие как система анализа защищенности кода приложений (PT Application Inspector), сканер для динамического тестирования веб-ресурсов (PT BlackBox).
  • Организациям: периодически проводить инвентаризацию ИТ-активов и классифицировать их по степени важности, вводить политики разграничения доступа к данным и отслеживать обращения к чувствительной информации. Для защиты периметра эксперты советуют применять межсетевые экраны веб-приложений (PT Application Firewall) и налаживать процессы управления уязвимостями (MaxPatrol VM). Для своевременного обнаружения новейших образцов ВПО — внедрять передовые песочницы (PT Sandbox), средства защиты конечных устройств от сложных и целевых атак (MaxPatrol EDR), продукты для мониторинга сетевого трафика (PT NAD), системы мониторинга событий ИБ и управления инцидентами (MaxPatrol SIEM) и межсетевые экраны нового поколения (PT NGFW). Чтобы оценить эффективность выстроенной системы защиты, специалисты рекомендуют участвовать в программах багбаунти (Standoff 365 Bug Bounty).
  1. ВПО для считывания данных банковских карт. 
  2. Троян удаленного доступа, написанный на JavaScript. Позволяет подключиться к зараженному компьютеру и загрузить другие вредоносные программы, собрать необходимую информацию о компании или продвинуться далее по сети. 
  3. Файлы, которые используются для установки приложений на устройствах под управлением Android.

Может быть интересно: