19.04.2023

Украинские хакеры атакуют российскую промышленность

Крупные российские промышленные компании начали атаковать новые группировки хакеров. Злоумышленники используют публичные сервисы, чтобы проникнуть в инфраструктуру организаций. За расшифровку данных они требуют выкуп в районе размере $1-2 млн. ИБ-эксперты сообщают, что взламывать российские компании стали намного быстрее: если раньше на это требовалось около трех месяцев, сейчас – всего неделя.

Новая группировка
С середины марта 2023 г. крупные компании из российского промышленного сектора начала атаковать новая группа вымогателей. Об этом пишет ТАСС со ссылкой на представителей компании, работающей в сфере кибербезопасности Group-IB.

О том, что своей жертвой российский промышленный сектор выбрала новая группировка вымогателей Shadow, сообщили эксперты лаборатории компьютерной криминалистики Group-IB. Специалисты зафиксировали сразу несколько атак на крупные организацию. «За расшифровку данных злоумышленники требуют от жертвы сумму от $1-2 млн»,– уточнили ИБ-специалисты.

Shadow фото FreePik.jpg

Хакеры оказываются в ИТ-инфраструктуре организаций с помощью уязвимых публичных сервисов. Затем они шифруют данные компаний с помощью версии программы-вымогателя LockBit3, собранной на базе исходного кода, который есть в открытом доступе. Для российской операционной системы Linux злоумышленники используют шифровальщик на основе исходных кодов вымогателя Babuk.

«Вымогатели пришли в Россию и стали одной из основных киберугроз для бизнеса, – отмечает Валерий Баулин, генеральный директор Group-IB в России и СНГ. – В ходе реагирований мы видели, что подавляющее большинство компаний-жертв не только технически не были готовы к отражению атак программ-вымогателей, но и не имели плана реагирования на киберинцидент. В этом случае в сжатые сроки стабилизировать работу профильных подразделений фактически невозможно».

Кто орудует и зачем
Предположительно атаки могут вестись проукраинскими хакерами – в пользу этого говорит факт ошибочного набора атакующими команды PowerShell на украинской раскладке клавиатуры. Это выяснили специалисты Group-IB во время расследования одного из инцидентов. В беседе с CNews основатель компании «Интернет-розыск» Игорь Бедеров предположил, что компьютер, с которого была осуществлена атака, был украинским или был продан на территории Украины.

«Это единственное, что об этой группировке сейчас известно. Кошельки пока находятся на проверке, будут исследованы транзакции, чтобы определить, где снимут полученные деньги»,– уточнил Бедеров.

«Кроме того, выявлены инструменты, аналогичные использованным в атаках неизвестной группировкой на российские банки в 2018 году»,– уточнили в Group-IB .

После проведения атаки представители Shadow угрожают разместить данные в даркнете и требуют выкуп. В то же время, несмотря на возможную связь с Украиной, представители группировки заявляют, что действуют не из политических соображений – а только с целью обогащения.

Эксперты Group-IB отмечают, что до сих пор в России такой инструмент шантажа среди вымогателей был не распространен. Обычно они угрожали не предоставить ключ для расшифровки данных. Если же говорить о публикации похищенной информации на DLS-сайтах, с такими угрозами чаще сталкиваются американские, европейские и азиатские компании.

Вымогатели обогащаются
По информации экспертов Group-IB, в 2022 г. число инцидентов с целью вымогательства денег в России выросло почти в три раза, если сравнивать с 2021 г. В среднем после атаки организация восстанавливалась две недели.

Чаще всего мошенники используют программы-вымогатели – на них приходится 68% всех кибератак. Самыми агрессивными группами программ-вымогателей в России в 2022 г. стали Phobos, CryLock и Sojusz. Рекордный выкуп от жертвы потребовала кибергруппировка OldGremlin – 1 млрд руб.

Мишенью шифровальщиков, в основном, становились ритейлеры, производственные и страховые компании. Тренды сменились: еще пять лет назад 70% хакерских атак были направлены на финансовый сектор.

ИБ-эксперты отмечают, что еще одной яркой тенденцией 2022 г. на фоне мировой общественно-политической повестки стала активизация политически активных хакеров, которым деньги не нужны. Их цель – остановить работу ИТ-инфраструктуры компании и попасть в заголовки СМИ. Этому способствовало в том числе появление в публичном пространстве исходных кодов программ-вымогателей Conti и LockBit. Именно их криминалисты Group-IB чаще всего видят в атаках на организации в России.

Как происходит атака
ИБ-эксперты уточняют, что в 2022 г. самой популярной техникой для получения первичного доступа в корпоративные сети стала эксплуатация уязвимостей публично доступных приложений. Так, ее применяли в 61% расследованных инцидентов. Далее по популярности следуют фишинг — 22% и компрометация служб удаленного доступа —17%.

Еще год назад банды вымогатели в основном пользовались публичными RDP-серверами (52%).

«Публичные сервисы – это все те веб-интерфейсы, мобильные приложения, почтовые сервисы, CRM-системы, которые компания использует,– объяснил Игорь Бедеров. – Они являются публичными, чтобы внешние пользователи могли с ними взаимодействовать. Нужно сказать, что взлом с их помощью ускорился с трех месяцев до недели, так как хакеры используют более совершенное ПО. Очевидно, что компаниям нужно тщательнее заниматься информационной безопасностью, контролировать контур, проводить регулярные пентесты для выявления возможных каналов для атаки».

Еще один способ получения первоначального доступа к ИТ-инфраструктурам компаний – это компрометация служб удаленного доступа и проникновение через публично-доступные терминальные серверы, либо через VPN-сервисы. Хакеры использовали метод brutforce или перебор паролей, или данные, похищенные с помощью инфостилеров – это тип вредоносного ПО для кражи данных онлайн-кошельков, логинов, паролей. Также мошенники часто перекупали данные у брокеров первоначального доступа.

Источник:  CNews

Возврат к списку новостей