Шантаж, кража данных и токенов: рассказываем, как действуют кибермошенники

В II квартале 2023 года доля кибератак на компании от общего числа составила 78%, что на 10% больше, чем в начале года.

Чтобы продолжать свою деятельность, бизнесу приходится адаптироваться к новым угрозам и вызовам.

В фокусе – атаки на блокчейн-проекты

Злоумышленники получают доступ к сетевым ресурсам, используя уязвимости и утечки персональных данных. Особенно их интересуют блокчейн-проекты, также наблюдается всплеск активности вымогателей в отношении IT-компаний.

Последствия таких атак довольно серьезные: в 67% случаев компании теряют конфиденциальную информацию, а в 44% – и вовсе нарушается их основная деятельность.

Одной из самых успешных за 2022 год стала атака на сайдчейн Ronin компании Axie Infinity. Она считается крупнейшим взломом среди децентрализованных криптовалютных систем. Хакеры смогли вывести около $620 млн в токенах Ethereum и USDC.

Владельцы серверов криптовалютных бирж в Discord лишились $3 млн от тщательно продуманной атаки хакеров. Злоумышленники связывались с администраторами серверов, представлялись журналистами и договаривались об интервью. Затем псевдожурналисты убеждали администраторов, что им необходимо пройти верификацию личности.

Последние соглашались – и их перенаправляли на вредоносный сайт, похищавший токены пользователя Discord. После чего преступники входили в аккаунты, удаляли других администраторов с сервера и публиковали фишинговую запись.

Шантаж как новый тренд

Долгое время шифрование украденных данных и требование выкупа за их расшифровку было распространенным способом заработка кибермошенников. Но теперь фиксируется новый тренд.

Исследования, проведенные компанией Positive Technologies, показали, что киберпреступники все чаще пропускают этап шифрования и просто шантажируют жертв самой публикацией украденных данных.

Связано это с тем, что использование шифровальщиков требует от кибермошенников значительных усилий по обходу средств защиты, внедрению и развертыванию вредоносного ПО. Таким образом вымогатели могут использовать украденные данные для повторных атак.

Компаниям в случае кибератаки необходимо своевременно выявлять точки компрометации и уязвимости, а также убедиться в том, что мошенники не оставили себе запасных входов.

Суммы, которые вымогают шантажисты, могут исчисляться десятками миллионов долларов.

Например, группировка смогла обойти систему защиты крупнейших в мире производителей полупроводников компании TSMC и украсть конфиденциальную информацию. Утечка произошла с неправильно настроенного сервера поставщика IT-оборудования Kinmax Technologies.

За то, чтобы данные не утекли в Сеть, шантажисты запросили выкуп в размере $70 млн.

Кибермошенники из Money Message смогли украсть 1,5 ТБ данных у компании MSI.

Данные в основном включали ключи Intel Boot Guard и ключи прошивки. За необнародование данных злоумышленники запросили $4 млн. Не получив деньги, они выложили ключи в свободный доступ, чем создали для компании опасную ситуацию.

Дело в том, что с помощью этих ключей подписи мошенник может создать вредоносные обновления прошивки, а затем доставить их через процесс обновления BIOS и инструменты обновления MSI.

Государственный сектор – первостепенная цель

Прошлый год ознаменовался целым рядом кибератак на учреждения по всему миру. Почти каждая вторая атака проводилось с использованием вредоносного ПО. В многочисленных взломах отметились такие группировки, как Cloud Atlas, Tonto, Gamaredon, MuddyWater, Mustang Panda.

Наиболее популярными типами вредоносных программ были шифровальщики (56% среди атак с применением ВПО) и вредоносные программы для удаленного управления (29%).

Беспрецедентная по своим размерам атака произошла в апреле 2022 года, когда хакеры из группировки Conti смогли парализовать большую часть IT-инфраструктуры Коста-Рики. Из-за этого в стране даже было объявлено чрезвычайное положение.

По данным исследования Positive Technologies, в I квартале 2022 года количество атак, направленных на госучреждения, увеличилось практически в два раза по сравнению с IV кварталом 2021-го, а затем продолжало расти в течение всего года.

Государственные учреждения столкнулись с наибольшим количеством кибератак среди организаций: их доля от общего числа атак составила 17%, что на 2%. больше, чем в 2021-м. Всего за 2022 год мы зафиксировали 403 атаки, это на 25% больше, чем за 2021-й.

Лидерами по утечке данных стали медучреждения, которые представляют лакомую цель для мошенников, поскольку на серверах больниц и медцентров находится большой массив данных пациентов от Ф.И.О. и даты рождения до реквизитов счетов и номера карт, информации о страховке и номера водительского удостоверения.

Этот тренд характерен и для СНГ. Например, весной прошлого года в даркнете выставили на продажу базу данных клиентов медицинской лаборатории «Гемотест», содержащую 30 млн строк, включающую имена пациентов, их даты рождения и паспортные данные.

Как организациям уберечься от атак?

Растущие киберугрозы заставляют бизнес более осознанно подходить к своей защите. Они требуют не только усиления информационной безопасности (ИБ) данных и критических бизнес-процессов. Необходим реальный результат в виде исключения недопустимых для каждой организации событий. Такой осознанный подход Positive Technologies называют результативной кибербезопасностью.

В сентябре текущего года Positive Technologies впервые провела в Минске конференцию по кибербезопасности Positive SOCсon, которую посетили представители регулятора, топ-менеджеры, руководители и специалисты из сфер IT и ИБ ведущих компаний Республики Беларусь.

На конференции эксперты компании поделились с белорусскими коллегами лучшими практиками создания эффективной и измеримой защиты, опытом в построении центров мониторинга и реагирования (SOС).

Переход к построению центров обеспечения кибербезопасности, особенно к использованию систем на уровне Национального центра кибербезопасности, позволит организациям объединяться, сотрудничать и действовать превентивно, выделяя во всем многообразии инцидентов и сценариев мониторинга актуальные для себя.

Кроме того, на конференции Национальный центр обмена трафиком и Positive Technologies подписали меморандум о сотрудничестве в области развития кибербезопасности в Республике Беларусь. Совместные усилия будут направлены на то, чтобы увеличить количество высококвалифицированных экспертов по ИБ и повысить осведомленность белорусских компаний в защите от киберугроз.

Источник: Tochka.by