В 2022 году количество кибератак финансово мотивированных хакеров увеличилось почти в три раза по сравнению с 2021 годом. Такие данные приводятся в исследовании и Group-IB.
Отмечается, что самым популярным типом киберугроз, с которыми столкнулись во время реагирований эксперты компании, стали атаки с использованием программ-вымогателей — на них пришлось 68% всех инцидентов. Если компьютер или сеть заражены программой-вымогателем, происходит блокировка доступа к системе или шифрование данных. Киберпреступники требуют от своих жертв выкуп в обмен на предоставление доступа к данным.
Жертвами шифровальщиков чаще всего становились российские ритейлеры, производственные и страховые компании. Для сравнения: пять лет назад 70% хакерской активности было связано с целевыми атаками на финансовый сектор.
А вот среднее время простоя атакованной организации сократилось с 18 до 14 дней.
Наиболее агрессивными группами программ-вымогателей в России в прошлом году стали Phobos, CryLock и Sojusz, а рекорд по сумме требуемого выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей.
Еще одной тенденцией прошлого года стало использование программ-вымогателей хактивистами — политически активными хакерами. Цель таких атак, как правило, не связана с финансовой мотивацией: они стремятся разрушить или остановить работу IТ-инфраструктуры жертвы и создать общественный резонанс. Этому во многом способствовал текущий геополитический кризис и появление в публичном пространстве исходных кодов программ-вымогателей Conti и LockBit.
Самой популярной техникой, используемой для получения первоначального доступа в корпоративные сети, впервые стала эксплуатация уязвимостей публично доступных приложений — ее применяли в 61% расследованных инцидентов, за ней следуют фишинг — 22% и компрометация служб удаленного доступа — 17%.
Годом ранее главным вектором атак для большинства банд вымогателей были публичные RDP-серверы (52%), фишинг (29%), и только затем — эксплуатация общедоступных приложений (17%).
Примечательно, что технику эксплуатации публично доступных приложений использовали как операторы шифровальщиков, пытавшихся получить выкуп, так и хактивисты, старавшиеся разрушить IT-инфраструктуру атакованной организации.
Исследование проводилось на базе проведенных реагирований на инциденты в российских компаниях.
Фото: Freepik