Все о Цифровых системах - новости, статьи, обзоры, аналитика. Более 1000 компаний, товаров и услуг в каталоге.
Добавить компанию
ГлавнаяКомпанииБрендыКаталогСобытияКонтакты
En
Главная » Компании » Positive Technologies » Аналитика » Киберпреступники атакуют жертв руками их коллег

Киберпреступники атакуют жертв руками их коллег

Рубрика: «Кибербезопасность»
22.08.2024

Анализ актуальных киберугроз за II квартал 2024 года показал, что социальная инженерия осталась одним из основных методов атаки на организации, при этом в 83% случаев использовались электронные письма

Эксперты Positive Technologies зафиксировали сложные схемы фишинга: злоумышленники стали отправлять письма сотрудникам компаний с просьбой переслать их жертвам. Кроме того, во II квартале продолжила расти доля использования ВПО для удаленного управления (remote access trojan, RAT) в атаках на организации, а также было выявлено массовое распространение скиммеров.[1]

Социальная инженерия использовалась в каждой второй успешной атаке на компании (51%). В мае специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировали необычную фишинговую рассылку от кибергруппировки Hive0117. Одно из писем, к которому был приложен защищенный паролем архив, содержавший бэкдор DarkWatchman[2], пришло сотруднику холдинговой компании. Чтобы вызвать доверие получателя, злоумышленники замаскировали сообщение под ответ на некое ранее отправленное письмо, а в тексте намекнули на срочность — якобы идет налоговая проверка — и попросили переслать информацию бухгалтеру. Такие атаки имеют высокие шансы на успех, потому что коллеги, как правило, воспринимаются как доверенные лица.

Использование вредоносного ПО по-прежнему занимает лидирующую позицию среди других методов кибернападений на компании (64%). При этом второй квартал подряд эксперты отмечают увеличение доли инцидентов с применением ВПО для удаленного управления в атаках как на организации (41%), так и на частных лиц (42%). По сравнению с первыми тремя месяцами текущего года рост составил 9% и 5% соответственно. Киберпреступники стали чаще использовать RAT, с помощью этого типа ВПО можно получить постоянный доступ ко взломанным системам для длительного шпионажа за жертвами.

«Злоумышленники активно распространяют инструменты RAT, в том числе через различные менеджеры пакетов, такие как npm, PyP, имитируя названия реальных файлов. Популярность этого способа возросла на 15% по сравнению с предыдущим кварталом, а значит, разработчики ПО стали одними из основных целей киберпреступников в первом полугодии. Злоумышленники искусно совершенствуют методы распространения ВПО и сами программы, чтобы оставаться незаметными. Например, новая версия зловреда CraxsRAT может обходить встроенный антивирус на устройствах под управлением Android — Google Play Protect, а также позволяет внедрять вредоносную нагрузку в APK-файлы[3], и это тревожный звонок для безопасности смартфонов на этой платформе», - рассказал Дмитрий Стрельцов, аналитик исследовательской группы Positive Technologies.

По итогам II квартала доля данных платежных карт среди украденной информации в атаках на частных лиц увеличилась на 9% и составила 22%. Эксперты связывают это с массовым распространением скиммеров. Например, специалисты компании Sucuri обнаружили новый веб-инструмент — Caesar Cipher, нацеленный на системы управления контентом, такие как WordPress, Magento, OpenCart. Украденные данные злоумышленники используют в дальнейших атаках и продают в даркнете. 

С учетом специфики киберугроз II квартала эксперты Positive Technologies рекомендуют:

  • Частным лицам: вдумчиво читать письма, даже если они пришли от знакомых пользователей, не открывать сразу защищенные паролем архивы, проверять подлинность подозрительных сообщений, связываясь с отправителями по другим каналам, а также изучать незнакомые ресурсы перед тем, как ввести личные данные. 
  • Разработчикам ПО: регулярно обновлять инструменты для управления исходным кодом и проверять пакеты, например с помощью PT PyAnalysis, внедрить практику безопасности цепочек поставок, используя инструменты application security, такие как система анализа защищенности кода приложений (PT Application Inspector), сканер для динамического тестирования веб-ресурсов (PT BlackBox).
  • Организациям: периодически проводить инвентаризацию ИТ-активов и классифицировать их по степени важности, вводить политики разграничения доступа к данным и отслеживать обращения к чувствительной информации. Для защиты периметра эксперты советуют применять межсетевые экраны веб-приложений (PT Application Firewall) и налаживать процессы управления уязвимостями (MaxPatrol VM). Для своевременного обнаружения новейших образцов ВПО — внедрять передовые песочницы (PT Sandbox), средства защиты конечных устройств от сложных и целевых атак (MaxPatrol EDR), продукты для мониторинга сетевого трафика (PT NAD), системы мониторинга событий ИБ и управления инцидентами (MaxPatrol SIEM) и межсетевые экраны нового поколения (PT NGFW). Чтобы оценить эффективность выстроенной системы защиты, специалисты рекомендуют участвовать в программах багбаунти (Standoff 365 Bug Bounty).

 

[1] ВПО для считывания данных банковских карт. 

[2] Троян удаленного доступа, написанный на JavaScript. Позволяет подключиться к зараженному компьютеру и загрузить другие вредоносные программы, собрать необходимую информацию о компании или продвинуться далее по сети. 

[3] Файлы, которые используются для установки приложений на устройствах под управлением Android.