Solar 4RAYS

Четверть (25%) всех организаций, зараженных вредоносным ПО, относится к сфере здравоохранения, отмечают эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар». Таковы данные за 3 квартал 2024 года, собранные на сети сенсоров и ханипотов. Еще 18% сработок, указывающих на присутствие в сети вредоносов, пришлось на госсектор. В инфраструктурах обеих отраслей хранится множество персональных данных россиян, но в то же время на ИТ-периметрах организаций остается достаточно незакрытых уязвимостей.

По данным центра исследования киберугроз Solar 4RAYS ГК «Солар», на Россию пришлось 28% срабатываний, зафиксированных сетью сенсоров и ханипотов в 3 квартале 2024 года. Таким образом, Россия находится на 2 месте по числу нацеленных на нее кибератак, на первом — США (где было зафиксировано 37% всех срабатываний). Также среди наиболее атакуемых стран Канада, Швейцария, Сингапур.

Эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружили новую волну фишинговой кампании с использованием вируса-стиллера SnakeKeylogger. Цели злоумышленников — крупные российские компании из сферы промышленности, сельского хозяйства и энергетики. Вредонос появился еще в 2020 году, однако сейчас эксперты наблюдают пик его активности. Популярности вируса способствует его доступность даже для низкоквалифицированных хакеров.

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили уникальное вредоносное ПО GoblinRAT с широкой функциональностью для маскировки. Об этом эксперты рассказали на SOC Forum 2024. ВПО обнаружили в сети нескольких российских ведомств и ИТ-компаний, которые обслуживают госсектор. С помощью GoblinRAT злоумышленники смогли получить полный контроль над инфраструктурой жертв. Самые ранние следы заражения датируются 2020 годом, на данный момент ВПО удалено из атакованных сетей. На сегодня это одна из самых сложных и скрытных атак, с которыми доводилось сталкиваться экспертам Solar 4RAYS, коллеги по ИБ-отрасли также не встречались с данным кейсом.

Как отмечают аналитики Центра исследования киберугроз Solar 4RAYS, в первом полугодии 2024 года в 50% успешных кибератак злоумышленники использовали скомпрометированные аккаунты сотрудников компании и взломанные учетные записи подрядчиков и субподрядчиков (supple chain и trusted relationship), имеющих доступ к информационным системам крупных организаций.

Центр исследования киберугроз Solar 4RAYS запускает услугу Compromise Assessment — поиск скрытного присутствия атакующих в сети организации. Заказать подобную проверку компаниям стоит при первых признаках подозрительной активности в сети, а также при сомнении в полном покрытии инфраструктуры средствами ИБ-мониторинга. Это позволит выявить атаку на начальной стадии и не допустить фатальных последствий для бизнеса. В рамках Compromise Assessment можно также обнаружить следы прошлых взломов, которые остались незамеченными средствами защиты.

В первой половине 2024 года большинство (60%) успешных целевых кибератак на российские организации было реализовано профессиональными хакерами: кибернаемниками и проправительственными группировками. Для первичного проникновения в инфраструктуру они чаще всего использовали скомпрометированные аккаунты сотрудников компаний и уязвимости в корпоративных веб-приложениях. Годом ранее за большинством инцидентов стояли киберхулиганы и хактивисты, а количество атак через украденные аккаунты было ниже в 4 раза. Такие данные следуют из отчета центра исследования киберугроз Solar 4RAYS ГК «Солар».

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» выявили серию атак прогосударственной группировки Lifting Zmiy на российские госорганы и частные компании. Серверы управления вредоносным ПО злоумышленники размещали на взломанном оборудовании, которое входит в состав SCADA-систем, используемых в том числе для управления лифтами. В некоторых случаях подключение к зараженным системам осуществлялись с IP-адресов, принадлежащих Starlink (сервису спутникового интернета компании SpaceX). Ключевой целью группировки Lifting Zmiy было хищение данных, а в ряде случаев атакующие также уничтожали часть инфраструктуры своих жертв.

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» выявили деятельность прогосударственной высокопрофессиональной группы Shedding Zmiy, которая шпионит за российскими организациями минимум с 2022 года. На счету хакеров несколько десятков кибератак на госсектор, промышленность, телеком и другие отрасли. Скомпрометированные данные они использовали в последующих атаках, а также выкладывали их публично.