В 2022 году количество кибератак финансово мотивированных хакеров увеличилось почти в три раза по сопоставленью с 2021 годом. Такие данные приводятся в разработке и Group-IB.
Отмечается, что самым популярным типом киберугроз, с которыми столкнулись во время реагирований эксперты компании, стали атаки с использованием программ-вымогателей - на них пришлось 68% всех инцидентов.
Жертвами шифровальщиков чаще всего становились российские ритейлеры, производственные и страховые компании. Для сравнения: пять лет назад 70% хакерской активности было связано с целевыми атаками на банковский сектор.
Group-IB зафиксировала атаки мобильного трояна Godfather на 400 финансовых компаний
А вот среднее время простоя атакованной организации сократилось с 18 до 14 дней.
Наиболее агрессивными группами программ-вымогателей в России в былом году стали Phobos, CryLock и Sojusz, а рекорд по сумме требуемого выкупа поставила группа OldGremlin, потребовав от жертвы 1 млрд рублей.
Еще одной тенденцией бывшего года стало использование программ-вымогателей хактивистами - политически активными хакерами. Цель таких атак, как правило, не связана с финансовой мотивацией: они устремляются разрушить или остановить работу IТ-инфраструктуры жертвы и создать общественный резонанс. Этому во многом способствовал текущий геополитический кризис и появление в публичном пространстве исходных кодов программ-вымогателей Conti и LockBit.
Самой популярной техникой, используемой для получения первоначального доступа в корпоративные сети, впервые стала эксплуатация уязвимостей публично доступных приложений - ее применяли в 61% расследованных инцидентов, за ней следуют фишинг - 22% и компрометация служб удаленного доступа - 17%.
Годом ранее главным вектором атак для многих банд вымогателей были публичные RDP-серверы (52%), фишинг (29%), и только затем - эксплуатация общедоступных приложений (17%).
Замечательно, что технику эксплуатации публично доступных приложений использовали как операторы шифровальщиков, пытавшихся получить выкуп, так и хактивисты, старавшиеся разрушить IT-инфраструктуру атакованной организации.
Исследование проводилось на базе проведенных реагирований на инциденты в российских компаниях.
Фото: Freepik