Их становится больше, а их последствия – разрушительнее
Доля атак на российские компании с целью шпионажа, выросла на 6%. Некоторые кибергруппировки не просто проникают в IT-инфраструктуру для скрытого сбора данных, но и нарушают ее работоспособность.
Шпионаж является главной целью атак на российские организации в 21% случаев. Это больше, чем было в 2023 году: тогда доля таких атак составляла 15%.
Как правило, группировки, атакующие с целью шпионажа, действуют скрытно. Чтобы собрать как можно больше чувствительной информации, они незаметно проникают в IT-инфраструктуру и остаются в ней как можно дольше (иногда до нескольких лет), не нанося видимого ущерба. Однако в последнее время некоторые злоумышленники сменили тактику: достигнув основной цели, они стараются разрушить IT-инфраструктуру жертвы, тем самым парализуя процессы компании.
Эта тенденция хорошо заметна на примере недавнего всплеска активности шпионского кластера Paper Werewolf. С 2022 года группировка реализовала не менее семи кампаний, нацеленных на российский госсектор, энергетику, финансовый сектор, медиа, а также ряд других отраслей.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence, говорит: «Новая активность Paper Werewolf примечательна расширением мотивации злоумышленников. Они не только проникли в IT-инфраструктуру компании для сбора информации, но и нарушили ее работоспособность — в частности, поменяли пароли к учетным записям. Обычно так действуют группировки с финансовой мотивацией, которые просят выкуп за восстановление доступа к ресурсам организации, или же хактивисты, для которых важна максимально широкая огласка».
Атаки группировки начинались с фишинговых писем — как правило, от лица государственной структуры или крупной компании. В письмо был вложен документ Microsoft Word с закодированным содержимым. Чтобы прочитать содержимое, жертве предлагалось разрешить выполнение макросов. Если пользователь соглашался, то одновременно с декодированием документа на устройство устанавливалась вредоносная программа.
В некоторых случаях злоумышленники использовали троян удаленного доступа PowerRAT, позволяющий им выполнять команды и собирать информацию о системе. Также в арсенале группировки был вредоносный IIS-модуль Owowa, который помогал получать аутентификационные данные при авторизации пользователей в сервисе Outlook Web Access (OWA). Кроме того, атакующие применяли несколько агентов фреймворка Mythic: Freyja, а также имплант собственной разработки PowerTaskel. Таким образом, используя собственные инструменты, атакующие стараются затруднить обнаружение вредоносной активности.
Чтобы эффективно противостоять современным кибератакам, необходимо понимать, как злоумышленники адаптируют свои методы под конкретные инфраструктуры. Защититься от угроз помогают порталы киберразведки, например BI.ZONE Threat Intelligence. Они предоставляют полные и актуальные данные о ландшафте угроз, что позволяет обеспечить эффективную работу СЗИ и ускорить реагирование на инциденты.
О компании
BI.ZONE — компания по управлению цифровыми рисками, она помогает организациям безопасно развивать бизнес в киберпространстве. BI.ZONE разрабатывает собственные продукты для обеспечения устойчивости IT‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 года компания реализовала более 1200 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 600 клиентов в 15 странах мира.
