Эксперты F.A.C.C.T. назвали основные киберугрозы 2024 года
Главными угрозами для российского бизнеса в 2024 году стали утечки баз данных и атаки программ-вымогателей, сообщили РБК в пресс-службе разработчика технологий для борьбы с киберпреступлениями F.A.C.C.T. (бывшая Group-IB).
По ее данным, одной из приоритетных задач злоумышленников остается кража персональных данных. Аналитики Threat Intelligence компании F.A.С.С.T. за 2024 год выявили в тематических телеграм-каналах и форумах 259 баз данных российских компаний, которые ранее не были опубликованы. В прошлом году этот показатель составлял 246. Как уточнили эксперты, в «группе риска» оказались ретейл и интернет-магазины, а также медицинские и образовательные организации.
«Слитые базы чаще всего содержали данные ФИО, даты рождения, адреса пользователей, электронные почтовые ящики, номера телефонов», — отметили в F.A.С.С.T. Также злоумышленники опубликовали архивную «мегаутечку» из 404 баз данных.
За 2024 год число атак шифровальщиков выросло на 44%, а прогосударственных киберпреступных APT-группировок, которые атакуют цели в России, — почти в два раза. При этом в 10% подобных инцидентов целью киберпреступников был не выкуп, а диверсия для нанесения максимального ущерба жертве, отметили в F.A.С.С.T.
«В своих атаках киберпреступники чаще всего использовали программы-вымогатели (шифровальщики) LockBit 3 Black и Mimic (на них пришлось до 50% инцидентов), а также Babuk, LokiLocker/BlackBit и Phobos, — рассказали в компании. — К уже известным угрозам от вымогателей Shadow, Mimic, LokiLocker/BlackBit, Proxima, HsHarada и других, атакующих российские компании, добавились новые: например, группы MorLock, HeadMare, Masque, Enmity, Proton, Sauron».
Чаще всего жертвами вымогателей становились российские производственные, строительные, фармацевтические и IT-компании, предприятия добывающей промышленности и сферы услуг, а также военно-промышленного комплекса. Злоумышленники похищают чувствительную информацию, шифруют инфраструктуру и требуют выкуп за расшифровку — от 100 тыс. до 5 млн руб. ($1–50 тыс.) для малого бизнеса и от 5 млн руб. (более $50 тыс.) для средних и крупных компаний.
В 2024 году аналитики Threat Intelligence компании F.A.С.С.T. обнаружили 27 прогосударственных групп, атакующих Россию и СНГ; для сравнения, в 2023 году было известно о 14 группировках. Наиболее активными были проукраинские APT-группы StickyWerewolf, CloudAtlas, PhantomCore, а также пока не атрибутированные к конкретной стране CoreWerewolf и XDSpy. Их приоритетными целями в России были государственные ведомства, НИИ, производственные предприятия и структуры, связанные с участием в военной операции на Украине. При этом количество кибератак на российские промышленные предприятия в 2024 году превысило число атак на госсектор, подчеркнули в F.A.С.С.T.
Доля рассылок фишинговых писем в общем количестве киберпреступлений составила 69%. В первой половине 2024 года самым популярным оказалось шпионское ПО AgentTesla, а после его ликвидации — FormbookFormgrabber, инструмент для кражи учетных записей и персональных данных, а также загрузчик CloudEyE. «Киберпреступники практически отказались от использования ссылок для доставки вредоносного ПО. В 82% вредоносных писем получатели увидят во вложении архив, содержащий вредоносное вложение, чаще всего в виде исполняемого файла», — предупредили в компании.
Самыми популярными расширениями у злоумышленников оказались ZIP и RAR (встречаются в пяти из десяти вредоносных писем), а среди офисных документов — PDF и DOCX. Их отправляют под видом финансовых документов об оплате товаров и услуг, а также запросов коммерческих предложений.
Также в F.A.C.C.T. отметили расширение использования фишинговых ресурсов среди злоумышленников. По данным экспертов, среднее число таких ресурсов на один бренд выросло на 28%, с 7,8 тыс. до 10,1 тыс., количество фишинговых ссылок — с 2,4 тыс. до 3,7 тыс., мошеннических (скам-) ресурсов — с 5,4 тыс. до 6,3 тыс. Почти 95% таких ресурсов размещалось у хостеров в США, у российских хостинг-провайдеров — 3%, в Германии — 1%. Больше всего ссылок с фишингом и скамом выявлено в доменной зоне .ru — 41,3%. Также популярными у злоумышленников стали зоны .pro (11,08%), .top (10,16%), .cfd (7,59%) и .shop (3,69%).
Ранее Центробанк назвал рекордным объем средств, похищенных телефонными мошенниками у россиян в 2024 году. По данным регулятора, только в июле—сентябре зафиксировано 348,6 тыс. операций без согласия клиентов на 9,3 млрд руб.
Читайте РБК в Telegram.
