BEC и ransomware: главные киберугрозы Q2 2024

Второй квартал 2024 года стал периодом активных кибератак, где компрометация деловой почты (BEC) и вымогательские программы (ransomware) оказались главными угрозами, согласно отчету Cisco Talos Incident Response (Talos IR). Эти два типа атак составили 60% всех зафиксированных случаев.

Несмотря на снижение числа атак BEC по сравнению с предыдущим кварталом, они по-прежнему остаются значительной угрозой. В то же время зафиксирован небольшой рост атак вымогательских программ, среди которых впервые были замечены Mallox и Underground Team, наряду с ранее известными Black Basta и BlackSuit.

Основным методом получения первоначального доступа стало использование скомпрометированных учетных данных, что составило 60% случаев, показав рост на 25% по сравнению с прошлым кварталом.

Наибольшему числу атак подверглись компании технологического сектора, на долю которых пришлось 24% всех инцидентов, за которыми следуют здравоохранение, фармацевтика и розничная торговля. В технологическом секторе количество атак увеличилось на 30%, что объясняется важной ролью этих компаний в поддержке и обслуживании множества других отраслей, делая их привлекательной целью для злоумышленников.

Также отмечен небольшой рост числа атак на сетевые устройства, которые составили 24% случаев. Эти атаки включали подбор паролей, сканирование уязвимостей и их эксплуатацию.

Атаки BEC продолжают набирать обороты. Злоумышленники, компрометируя деловую почту, отправляют фишинговые письма для получения конфиденциальной информации, такой как учетные данные. Часто они используют фальшивые финансовые запросы, чтобы изменить реквизиты для выплат. В ряде случаев применялась методика SMS-фишинга («смизинг»), когда фальшивые сообщения отправлялись на личные мобильные устройства сотрудников.

Вымогательские программы составили 30% всех атак, что на 22% больше, чем в предыдущем квартале. Были зафиксированы атаки Mallox, Underground Team, Black Basta и BlackSuit. В 80% случаев атак с вымогательскими программами отсутствовала многофакторная аутентификация (MFA) на критически важных системах, что облегчало злоумышленникам получение доступа.

В атаках Mallox злоумышленники заражали и шифровали серверы Microsoft SQL, не оставляя следов кражи данных или бокового движения. Mallox используют техники двойного вымогательства, что делает их особенно опасными.

Underground Team, новая группа вымогателей, использовала SSH для бокового движения и восстанавливала деактивированные учетные записи Active Directory, чтобы повысить свои привилегии и зашифровать критически важные системы.

BlackSuit и Black Basta продолжили свою активность, используя скомпрометированные учетные данные для получения доступа и установления постоянного присутствия в сетях. Эти группы часто применяют легитимные инструменты для осуществления своих атак, что затрудняет их обнаружение.

Также зафиксировано увеличение числа атак на сетевые устройства, где злоумышленники использовали уязвимости, такие как CVE-2018-0296 и CVE-2020-3259, чтобы получить несанкционированный доступ к информации.

Основным методом первоначального доступа остается использование скомпрометированных учетных данных, что связано с ростом на 25% по сравнению с прошлым кварталом.

Слабые места в системе безопасности, такие как уязвимые или некорректно настроенные системы и отсутствие MFA, стали основными факторами, способствующими успешным атакам. В одном случае злоумышленники использовали устаревший сетевой коммутатор, что повышает риски сбоев и кибератак.

Для снижения рисков рекомендуется внедрение MFA на всех критически важных системах и регулярное обновление программного обеспечения и оборудования. Также важно обучать сотрудников распознаванию фишинговых атак и обеспечивать контроль доступа на основе анализа рискованных попыток входа в систему.