Наши эксперты поделились результатами анализа киберинцидентов за второй квартал текущего года. Исследование показало, что доля атак на промышленность существенно выросла по сравнению с предыдущим кварталом, и среди общего объема данных, похищенных в атаках на организации, доля учетных данных сотруднков и мелких клерков выросла вдвое.
По данным нашего исследования, общее число проникновений в корпоративные сети во втором квартале возросло на 9% по сравнению с первым кварталом и на 59% по сравнению с аналогичным периодом прошлого года. По мнению наших аналитиков, громкие мировые события неминуемо сопровождаются ростом числа кибератак, поскольку создают благоприятную почву для применения нарушителями методов социальной инженерии.
Рекордными по количеству успешных проникновений в сети крупных корпораций стали апрель и май текущего года. Эксперты связывают это со сложной экономической ситуацией в мире, которая пришлась на эти месяцы. Так, во втором квартале текущего года с темой повышения налогов и экономического кризиса было связано 16% атак с использованием методов социальной инженерии (против 13% в первом квартале). Более трети (36%) из них не были привязаны к конкретной отрасли, 32% атак направлены против частных лиц, 13% — против госучреждений.
Существенно выросла и доля атак, направленных на промышленность. Во втором квартале среди атак на юридические лица она составила 15% против 10% в первом квартале. Наибольший интерес к промышленности проявляют операторы шифровальщиков и кибершпионские APT-группировки. Так, стало известно о первых жертвах шифровальщика Snake — автомобильном производителе Honda и гиганте ТЭК, компании Enel Group. Кроме Snake, промышленность атаковали операторы шифровальщиков Maze, Sodinokibi, NetWalker, Nefilim, DoppelPaymer. При этом начальным вектором проникновения в атаках на промышленность обычно были фишинговые письма (83% от общего числа атак) и уязвимости на сетевом периметре (14%).
По данным экспертов, во втором квартале текущего года доля утечек учетных данных выросла с 15% до 30% от общего объема данных, украденных у организаций. По словам нашего аналитика, особо ценятся корпоративные учетные данные рядовых сотрудников и мелких клерков финансовых учреждений. Их нарушители продают дроповодам в даркнете или используют для дальнейших атак, например для рассылки писем с вложениями троянских коней от имени взломанных организаций.
Также высоким спросом на черном рынке пользуются базы учетных данных клиентов взломанных компаний. Жертвами во втором квартале преимущественно становились онлайн-сервисы, интернет-магазины и организации сферы услуг. Как правило, в ходе атак на эти компании нарушители эксплуатировали веб-уязвимости или подбирали пароли для доступа к сайтам. Среди других наиболее распространенных сценариев похищения данных — рассылка фишинговых писем и заражение вредоносным ПО.
Что касается фишинговых атак с целью кражи учетных данных, надо отметить, что, как правило, нарушители подделывают формы аутентификации продуктов Microsoft: Office 365, Outlook, SharePoint, однако во втором квартале на фоне дальнейшего падения экономики наблюдались также атаки, направленные на кражу учетных данных для подключения к системам аудио- и видеосвязи, как в случае с фишинговой кампанией, направленной на удаленных сотрудников, использующих Skype, когда нарушители рассылали письма с фейковыми уведомлениями от сервиса. Получатель, перейдя по ссылке из письма, попадал на поддельную форму аутентификации, где его просили ввести логин и пароль от Skype. Подобные атаки зафиксированы также на пользователей платформ Webex и Zoom.