Доля атак, совершаемых на российские компании с целью шпионажа, выросла на 6%. Некоторые кибергруппировки не просто проникают в IT-инфраструктуру для скрытого сбора данных, но и нарушают ее работоспособность. Это следует из данных компании по управлению цифровыми рисками BI.ZONE, с которыми ознакомились «Известия» 18 декабря.
По информации экспертов, шпионаж является главной целью атак на российские организации в 21% случаев. В 2023 году доля составляла 15%. Как правило, группировки действуют скрытно: злоумышленники незаметно проникают в IT-инфраструктуру и остаются в ней как можно дольше, иногда до нескольких лет, не нанося видимого ущерба. Однако, как рассказали специалисты, в последнее время некоторые сменили тактику: достигнув основной цели, они стараются разрушить IT-инфраструктуру жертвы, тем самым парализуя процессы компании.
Отмечается, что эта тенденция заметна на примере недавнего всплеска активности шпионского кластера Paper Werewolf, который с 2022 года реализовал не менее семи кампаний, нацеленных на российский госсектор, энергетику, финансовый сектор, медиа, а также ряд других отраслей.
«Новая активность Paper Werewolf примечательна расширением мотивации злоумышленников. Они не только проникли в IT-инфраструктуру компании для сбора информации, но и нарушили ее работоспособность — в частности, поменяли пароли к учетным записям. Обычно так действуют группировки с финансовой мотивацией, которые просят выкуп за восстановление доступа к ресурсам организации, или же хактивисты, для которых важна максимально широкая огласка», — рассказал руководитель BI.ZONE Threat Intelligence Олег Скулкин.
Как уточнили эксперты, атаки группировки начинались с фишинговых писем — как правило, от лица государственной структуры или крупной компании. В письмо был вложен документ Microsoft Word с закодированным содержимым. Чтобы прочитать содержимое, жертве предлагалось разрешить выполнение макросов. Если пользователь соглашался, то одновременно с декодированием документа на устройство устанавливалась вредоносная программа. В некоторых случаях злоумышленники использовали троян удаленного доступа PowerRAT, который позволял им выполнять команды и собирать информацию о системе. Также они применяли вредоносный IIS-модуль Owowa, который позволял получать аутентификационные данные при авторизации пользователей в сервисе Outlook Web Access (OWA).
Ранее, 9 декабря, сообщалось, что Россия находится на втором месте по числу нацеленных на нее кибератак, на первом — США. Это следует из данных центра исследования киберугроз Solar 4RAYS ГК «Солар». Также среди наиболее атакуемых стран — Канада, Швейцария, Сингапур. При этом топ стран, с IP-адресов которых наблюдались кибератаки, в III квартале возглавила Индия (31%). Далее следуют Литва (24%), Китай (22%) и США (8%).
