Пять главных киберинцидентов первого полугодия 2024 года

Кибератаки с каждым годом становятся все более изощренными, а их последствия все более масштабными. Как рассказал в своей колонке в «Коммерсанте» CEO центра инноваций МТС Future Crew Евгений Черешнев: «За первые месяцы 2024 года утекли данные 170 компаний, это 40% от числа всех утечек 2023 года».

В этом посте поговорим о пяти самых значительных киберинцидентах, произошедших за первую половину 2024 года, и закончим тремя трендами, которые будут определять рынок кибербезопасности в этом году.

В конце мая 2024 года стало известно о краже данных компаний-клиентов облачного сервиса Snowflake, объем которых измеряется в терабайтах. По мнению экспертов, это может оказаться крупнейшей утечкой в истории. В ходе атаки преступники получили доступ примерно к 165 аккаунтам компаний-клиентов Snowflake. Среди уже подтвержденных жертв — крупнейшая американская площадка для продажи билетов на концерты Ticketmaster и банк Santander.

Хакерская группа ShinyHunters заявила о продаже данных 560 миллионов покупателей Ticketmaster и 30 миллионов записей клиентов Santander, полученных в результате утечки. Потенциально среди жертв также могут быть компании LendingTree и Advance Auto Parts — хакеры уже успели заявить о продаже данных их клиентов, но сами компании еще не подтвердили факт утечки.

Расследование инцидента пока не закончено, однако уже есть предварительные результаты. Например, по информации Mandiant — компании, занимающейся кибербезопасностью и участвующей в расследовании, — хакеры сначала получали доступ к инфраструктуре подрядчиков Snowflake.

Также Mandiant заявляет, что аккаунты около 80% выявленных жертв были скомпрометированы с использованием учетных данных, которые ранее были украдены инфостилерами и попали в хакерские базы. На целевых аккаунтах не была активирована мультифакторная аутентификация, что в итоге и позволило злоумышленникам украсть ценную информацию.

На примере этого инцидента исследователи из Cisco Talos отмечают сдвиг в фокусе хакеров на использование скомпрометированных учетных данных. Они также подчеркивают, что вокруг кражи и последующей продажи паролей уже давно сформировался серьезный рынок. Участники этого рынка способны проводить крупные, хорошо организованные кампании по сбору, проверке и каталогизации украденных учетных данных.

Чтобы снизить риски, специалисты рекомендуют организациям принимать проактивные меры безопасности, в первую очередь использовать мультифакторную аутентификацию для всех критически важных аккаунтов.

В апреле 2024 года появилась информация о том, что инфраструктура некоммерческой организации MITRE, специализирующейся на кибербезопасности, была скомпрометирована неизвестными злоумышленниками. Компания занимается разработкой базы данных CVE с информацией об известных уязвимостях и фреймворка MITRE ATT&CK, хорошо известных в индустрии информационной безопасности.

Киберпреступники проникли в инфраструктуру MITRE в январе 2024 года с помощью эксплуатации двух zero-day уязвимостей в одном из используемых компанией VPN. Используя перехват сессии, они обошли мультифакторную аутентификацию. Затем злоумышленники применили сочетание сложных бэкдоров и веб-шеллов для закрепления в системе и сбора учетных данных.

Успешный взлом произошел несмотря на то, что MITRE следовала всем инструкциям разработчика VPN-решения и рекомендациям CISA по его обновлению. Это демонстрирует, что жертвой кибератаки может стать даже самая подготовленная компания.

Образцово показательным при этом является анализ произошедшего инцидента и меры принятые для его митигации. В частности, MITRE рассказала подробности о ходе атаки в собственной терминологии и техниках ATT&CK:

В первом полугодии 2024 года LockBit стала одной из самых продуктивных группировок, занимающихся распространением программ-вымогателей. К примеру, в мае LockBit была ответственна за 176 нападений, что составило 37% от всех атак с использованием программ-вымогателей за данный месяц. Внушительный список всех известных жертв вымогателей из LockBit за полгода можно посмотреть здесь.

Группировка LockBit появилась в конце 2019 года и сначала называла себя «ABCD». Она работает по модели «ransomware-as-a-service», то есть создает вредоносное ПО и необходимую инфраструктуру. Далее LockBit продает к ним доступ всем желающим, которые и занимаются непосредственным проведением атак.

На фоне других подобных группировок LockBit выделяется тем, что лидеры управляют ею как полноценным бизнесом. Вот, что говорит о LockBit главный стратег безопасности Analyst1 Джон ДиМаджио: «Они создали программу-вымогатель, работающую по принципу «point-and-click», которую может использовать каждый. Они обновляют свое программное обеспечение, постоянно изучают отзывы пользователей, заботятся о пользовательском опыте и переманивают людей из конкурирующих банд».

При этом в феврале 2024 года в рамках совместной операции ФБР с несколькими другими агентствами была захвачена инфраструктура LockBit, включая сайты группировки, 34 сервера и 200 криптокошельков. Это, очевидно, не помешало LockBit продолжить работать вплоть до июня. Однако в июне ФБР сообщило о получении 7000 ключей для расшифровки данных, заблокированных вымогателем.

В попытке отстоять свою позицию на рынке, 23 июня в LockBit заявили, что смогли украсть у Федеральной резервной системы США 33 терабайта данных, содержащих конфиденциальную банковскую информацию. После того, как дедлайн выплаты (25 июня) прошел, группировка действительно опубликовала обещанный объем данных в посте «federalreserve.gov» на своем новом веб-сайте. Однако анализ экспертов показал, что информация, скорее всего, исходит не от Федерального резерва США, а от финансового сервиса Evolve Bank & Trust и касается небольших организаций.

Не вполне понятно, насколько опасна теперь группировка LockBit. Но следует помнить, что помимо нее на рынке ransomware есть еще много игроков. Эксперты считают, что преступные группировки становятся все более агрессивными в своих тактиках. Также появляется угроза насилия в реальном мире, поскольку украденные данные становятся все более конфиденциальными, а суммы выкупа исчисляются в миллионах долларов.

В апреле 2024 года стало известно о том, что онлайн-сервис под названием Spy Pet собрал данные с 14 000 серверов Discord и продавал доступ к ним по цене от $5 в криптовалюте. Сервис заявляет о наличии 3 млрд сообщений от 600 миллионов пользователей Discord.

Spy Pet фактически создал удобный способ отслеживания активности любого пользователя на платформе, где люди могут размещать сообщения на тысячах серверов по своему выбору.

Минимальная сумма пополнения счета в Spy Pet составляет вышеупомянутые $5. При этом один запрос на поиск сообщений конкретного пользователя стоит примерно 10 центов: за эти деньги заплативший получает информацию о том, что пользователь опубликовал и где.

Приватные сообщения пользователей сервис не показывает — речь идет не о взломе, а о сборе публично доступных сообщений. Сервис готов продавать данные всем желающим, но особенно заинтересован в сотрудничестве с правоохранительными органами, а также с организациями, занимающимися обучением систем искусственного интеллекта.

После того, как о деятельности Spy Pet написали крупные медиа, сайт сервиса некоторое время был недоступен. Представитель Discord сообщил, что команда безопасности компании «тщательно расследовала» деятельность Spy Pet и заблокировала связанные с ним аккаунты, так как они нарушают правила площадки. Однако сейчас сайт снова работает.

Легальное использование дипфейков на парламентских выборах в Индии стало бизнесом объемом в $60 млн. Более 50 млн звонков с использованием сгенерированных ИИ голосов было сделано за два месяца, предшествовавших выборам, которые стартовали 19 апреля 2024 года.

ИИ помогал политикам создавать контент для избирателей на всех 22 официальных языках страны и тысячах региональных диалектов, а также доставлять персонализированные сообщения жителям самых отдаленных регионов страны.

Одновременно индийские выборы продемонстрировали серьезность угрозы распространения на выборах дезинформации с помощью ИИ. Фактчекеры выявили несколько известных аудио и видео дипфейков, созданных для влияния на мнение индийских избирателей.

В некоторых случаях ИИ-копии кандидатов заставляли говорить то, чего сами политики не говорили. В ряде других случаев происходило ровно обратное: кандидаты кричали “дипфейк”, чтобы отрицать действительно сказанное ими.

Помимо контента с участием политиков, в сети также активно распространялись дипфейк-видео, в которых две популярные болливудские кинозвезды критиковали премьер-министра Моди и призывали людей голосовать за оппозиционную партию.

Использование дипфейков, связанное с выборами, также было замечено в США, в Пакистане и в Индонезии. Это демонстрирует глобальность угрозы, которую представляют собой дипфейки и другие технологии ИИ в контексте дезинформации и манипуляций.

Всемирный экономический форум выделил три основные тенденции, которые определяют перспективы рынка кибербезопасности в 2024 году:

• Количество атак программ-вымогателей продолжает быстро расти. Этот тренд представляет собой продолжающуюся тенденцию 2023 года, в первой половине которого активность программ-вымогателей увеличилась на 50% в годовом выражении. Также отмечается, что злоумышленники стали проводить атаки быстрее: среднее количество времени, необходимого для выполнения одной атаки, снизилось с примерно шестидесяти дней в 2019 году до четырех.

• Искусственный интеллект и увеличение числа подключенных мобильных устройств создают дополнительные области уязвимости. Киберпреступники изучают способы использования ИИ для автоматизации и ускорения атак, создавая более эффективное вредоносное ПО и фишинговые компании. В сочетании с резким ростом числа подключенных мобильных устройств и интернета вещей (IoT) с поддержкой 5G, вероятно, увеличение количества возможностей для кибератак в будущем.

• Раннее обнаружение может снизить стоимость утечек данных в тысячу раз. Большая часть бюджетов на кибербезопасность в настоящее время тратится на предотвращение, при этом лишь около 35% направляется на обнаружение и реагирование. Однако, если проникновение не обнаружено, оно может быстро перерасти в серьезную проблему. При этом растет и возможный ущерб — с €20 тыс. в случае, когда атака была вовремя обнаружена до €20 млн, когда этого не произошло.