Атак с целью шпионажа становится больше, а их последствия — разрушительнее

Доля атак, совершаемых на российские компании с целью шпионажа, выросла на 6%. Некоторые кибергруппировки не просто проникают в IT‑инфраструктуру для скрытого сбора данных, но и нарушают ее работоспособность

18 декабря 2024 г.

Шпионаж является главной целью атак на российские организации в 21% случаев. Это больше, чем было в 2023 году: тогда доля таких атак составляла 15%.

Как правило, группировки, атакующие с целью шпионажа, действуют скрытно. Чтобы собрать как можно больше чувствительной информации, они незаметно проникают в IT‑инфраструктуру и остаются в ней как можно дольше (иногда до нескольких лет), не нанося видимого ущерба. Однако в последнее время некоторые злоумышленники сменили тактику: достигнув основной цели, они стараются разрушить IT‑инфраструктуру жертвы, тем самым парализуя процессы компании.

Эта тенденция хорошо заметна на примере недавнего всплеска активности шпионского кластера Paper Werewolf. С 2022 года группировка реализовала не менее семи кампаний, нацеленных на российский госсектор, энергетику, финансовый сектор, медиа, а также ряд других отраслей.

Новая активность Paper Werewolf примечательна расширением мотивации злоумышленников. Они не только проникли в IT‑инфраструктуру компании для сбора информации, но и нарушили ее работоспособность — в частности, поменяли пароли к учетным записям. Обычно так действуют группировки с финансовой мотивацией, которые просят выкуп за восстановление доступа к ресурсам организации, или же хактивисты, для которых важна максимально широкая огласка.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Атаки группировки начинались с фишинговых писем — как правило, от лица государственной структуры или крупной компании. В письмо был вложен документ Microsoft Word с закодированным содержимым. Чтобы прочитать содержимое, жертве предлагалось разрешить выполнение макросов. Если пользователь соглашался, то одновременно с декодированием документа на устройство устанавливалась вредоносная программа.

В некоторых случаях злоумышленники использовали троян удаленного доступа PowerRAT, позволяющий им выполнять команды и собирать информацию о системе. Также в арсенале группировки был вредоносный IIS‑модуль Owowa, который позволял получать аутентификационные данные при авторизации пользователей в сервисе Outlook Web Access (OWA). Кроме того, атакующие применяли несколько агентов фреймворка Mythic: Freyja, а также имплант собственной разработки PowerTaskel. Таким образом, используя собственные инструменты, атакующие стараются затруднить обнаружение вредоносной активности.

Чтобы эффективно противостоять современным кибератакам, необходимо понимать, как злоумышленники адаптируют свои методы под конкретные инфраструктуры. Защититься от угроз помогают порталы киберразведки, например BI.ZONE Threat Intelligence. Они предоставляют полные и актуальные данные о ландшафте угроз, что позволяет обеспечить эффективную работу СЗИ и ускорить реагирование на инциденты.