BI.ZONE выяснила подробности хищения данных у 40 российских компаний
В 2022 году именно хактивисты обеспечили рост инцидентов, связанных с утечками данных. У таких преступников нет финансовых мотивов, как у кибервымогателей, или шпионских целей, как в случае со спонсируемыми государством группировками. Они стремятся взломать компании из «моральных» побуждений.
Leak Wolf — один из характерных примеров этого типа злоумышленников. Основную деятельность они начали в апреле 2022 года — именно тогда в подконтрольном группе телеграм-канале были размещены данные нескольких жертв. Leak Wolf провела атаки более чем на 40 российских компаний. Чаще всего от ее действий страдали организации из сфер розничной торговли, образования и информационных технологий.
В отличие от других группировок Leak Wolf не пыталась эксплуатировать популярные уязвимости в публично доступных приложениях, использовать вредоносное ПО или фишинговые почтовые рассылки. По данным управления киберразведки BI.ZONE, атакующие использовали аккаунты сотрудников компаний или доступы IT‑подрядчиков. Так злоумышленникам удавалось долго оставаться незамеченными. Чтобы не привлекать внимания, преступники также арендовали серверы на территории России либо использовали VPN для удаленного доступа. Учитывая популярность дистанционной работы, в том числе из ближнего зарубежья, это не вызывало подозрения у служб безопасности.
Помимо взлома IT‑провайдеров, злоумышленники получали несанкционированный доступ, анализируя утечки данных физических лиц. Сотрудники компаний нередко пренебрегают цифровой гигиеной: регистрируются в сторонних сервисах с рабочими email, используют простые пароли, не меняют их от аккаунта к аккаунту.
После проникновения в инфраструктуру компании злоумышленники сканировали сеть, собирали важную для бизнеса информацию (например, клиентскую базу), загружали в облачное хранилище и публиковали ссылку в своем телеграм-канале.
Чтобы снизить риски подобных атак, необходимо наладить мониторинг событий кибербезопасности в рамках SOC. Если инцидент уже произошел, важно быстро отреагировать и запустить расследование. Это позволит понять, как злоумышленники попали в системы компании, изолировать скомпрометированные ресурсы от корпоративной сети, исключить возможность повторной атаки по схожему пути.
Познакомиться с тактиками, техниками и процедурами Leak Wolf можно в исследовании.