Маршрут перестроен: хактивисты, ранее нацеленные только на РФ, расширяют географию кибератак в поисках заработка

Сразу несколько групп хактивистов, нацеленных в последние годы преимущественно на РФ, перешли от исключительно идеологически мотивированных киберкампаний против российских организаций к финансово ориентированным операциям в других странах, сообщается в новом отчёте «Лаборатории Касперского».

Впервые в их фокусе оказались регионы, которые выходят за рамки ранее обозначенных идеологических целей. Среди них — Казахстан, ОАЭ, Сирия и Египет, где жертвами стали государственные и медицинские учреждения, а также авиационная отрасль. Эксперты пришли к таким выводам, анализируя активность хактивистов 4BID. При этом в атакованных инфраструктурах также были обнаружены признаки активности группировок «Хакерский кiт», C.A.S и Goffee. Это говорит о том, что за операциями могут стоять сразу несколько связанных друг с другом объединений.

В большинстве случаев атаки начинались с эксплуатации уязвимостей в Microsoft Exchange, после чего запускались вредоносные инструменты. Их технический анализ подтверждает закономерную тенденцию: злоумышленники не только дорабатывают свои старые решения, но и создают новые. Основной инструмент в изученных атаках — обновлённая версия программы-вымогателя Blackout Locker, в которой появилась функция блокировки экрана на компьютере жертвы. Также злоумышленники начали использовать ранее неизвестный бэкдор, который исследователи назвали BlackSalt, и шифровальщик ClearWater, связываемый с активностью групп «Хакерский кiт» и С.A.S. В атаках широко применяется и коммерческое ПО «двойного назначения» — всевозможные легитимные инструменты для удалённого администрирования, сканирования сети, управления ИТ-инфраструктурой и другие.

«Смена приоритетов хактивистов — от исключительно идеологически мотивированных атак в одном регионе к коммерчески ориентированным кампаниям в нескольких странах — говорит о том, что в поле зрения злоумышленников могут попасть организации в разных частях света. Эта тенденция вновь подчёркивает важность постоянного мониторинга ландшафта угроз. Чтобы оставаться на шаг впереди, организациям стоит не только быть в курсе киберугроз, актуальных для них в данный момент, но и отслеживать в том числе активность групп, атакующих конкретные отрасли или регионы», — рассказывают исследователи «Лаборатории Касперского».

Решения «Лаборатории Касперского», такие как Kaspersky EDR Expert, детектируют описанную вредоносную активность на каждом этапе.

Для защиты корпоративной инфраструктуры «Лаборатория Касперского» рекомендует организациям:

• предоставлять SOC-командам свежую информацию о новейших тактиках, техниках и процедурах злоумышленников (TTPs). Комплекс сервисов киберразведки Kaspersky Threat Intelligence — единая точка доступа ко всем данным о киберугрозах, накопленных экспертами «Лаборатории Касперского» более чем за 25 лет;
• применять комплексное решение для защиты, например Kaspersky Symphony XDR. Это платформа многоуровневой кибербезопасности, которая объединяет возможности централизованного мониторинга и анализа информации, продвинутого обнаружения угроз и реагирования на них, а также инструменты исследования событий безопасности. Решение подходит для среднего и крупного бизнеса любой отрасли;
• использовать межсетевой экран нового поколения, например Kaspersky NGFW. Хактивисты нередко применяют средства туннелирования трафика, чтобы обойти традиционные решения информационной безопасности. Kaspersky NGFW способен обнаруживать и блокировать такой трафик;
• регулярно обновлять ПО на всех устройствах, чтобы избежать использования уязвимостей злоумышленниками для проникновения во внутреннюю сеть.