Злоумышленники атакуют ИТ-специалистов для взлома более крупных целей

«Рост числа атак на ИТ-специалистов, помимо финансовой выгоды, можно объяснить желанием перейти к более крупным целям, например к компаниям, в которых они работают. Кроме того, используя ИТ-специалистов в качестве начальной точки атаки, киберпреступники могут вклиниться в цепочку поставок программного обеспечения и нанести непоправимый вред большому количеству организаций. Эксперты по кибербезопасности отмечают, что в 2024 году такие атаки происходили как минимум раз в два дня», - комментирует Валерия Беседина, младший аналитик исследовательской группы Positive Technologies.

Исследователи Positive Technologies отметили, что кадровый дефицит на рынке ИТ-специалистов в России достигает 500–700 тысяч человек, а количество специалистов, публикующих резюме, выросло на 7%. Такая ситуация позволяет злоумышленникам применять тактику подставных собеседований. Киберпреступники проводят фиктивное интервью, на котором вынуждают разработчика загрузить ВПО. Злоумышленники используют разные способы воздействия: например, решение задачи может требовать загрузки вредоносного кода, приложение для видеоконференции может содержать ВПО.

В III квартале в атаках на ИТ-специалистов прослеживался тренд на использование ВПО для удаленного управления — remote access trojan (RAT). Оно позволяет злоумышленникам иметь постоянный доступ к скомпрометированным системам. RAT распространялся через менеджеров пакетов и публичные репозитории, а также вредоносную рекламу. Злоумышленники создавали и продвигали в поисковой системе сайты, имитирующие популярное программное обеспечение для сетевого сканирования, на которых скрывался RAT. Исследователи обнаружили метод, основанный на политике удаления пакетов PyPI, под названием Revival Hijack, который затронул 22 000 существующих пакетов. Пользователи не получали предупреждения об удалении пакетов и обновляли их, не подозревая, что их используют злоумышленники.

По данным исследования, в атаках на организации также чаще всего использовалось ВПО для удаленного управления (44%) и шифровальщики (44%). В 79% успешных атак были скомпрометированы компьютеры, серверы и сетевое оборудование. Самыми популярными среди киберпреступников инструментами стали AsyncRAT, XWorm и SparkRAT. Эксперты PT Expert Security Center зафиксировали фишинговые рассылки в виде счетов, нацеленные на промышленные предприятия, банки, сферу здравоохранения и разработчиков программного обеспечения в России. Такие фишинговые атаки в конечном итоге приводили к заражению трояном XWorm.

Кроме того, злоумышленники использовали сервисы для продвижения вредоносного сайта на первое место в поисковых запросах, распространяя шпионское ПО. В III квартале киберпреступники распространили таким образом малвари DeerStealer, Atomic Stealer8 и Poseidon Stealer.

Социальная инженерия по-прежнему является ключевой угрозой для частных лиц (92%) и применяется в половине (50%) атак на организации. Основным каналом социальной инженерии для организаций остается электронная почта (88%), для частных лиц — сайты (73%). Следствиями атак на организации стали утечки конфиденциальных данных (52%), а также нарушение основной деятельности организаций (32%).

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!