Кіберзагрози продовжують зростати за масштабом, складністю та цілеспрямованістю. Для організацій критично важливо розуміти провідних зловмисників, нові ризики та тактики, що формують ландшафт кібербезпеки, аби зміцнити власний захист.
Нещодавній звіт компанії Bridewell демонструє, наскільки динамічним стало середовище кіберзагроз упродовж останнього року. Зловмисники змінили поведінку, вдосконалили інструментарій та адаптували тактики. Ось ключові висновки, які організаціям необхідно знати для протидії актуальним загрозам.
Зростання крадіжки даних та вимагання
Історично тактики ransomware зосереджувалися на шифруванні даних жертви та вимаганні оплати за ключі дешифрування. Однак останні атаки свідчать про зміну підходу: кіберзлочинці тепер надають пріоритет крадіжці даних та вимаганню через загрозу оприлюднення викраденої інформації.
Це продемонстрував напад на британського телекомунікаційного провайдера Colt Technology Services, коли група Warlock використала вразливість у Microsoft SharePoint для проникнення в системи компанії. Зловмисники викрали кілька сотень гігабайтів конфіденційних даних, включаючи інформацію про зарплати співробітників, фінансові звіти, контракти з клієнтами та деталі мережевої архітектури. Після відмови сплатити викуп група опублікувала список файлів на російському Tor-форумі, пропонуючи понад мільйон документів для продажу.
Аналогічно група Clop у травні 2023 року використала уразливість нульового дня в програмному забезпеченні для передачі файлів MOVEit (CVE-2023-34362), викравши великі обсяги даних у сотень організацій, включаючи BBC та Boots. Замість простого шифрування систем Clop погрожувала оприлюднити викрадену інформацію через власний сайт витоку даних.
Ця еволюція експлуатує зростаючий регуляторний та репутаційний тиск на організації, особливо в юрисдикціях зі строгими законами про приватність. Хоча атаки на основі шифрування часто призводять до більших індивідуальних вимог викупу через терміновість відновлення критичних сервісів, покращення контролю відновлення даних та резервного копіювання ненавмисно зробили крадіжку даних та вимагання більш ефективною альтернативою для зловмисників.
Останні масштабні операції з крадіжки даних, проведені хакерськими групами Scattered Spider та Shiny Hunters, пов’язаними з колективом під назвою “Com” або “Community”, спрямовані на великих постачальників програмних сервісів, таких як Salesforce та інші компанії, що інтегруються з їхньою платформою. Це знову підкреслило перевагу використання крадіжки даних та вимагання над розгортанням ransomware для шифрування файлів жертв.
Експлуатація вразливостей та периферійних пристроїв
Невиправлені вразливості в системах, що мають вихід в інтернет, та периферійних пристроях залишаються основним вектором атак для груп ransomware. Зловмисники експлуатують недоліки в широко розгорнутих технологіях, включаючи VPN, засоби віддаленого моніторингу та мережеві пристрої, для отримання початкового доступу до корпоративних систем. Ці вразливості дозволяють масову компрометацію в великих масштабах та є основним фактором успішних кампаній ransomware.
У 2024 році відомі групи Clop та Termite показали себе як надзвичайно ефективні виконавці атак на сервіси керованої передачі файлів. На початку року Clop атакувала Cleo, постачальника корпоративного програмного забезпечення для інтеграції та керованої передачі файлів, експлуатуючи уразливість нульового дня (CVE-2024-50623). Ця атака зачепила понад 80 організацій, переважно в телекомунікаційному та медичному секторах, що призвело до значного витоку даних та операційних збоїв.
Нещодавно спостерігалися масштабні атаки кількох груп на невиправлені пристрої Fortinet, Cisco та Ivanti. Це включає брокерів доступу та афілійованих учасників, пов’язаних з групами Qilin, Akira та Ransomhub.
Атаки на VMware, знищувачі EDR та наступальні інструменти
Оператори ransomware продовжують атакувати гіпервізори, зокрема середовища VMware ESXi, з метою швидкого порушення критичної ІТ-інфраструктури. Групи VanHelsing та DragonForce пов’язані з останніми атаками, активно застосовуючи цю тактику в поточних кампаніях.
Водночас зловмисники переорієнтовують зусилля на розробку можливостей обходу систем Endpoint Detection and Response (EDR), відомих як “EDR-кілери”. Це часто досягається через зловживання вразливими драйверами або вбудованими функціями програмного забезпечення.
Успіх цих атак посилюється збільшеним використанням Living-Off-the-Land Binaries (LOLBINs) та інструментів Remote Monitoring and Management (RMM) — ще одного методу обходу EDR-систем, що дозволяє зловмисникам маскуватися під звичайні системні операції та залишатися непоміченими, значно ускладнюючи виявлення та протидію для організацій.
Наступальні інструменти безпеки залишаються центральними для операцій ransomware. Попри спільні зусилля підрозділу Microsoft з боротьби з цифровими злочинами, Fortra та Health-ISAC у останні роки протидіяти використанню несанкціонованих застарілих копій Cobalt Strike, він залишається найпоширенішим наступальним інструментом серед операторів ransomware.
Хоча Fortra повідомила про 80% зменшення несанкціонованих копій за останні два роки, реальність залишається грою в кота-мишу: коли зловмисну C2-інфраструктуру видаляють з більш репутаційних хостинг-провайдерів, оператори просто переміщують її до менш надійних.
Проте ця зміна все ж створює певні тактичні переваги для захисників, оскільки інфраструктура на провайдерах нижчого рівня має більшу ймовірність блокування продуктами безпеки, такими як міжмережеві екрани нового покоління та веб-проксі.
Водночас інші наступальні інструменти, такі як Metasploit, Sliver, Brute Ratel, а останнім часом варіанти на кшталт Pyramid C2 (C2-фреймворк на Python) та Adaptix C2, поступово набувають популярності.
Висновки
Рухаючись до 2026 року, очевидно, що кіберзлочинці стають більш гнучкими, опортуністичними та рішучими в експлуатації як технічних слабкостей, так і організаційних сліпих зон. Зі зростанням моделей вимагання з пріоритетом на крадіжку даних, посиленим націлюванням на периферійні пристрої та постійним вдосконаленням інструментів обходу EDR захисники стикаються зі швидко еволюціонуючим викликом, що вимагає рівноцінної адаптивності.
Організаціям необхідно надати пріоритет проактивному усуненню вразливостей, посилити моніторинг у гібридних середовищах та інвестувати в threat intelligence, що йде в ногу зі змінами тактик зловмисників. Ті, хто вибудує стійкість зараз через готовність, видимість та надійне реагування на інциденти, будуть найкраще підготовлені для протистояння загрозам, що чекають попереду.
