Отчет также подчеркивает распространенность методов злоупотребления учетными данными, таких как фишинг и несанкционированный доступ с помощью похищенных учетных данных, которые являются основными компонентами проникновения в системы. Эти тактики становятся все более сложными, что позволяет злоумышленникам проникать в системы и компрометировать конфиденциальные данные. Поскольку учетные данные являются основой идентификации и управления доступом, их защита имеет решающее значение для уменьшения рисков во всех отраслях.
Атака на Change Healthcare
Атака с применением программ-вымогателей на компанию Change Healthcare, осуществленная группировкой ALPHV (BlackCat) в начале 2024 года, выявила серьезные риски, связанные с недостаточной защитой доступа, в частности из-за отсутствия многофакторной аутентификации (MFA). Злоумышленники воспользовались слабыми местами однофакторной аутентификации, чтобы получить доступ к системам компании. Это привело к масштабным сбоям в поставках рецептурных лекарств по всей стране, которые длились более десяти дней. Последствия атаки существенно повлияли на работу больниц и аптек, нарушили цепи поставок, которые являются критически важными для обеспечения надлежащего ухода за пациентами.
Согласно сообщениям, UnitedHealth Group, ключевой партнер Change Healthcare, возможно, заплатил $22 миллиона выкупа для восстановления зашифрованных данных, хотя ни компания, ни злоумышленники официально этого не подтвердили. Однако ситуация осложнилась, когда аффилированная группа ALPHV, известная как «Notchy», обвинила свою организацию в сокрытии полученных средств и заявила, что до сих пор располагает конфиденциальными данными Change Healthcare и ее партнеров. Это вызвало подозрение на возможность аферы с выкупом со стороны ALPHV, что усилило беспокойство относительно утечки похищенных данных или их использования для дальнейшего вымогательства.
«Notchy» также утверждала, что дополнительные организации здравоохранения, связанные с Change Healthcare, были скомпрометированы во время атаки, что еще больше усложняет ситуацию. Несмотря на вероятный выкуп, заявления аффилированных лиц о сохранении данных свидетельствуют о более высоком уровне угрозы для медицинского сектора США. Кроме того, объявление ALPHV о прекращении деятельности и намерение продать исходный код программ-вымогателей увеличивают риск появления подобных атак с помощью модифицированных версий BlackCat. Инцидент с Change Healthcare ярко демонстрирует масштабы разрушений, вызванных недостаточной защитой идентификации и доступа в критических отраслях.
Утечка данных Snowflake
Утечка данных в Snowflake в 2024 году стала примером большого количества рисков атак на учетные данные, которые повлияли не только на саму компанию, но и на ее высокопрофильных клиентов, таких как Santander Bank и Ticketmaster. Злоумышленники воспользовались вредоносным программным обеспечением Lumma Stealer для похищения учетных данных сотрудника отдела продаж Snowflake. Это стало отправной точкой для злоумышленников, которые использовали уязвимости однофакторной аутентификации, чтобы получить доступ к нескольким средам.
Утечка данных раскрыла конфиденциальную информацию клиентов известных организаций. Например, Santander сообщил о компрометации баз данных, содержащих конфиденциальную информацию о клиентах, а Ticketmaster раскрыл несанкционированный доступ к пользовательским записям в облачной среде. Эти инциденты в целом затронули миллионы клиентов по всему миру, усиливая беспокойство о рисках третьих сторон во взаимосвязанных цифровых экосистемах.
Главный злоумышленник по имени «Whitewarlock» взял на себя ответственность за атаку и заявил об этом на российских форумах в даркнете. Он продавал похищенные данные аккаунтов Snowflake, среди которых были 500 демонстрационных сред и данные крупных организаций.
Решение SOCRadar Supply Chain Intelligence дает вам возможность уменьшить такие риски, предоставляет всестороннюю информацию о более 50 миллионах компаний по всему миру.
Взлом Ticketmaster
Ticketmaster подверглась значительному взлому, когда злоумышленники воспользовались уязвимостями в облачной инфраструктуре Snowflake для доступа к базе данных третьей стороны. Инцидент затронул 560 миллионов пользователей, раскрыв личную информацию, такую как имена, адреса электронной почты и частичные платежные данные. Это нарушение не только нанесло значительный ущерб репутации компании, но и вызвало сбои в работе систем.
Злоумышленники использовали похищенные учетные данные, чтобы осуществить атаку, что подчеркнуло важность многофакторной аутентификации (MFA) и регулярного проведения аудитов внешних поставщиков услуг. Внедрение таких мер является ключевым для избежания будущих инцидентов и защиты конфиденциальной информации клиентов.
Взлом AT&T
Уязвимости в облачной платформе Snowflake также вызвали утечку данных AT&T, которая затронула 109 миллионов клиентов. Хакеры использовали компрометированные учетные данные и слабые механизмы аутентификации, чтобы получить доступ к журналам звонков, номерам телефонов и данным о местонахождении, которые хранились в базе данных третьей стороны.
Хотя содержимое звонков и текстовых сообщений осталось нетронутым, разглашение метаданных подчеркнуло критические недостатки в конфигурациях облачной безопасности. Для решения проблемы AT&T выплатил выкуп в размере $370 000, однако остается вопрос, действительно ли похищенные данные уничтожены.
Эти случаи показали, как уязвимости в сторонних платформах могут приводить к масштабным утечкам, которые затрагивают миллионы клиентов и наносят компаниям серьезный финансовый и репутационный ущерб. Чтобы уменьшить такие риски, компаниям следует внедрять многоуровневую аутентификацию, регулярно проверять безопасность сторонних систем и использовать инструменты для мониторинга в реальном времени, например Attack Surface Management от SOCRadar. Это позволит своевременно выявлять и устранять потенциальные угрозы.
Фишинговая кампания OpenAI
Киберпреступники запустили масштабную фишинговую кампанию, которая имитировала OpenAI, используя популярность платформы. Злоумышленники разослали фальшивые электронные письма более 1000 получателей и призвали их обновить платежную информацию для своих подписок на ChatGPT. Сообщения имели стиль, похожий на официальные коммуникации OpenAI, и содержали ссылки со скрытыми адресами.
Отправителем был домен, не совпадающий с официальным доменом OpenAI, что стало одним из главных сигналов для подозрений. Этот инцидент подчеркивает, как злоумышленники используют доверие к известным брендам для сбора учетных данных. Учитывая рост популярности искусственного интеллекта, количество таких атак, направленных на сервисы AI, вероятно, будет увеличиваться, что подчеркивает важность усиления защиты электронной почты и регулярного обучения сотрудников.
Компрометация портала поддержки Mercku
Киберпреступники взломали портал поддержки Mercku, созданный на платформе Zendesk, чтобы рассылать фишинговые сообщения пользователям MetaMask. Когда пользователи обращались в службу поддержки, они получали автоматические ответы с темой «Обязательное обновление учетной записи MetaMask». В этих сообщениях были вредоносные ссылки, замаскированные под инструкции для повышения безопасности, которые на самом деле предназначались для кражи учетных данных.
Фишинговые сообщения использовали структуры URL-адресов, которые казались легитимными, вводя пользователей в заблуждение, будто ссылки ведут на официальный сайт MetaMask. Этот случай подчеркивает опасность компрометации надежных платформ для распространения вредоносных кампаний. Организации, которые полагаются на системы поддержки третьих сторон, должны обеспечить защиту своих порталов, чтобы предотвратить такие злоупотребления.
Атака на ARUP с использованием дипфейков
Одна из самых сложных атак на учетные данные в 2024 году произошла с британской компанией ARUP, которая занимается дизайном и инженерией. Мошенники использовали технологии дипфейков для создания аудио и видео, имитирующих CFO компании и других сотрудников во время видеозвонка. Это убедило сотрудника финансового отдела выполнить 15 транзакций на общую сумму $25,6 миллиона на оффшорные счета.
В ответ ARUP усилила свои меры безопасности: внедрила биометрическую аутентификацию, протоколы проверки и систему искусственного интеллекта для выявления аномалий. Это должно помочь предотвратить подобные мошенничества в будущем.
Инцидент подчеркивает угрозу технологий дипфейков, которые становятся все более сложными и чаще используются в атаках на крупные компании. Модуль Identity & Access Intelligence от SOCRadar может стать решением таких проблем. Он предоставляет компаниям инструменты для мониторинга похищения данных, анализа утечек и защиты учетных записей. Это позволяет быстро реагировать на угрозы и предотвращать атаки, связанные с компрометацией идентификационных данных.
Сложная фишинговая кампания с использованием Agent Tesla
В 2024 году появилась новая фишинговая кампания, которая продемонстрировала высокую сложность современных атак. Злоумышленники использовали полиморфный загрузчик для распространения вредоносных программ Agent Tesla, которые фиксируют нажатия клавиш и крадут данные. Фишинговое письмо выглядело как официальное сообщение о банковском платеже и содержало вложение с названием «Bank Handlowy w Warszawie — dowód wpłaty_pdf.tar.gz».
После открытия загрузчик обходил стандартные системы защиты, используя сложные методы маскировки и упаковки. Он применял две процедуры дешифровки, избегал системы AMSI, изменяя функцию AmsiScanBuffer, и загружал вредоносный код прямо в память, не оставляя следов на диске.
Похищенные данные, включая учетные записи и нажатия клавиш, передавались через взломанные почтовые ящики для сокрытия следов. Эта атака демонстрирует, насколько эффективно киберпреступники используют современные технологии, чтобы избегать обнаружения и наносить серьезный ущерб.
Кампания Midnight Blizzard с использованием RDP
В октябре 2024 года группа Midnight Blizzard (APT29) осуществила фишинговую кампанию с использованием файлов конфигурации RDP. Эти файлы, подписанные действительными сертификатами, устанавливали соединение с серверами злоумышленников, открывая доступ к ресурсам жертв.
Запуск этих RDP-файлов создавал соединение с серверами, контролируемыми злоумышленниками, что позволяло получить доступ к ресурсам жертв, в частности файлам, сетевым дискам и механизмам аутентификации. Цель кампании заключалась в сборе разведывательной информации.
Атака отличалась передовой тактикой, включая использование скомпрометированных учетных записей для избежания обнаружения и длительного сохранения доступа.
Утечка данных 23andMe
Компания 23andMe стала жертвой атаки по заполнению учетных данных, что привело к утечке конфиденциальной информации 6,9 миллиона пользователей. Хакеры использовали переработанные пароли для взлома 14 000 аккаунтов, которые затем позволили им получить доступ к 5,5 миллиона профилей DNA Relatives и 1,4 миллиона профилей Family Tree.
Компания объяснила проблему тем, что клиенты использовали слабые или повторно использованные пароли. Однако критики отмечают, что 23andMe не обеспечила надлежащей защиты данных. В ответ компания ввела двухфакторную аутентификацию и принудительно обновила пароли всех пользователей.
Несмотря на эти меры, 23andMe пришлось выплатить 30 миллионов долларов по коллективному иску. Соглашение предусматривает трехлетний мониторинг безопасности для пострадавших пользователей и компенсацию за взломанные аккаунты, что стало существенным финансовым и юридическим ударом для компании.
Как защититься от атак на учетные данные?
- Внедряйте многофакторную аутентификацию (MFA). MFA добавляет дополнительный уровень безопасности, уменьшая риск компрометации аккаунтов даже в случае кражи учетных данных.
- Проводите регулярное обучение по кибербезопасности. Обучайте сотрудников распознавать фишинговые атаки, социальную инженерию и правильно управлять паролями, чтобы минимизировать риск человеческих ошибок.
- Мониторинг использования учетных данных. Используйте инструменты для обнаружения и блокировки атак на подбор учетных данных и подозрительных попыток входа.
- Усиливайте безопасность сторонних систем. Регулярно проверяйте интеграции со сторонними сервисами, чтобы убедиться, что они соответствуют высоким стандартам безопасности и уменьшают риски от связанных систем.
- Внедряйте передовую безопасность электронной почты. Используйте инструменты для обнаружения и блокировки вредоносных вложений, фишинговых ссылок и поддельных отправителей, повышая защиту от атак на похищение учетных данных.
- Мониторинг даркнета. Применяйте решения, такие как Dark Web Monitoring от SOCRadar, чтобы выявлять компрометированные учетные данные и предотвращать использование конфиденциальной информации.
