В 2022 году именно хактивисты обеспечили рост инцидентов, связанных с утечками данных. У таких преступников нет финансовых мотивов, как у кибервымогателей, или шпионских целей, как в случае со спонсируемыми государством группировками. Они стремятся взломать компании из «моральных» побуждений.
Leak Wolf — один из характерных примеров этого типа злоумышленников. Основную деятельность они начали в апреле 2022 года — именно тогда в подконтрольном группе телеграм-канале были размещены данные нескольких жертв. Leak Wolf провела атаки более чем на 40 российских компаний. Чаще всего от ее действий страдали организации из сфер розничной торговли, образования и информационных технологий.
В отличие от других группировок Leak Wolf не пыталась эксплуатировать популярные уязвимости в публично доступных приложениях, использовать вредоносное ПО или фишинговые почтовые рассылки. По данным управления киберразведки BI.ZONE, атакующие использовали аккаунты сотрудников компаний или доступы IT-подрядчиков. Так злоумышленникам удавалось долго оставаться незамеченными. Чтобы не привлекать внимания, преступники также арендовали серверы на территории России, либо использовали VPN для удаленного доступа. Учитывая популярность дистанционной работы, в том числе из ближнего зарубежья, это не вызывало подозрения у служб безопасности.
Помимо взлома IT-провайдеров, злоумышленники получали несанкционированный доступ, анализируя утечки данных физических лиц. Сотрудники компаний нередко пренебрегают цифровой гигиеной: регистрируются в сторонних сервисах с рабочими email, используют простые пароли, не меняют их от аккаунта к аккаунту.
После проникновения в инфраструктуру компании злоумышленники сканировали сеть, собирали важную для бизнеса информацию (например, клиентскую базу), загружали в облачное хранилище и публиковали ссылку в своем телеграм-канале.
«Почти 60% инцидентов, которые довелось расследовать нашей команде в 2022 году, были связаны с утечками. Количество подобных атак по сравнению с 2021 годом увеличилось в 4 раза. Действия Leak Wolf в очередной раз доказывают, что злоумышленникам вовсе не обязательно использовать для своих целей вредоносное программное обеспечение. Обнаружить подобные инциденты без эффективного мониторинга практически невозможно, более того, необходим проактивный поиск угроз», — Олег Скулкин, руководитель управления киберразведки BI.ZONE.
Чтобы снизить риски подобных атак, необходимо наладить мониторинг событий кибербезопасности в рамках SOC. Если инцидент уже произошел, важно быстро отреагировать и запустить расследование. Это позволит понять, как злоумышленники попали в системы компании, изолировать скомпрометированные ресурсы от корпоративной сети, исключить возможность повторной атаки по схожему пути.