Ряд потрясінь 2022 року, серед яких і війна в Україні, створили сприятливі умови для активності багатьох кіберзлочинців. Місяцями зловмисники атакували державні установи, лікарні, криптовалютні компанії та багато інших організацій. Вартість витоку даних зросла до 4,4 мільйона доларів США, а успіх підштовхуватиме кіберзлочинців до ще більшої активності у 2023 році.
За підсумками року спеціалісти ESET підготували список з 10 найбільших кіберінцидентів з урахуванням завданої ними шкоди, рівня складності чи геополітичних наслідків. І хоча порядок у списку не має значення, спочатку зупинимося на атаках, спрямованих на Україну, які більше вплинули на глобальні ризики цифрової безпеки.
Україна під прицілом кібератак. Критична інфраструктура України знову стала ціллю кіберзлочинців. На початку повномасштабного російського вторгнення дослідники ESET тісно співпрацювали з CERT-UA над усуненням атаки, націленої на систему енергопостачання країни з використанням шкідливої програми для знищення інформації. Цю загрозу група кіберзлочинців Sandworm намагалася розгорнути на високовольтних електричних підстанціях. Шкідливе програмне забезпечення отримало назву Industroyer2 на честь загрози, застосованої групою для відключення електроенергії в Україні в 2016 році. Однак цього разу програма використовувалася у поєднанні з новою версією загрози CaddyWiper для знищення інформації, ймовірно, щоб приховати сліди групи та уповільнити реагування та відновлення контролю для операторів енергетичної компанії.
Ще більше загроз для знищення інформації. CaddyWiper був далеко не єдиним інструментом для знищення даних, виявленим в Україні безпосередньо перед або в перші кілька тижнів вторгнення росії. 23 лютого 2022 року телеметрія ESET зафіксувала іншу загрозу такого ж функціоналу із назвою HermeticWiper на сотнях машин у кількох організаціях в Україні. Наступного дня почалася друга руйнівна атака на українську урядову мережу з метою знищення даних, цього разу з використанням IsaacWiper.
Перебої в роботі Інтернету. За годину до російського вторгнення масштабна кібератака на комерційного супутникового провайдера Viasat призвела до призвела до перебоїв у доступі до Інтернету для тисяч людей в Україні та навіть в інших країнах Європи. Вважається, що метою атаки, під час якої був використаний неправильно налаштований VPN-пристрій для отримання доступу до розділу управління супутниковою мережею, було послабити комунікаційні можливості українського командування в перші години вторгнення. Проте її наслідки відчули далеко за межами України.
Надзвичайне положення в Коста-Ріці через програми-вимагачі. Однією з найактивніших цього року була група програм-вимагачів Conti, доступ до використання яких за плату зловмисники-розробники надають іншим хакерам. Одну з таких атак було спрямовано на невелику південноамериканську державу Коста-Ріка. Як результат, в країні було оголошено надзвичайний стан, а уряд назвав атаку актом «кібертероризму». Група з тих пір зникла, хоча її учасники, ймовірно, просто перейшли до іншої активності для уникнення уваги правоохоронних органів.
Атаки на державні органи в США. Інші програми-вимагачі також були активними у 2022 році. У вересні Агентство з кібербезпеки та захисту інфраструктури США повідомило, що пов’язані з Іраном кіберзлочинці атакували муніципальну установу США та аерокосмічну компанію, використовуючи уразливість Log4Shell для поширення програм-вимагачів. Також варта уваги атака на уряд США в листопаді. Тоді організацію федеральної цивільної виконавчої влади було атаковано та розгорнуто в її мережі шкідливе програмне забезпечення для майнінгу криптовалют.
Крадіжка в розмірі 618 мільйонів доларів США з використанням Ronin Network. Цей сайдчейн Ethereum для гри Axie Infinity був створений в’єтнамським розробником блокчейн-ігор Sky Mavis. У березні з’ясувалося, що хакерам вдалося використати викрадені приватні ключі, щоб підробити зняття коштів на суму 173 600 Ethereum (592 мільйони доларів США) і 25,5 мільйонів доларів США через Ronin двома транзакціями. Крадіжка в розмірі 618 мільйонів доларів США за цінами березня стала найбільшою в історії криптокомпаній. З атакою пов’язана північнокорейська група кібрезлочинців Lazarus.
Група програм-вимагачів Lapsus$, яка за допомогою резонансних крадіжок даних змушує своїх жертв платити, з’явилася протягом 2022 року,. Серед її цілей – Microsoft, Samsung, Nvidia, Ubisoft, Okta і Vodafone. Одним з її методів є підкуп інсайдерів у компаніях та їхніх підрядників. Хоча деякий час група була відносно неактивною, вона знову повернулася наприкінці року, атакувавши розробника Grand Theft Auto Rockstar Games. Кілька ймовірних членів групи були заарештовані у Великобританії та Бразилії.
Витік даних Міжнародного комітету Червоного Хреста. У січні організація повідомила про серйозний інцидент, у результаті якого були скомпрометовані особисті дані понад 515 000 жертв. У швейцарського підрядника були викрадені дані про осіб, розлучених зі своїми родинами через конфлікти, міграцію та катастрофи, зниклих безвісти та їхніх сімей, а також осіб, які перебувають під вартою. Під час атаки була використана уразливість у системі, на якій було не застосовано виправлення.
Новий витік даних в Uber. У 2016 році у компанії було викрадено дані про 57 мільйонів користувачів. У вересні цього року знову повідомлялося, що хакер, потенційно член групи Lapsus$, зламав електронну пошту та хмарні системи, сховища коду та внутрішній обліковий запис Slack. Кіберзлочинець націлився на зовнішнього підрядника Uber, найімовірніше, знайшовши їх корпоративний пароль у даркнеті.
Медичні дані у руках хакерів. Зловмисникам вдалося отримати доступ до даних 4 мільйонів клієнтів австралійського гіганта медичного страхування. Атака може призвести до збитків компанії на близько 35 мільйонів доларів США. Вважається, що кіберзлочинці, пов’язані з програмою-вимагачем REvil (також відомою як Sodinokibi), отримали облікові дані адміністратора, і це стало початковим вектором атаки. Жертви цієї атаки тепер стикаються з хвилею подальших спроб шахрайства з особистими даними.
Що б не трапилося у 2023 році, деякі уроки з цих 10 серйозних інцидентів можуть стати в нагоді користувачам під час посилення цифрового захисту своїх пристроїв та корпоративних мереж. Зокрема компаніям слід правильно налагодити свої процеси та операції, організувати тренінги з цифрової обізнаності для всіх співробітників та забезпечити багаторівневий захист корпоративної мережі за допомогою передових рішень з кіберебезпеки.