В даркнете продаются 10 млн украденных пар логинов и паролей от аккаунтов пользователей Ближнего Востока – «Лаборатория Касперского»
Команда Kaspersky Digital Footprint Intelligence (DFI) изучила объявления в даркнете и на теневых маркетплейсах за первое полугодие 2024 года, чтобы выявить основные киберугрозы для организаций и госучреждений стран Ближнего Востока.
«Лаборатория Касперского» сообщает, что с помощью инфостилеров злоумышленники стремятся собрать как можно больше конфиденциальных данных с заражённых устройств. Логины и пароли к аккаунтам пользуются большим спросом. Эксперты Kaspersky DFI обнаружили в даркнете почти 10 миллионов таких связок, опубликованных за первые шесть месяцев 2024 года. В основном это учётные записи сотрудников различных компаний или пользователей сервисов, в том числе государственных, в Египте, Саудовской Аравии и ОАЭ.
Утёкшие данные могут быть использованы для совершения различных мошеннических действий — от шантажа до целевых атак. В первом полугодии 2024 года злоумышленники выложили в даркнет и на теневые форумы 125 баз корпоративных данных ближневосточных компаний. В числе стран по наибольшему числу утечек — Саудовская Аравия, Ирак и Египет.
По данным экспертов Kaspersky DFI, кибергруппы, организующие атаки с использованием программ-шифровальщиков, стали более организованными и структурированными. В первом полугодии 2024 года на Ближнем Востоке действовало не менее 19 таких групп. Основные страны присутствия — ОАЭ и Саудовская Аравия. Наиболее активны Lockbit 3.0, Stormous, Rhysida и Qilin.
В числе наиболее часто атакуемых отраслей — государственные организации, строительные и консалтинговые компании.
Идеологически мотивированная хактивистская деятельность набирает обороты. Принято считать, что чаще всего хактивисты совершают DDoS-атаки. Однако сейчас деятельность таких злоумышленников становится всё более разрушительной и приводит к критическим последствиям — утечкам данных и компрометации отдельных организаций. Эксперты Kaspersky DFI зафиксировали более 11 движений и групп хактивистов на Ближнем Востоке.
Ключевая цель злоумышленников-брокеров первоначального доступа — поиск точек входа в корпоративные сети. Их в том числе перепродают более крупным группам или атакующим, у которых есть возможности и мотивация для дальнейшего развития атаки. Эксперты Kaspersky DFI обнаружили в даркнете более 40 объявлений о продаже доступа к корпоративным системам в государственных, образовательных, производственных, транспортных, финансовых, медицинских организациях и предприятиях других отраслей на Ближнем Востоке.
«Злоумышленники не только совершенствуют существующие методы, но и разрабатывают новые тактики и инструменты. Необходимо сохранять бдительность, чтобы защищать корпоративные сети от угроз из даркнета. Вопрос не в том, произойдёт ли атака, а скорее, когда она произойдёт. Поэтому организациям важно быть на шаг впереди киберзлоумышленников», — комментирует Вера Холопова, аналитик Kaspersky Digital Footprint Intelligence.