BI.ZONE выяснила подробности хищения данных у 40 российских компаний

Группировка Leak Wolf взламывает российские компании и публикует их данные в своем телеграм‑канале. При этом хактивисты не применяют вредоносное ПО. Они маскируются под реальных сотрудников организаций и ускользают от служб кибербезопасности

Скачать исследование

17 мая 2023 г.

В 2022 году именно хактивисты обеспечили рост инцидентов, связанных с утечками данных. У таких преступников нет финансовых мотивов, как у кибервымогателей, или шпионских целей, как в случае со спонсируемыми государством группировками. Они стремятся взломать компании из «моральных» побуждений.

Leak Wolf — один из характерных примеров этого типа злоумышленников. Основную деятельность они начали в апреле 2022 года — именно тогда в подконтрольном группе телеграм-канале были размещены данные нескольких жертв. Leak Wolf провела атаки более чем на 40 российских компаний. Чаще всего от ее действий страдали организации из сфер розничной торговли, образования и информационных технологий.

В отличие от других группировок Leak Wolf не пыталась эксплуатировать популярные уязвимости в публично доступных приложениях, использовать вредоносное ПО или фишинговые почтовые рассылки. По данным управления киберразведки BI.ZONE, атакующие использовали аккаунты сотрудников компаний или доступы IT‑подрядчиков. Так злоумышленникам удавалось долго оставаться незамеченными. Чтобы не привлекать внимания, преступники также арендовали серверы на территории России либо использовали VPN для удаленного доступа. Учитывая популярность дистанционной работы, в том числе из ближнего зарубежья, это не вызывало подозрения у служб безопасности.

Помимо взлома IT‑провайдеров, злоумышленники получали несанкционированный доступ, анализируя утечки данных физических лиц. Сотрудники компаний нередко пренебрегают цифровой гигиеной: регистрируются в сторонних сервисах с рабочими email, используют простые пароли, не меняют их от аккаунта к аккаунту.

После проникновения в инфраструктуру компании злоумышленники сканировали сеть, собирали важную для бизнеса информацию (например, клиентскую базу), загружали в облачное хранилище и публиковали ссылку в своем телеграм-канале.

Почти 60% инцидентов, которые довелось расследовать нашей команде в 2022 году, были связаны с утечками. Количество подобных атак по сравнению с 2021 годом увеличилось в 4 раза. Действия Leak Wolf в очередной раз доказывают, что злоумышленникам вовсе не обязательно использовать для своих целей вредоносное программное обеспечение. Обнаружить подобные инциденты без эффективного мониторинга практически невозможно, более того, необходим проактивный поиск угроз.

Олег Скулкин

Руководитель управления киберразведки BI.ZONE

Чтобы снизить риски подобных атак, необходимо наладить мониторинг событий кибербезопасности в рамках SOC. Если инцидент уже произошел, важно быстро отреагировать и запустить расследование. Это позволит понять, как злоумышленники попали в системы компании, изолировать скомпрометированные ресурсы от корпоративной сети, исключить возможность повторной атаки по схожему пути.

Познакомиться с тактиками, техниками и процедурами Leak Wolf можно в исследовании.

@media only screen and (min-width: 320px) and (max-width: 380px) { .articleDetail .quote__authorName, .articleDetail .quote__text, .eventProgramm__date, .eventProgramm__title, .fs-h5, .h5, .headBlock__text, .headSection--news .headSection__text, .headSection__text, .newsDetail .quote__authorName, .newsDetail .quote__text, .participants__title, .popup__title, .sectionFullImage__text, .stepList .button, .stepList .button span, .stepList__title, .toggleBox .iconLine__title, .toggleBox__title, div.card__title, div.cFiltered__length, div.productDetail__subtitle, div.review__authorName, div.timer__title, div.toggleBox .iconLine__title, div.toggleBox__title, div.toggleEvent__bannerTitle, div.v-banner__title, h5 { font-size: 20px; line-height: 22px; } }