Атаки на VPN составили 28,7% инцидентов с программами-вымогателями

Компания Corvus Insurance, дочерняя структура The Travelers Companies, Inc., представила отчет за третий квартал 2024 года, в котором проанализированы тенденции в области кибератак. Согласно документу, почти треть всех атак с использованием программ-вымогателей была связана с уязвимостями в VPN и использованием слабых паролей.

Уязвимости в VPN как основной вектор атаки

Ключевым фактором для взлома сетей стали устаревшие версии программного обеспечения и VPN-аккаунты, защищенные недостаточно надежно. Часто используемые пароли вроде «admin» или «user», а также отсутствие многофакторной аутентификации (MFA) упрощали задачу хакерам. Автоматизированные атаки методом подбора паролей позволяли получить доступ к корпоративным системам с минимальными усилиями.

По словам Джейсона Ребхолца, директора по информационной безопасности Corvus, в будущем компании должны использовать многослойные подходы к защите, включая дополнительные меры контроля доступа, которые дополняют MFA.

«Хакеры ищут наиболее простой способ проникнуть в сеть, и в третьем квартале этим способом оказался VPN»

Джейсон Ребхолц

Эволюция экосистемы программ-вымогателей

Данные Corvus показали, что в третьем квартале количество жертв программ-вымогателей достигло 1,257 случаев, превысив показатели второго квартала (1,248). Лидерами по количеству атак стали пять групп: RansomHub, PLAY, LockBit 3.0, MEOW и Hunters International.

Наибольшую активность проявила группа RansomHub, которая увеличила количество атак на 160%, зафиксировав 195 жертв в третьем квартале. В то же время атаки LockBit 3.0 значительно сократились с 208 до 91.

С расширением экосистемы количество активных групп достигло 59, что говорит о постоянном появлении новых игроков. Так, после ликвидации группировки LockBit в первом квартале 2024 года, RansomHub, появившаяся в феврале, быстро заняла лидерские позиции, атаковав более 290 целей за год.

Наибольшие потери несет строительный сектор

Среди отраслей наиболее пострадала строительная индустрия — 83 атаки в третьем квартале, что на 7,8% больше, чем во втором. Также значительно возросло число атак на сектор здравоохранения — с 42 до 53, увеличившись на 12,8%.

Группы, такие как RansomHub, продолжают активно атаковать инфраструктурные объекты, что делает этот сектор одной из самых уязвимых целей.

Угрозы от бесплатных VPN: масштабный ботнет 911 S5

Киберпреступники используют популярность бесплатных VPN для создания глобальных сетей зараженных устройств. В 2024 году было раскрыто, что такие сервисы, как MaskVPN, DewVPN, PaladinVPN, и другие, стали основой для ботнета 911 S5, отчитался Kaspersky Lab.

Этот ботнет, демонтированный правоохранительными органами в мае 2024 года, насчитывал 19 миллионов уникальных IP-адресов в более чем 190 странах. Устройства пользователей, установивших эти VPN, превращались в прокси-серверы, через которые преступники направляли свой трафик.

Как использовался ботнет?

Администраторы сети 911 S5 продавали доступ к зараженным устройствам другим киберпреступникам, которые использовали их для:

• проведения кибератак,
• отмывания денег,
• массового мошенничества.

Этот случай подчеркивает, что бесплатные VPN могут представлять значительную угрозу для пользователей, превращая их устройства в инструмент киберпреступлений.

Выводы и рекомендации

Современные угрозы, такие как уязвимости VPN и злоупотребления бесплатными VPN-сервисами, подчеркивают необходимость строгих мер кибербезопасности. Эксперты советуют:

• Использовать сложные пароли и обязательно внедрять MFA.
• Обновлять программное обеспечение и устранять уязвимости.
• Избегать бесплатных VPN, выбирая проверенные решения с прозрачной политикой безопасности.

Эти меры позволят минимизировать риски и защитить инфраструктуру от современных киберугроз.

Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.