Топ-10 атак на облікові дані у 2024 році 

Звіт також підкреслює поширеність методів зловживання обліковими даними, таких як фішинг та несанкціонований доступ за допомогою викрадених облікових даних, які є основними компонентами проникнення в системи. Ці тактики стають дедалі складнішими, що дозволяє зловмисникам проникати в системи та компрометувати конфіденційні дані. Оскільки облікові дані є основою ідентифікації та управління доступом, їх захист має вирішальне значення для зменшення ризиків у всіх галузях. 

1. Атака на Change Healthcare

Атака із застосуванням програм-вимагачів на компанію Change Healthcare, здійснена угрупованням ALPHV (BlackCat) на початку 2024 року, виявила серйозні ризики, пов’язані з недостатнім захистом доступу, зокрема через відсутність багатофакторної автентифікації (MFA). Зловмисники скористалися слабкими місцями однофакторної автентифікації, щоб отримати доступ до систем компанії. Це призвело до масштабних збоїв у постачанні рецептурних ліків по всій країні, які тривали понад десять днів. Наслідки атаки суттєво вплинули на роботу лікарень і аптек, порушили ланцюги постачання, що є критично важливими для забезпечення належного догляду за пацієнтами. 

Згідно з повідомленнями, UnitedHealth Group, ключовий партнер Change Healthcare, можливо, заплатив $22 мільйони викупу для відновлення зашифрованих даних, хоча ні компанія, ні зловмисники офіційно цього не підтвердили. Однак ситуація ускладнилася, коли афілійована група ALPHV, відома як “Notchy”, звинуватила свою організацію у приховуванні отриманих коштів і заявила, що досі має у своєму розпорядженні конфіденційні дані Change Healthcare та її партнерів. Це викликало підозру на можливість афери з викупом з боку ALPHV, що посилило занепокоєння щодо витоку викрадених даних або їх використання для подальшого вимагання. 

“Notchy” також стверджувала, що додаткові організації охорони здоров’я, пов’язані з Change Healthcare, були скомпрометовані під час атаки, що ще більше ускладнює ситуацію. Незважаючи на ймовірний викуп, заяви афілійованих осіб про збереження даних свідчать про вищий рівень загрози для медичного сектору США. Крім того, оголошення ALPHV про припинення діяльності та намір продати вихідний код програм-вимагачів збільшують ризик появи подібних атак за допомогою модифікованих версій BlackCat. Інцидент із Change Healthcare яскраво демонструє масштаби руйнувань, викликаних недостатнім захистом ідентифікації та доступу у критичних галузях. 

2. Витік даних Snowflake

Витік даних у Snowflake у 2024 році став прикладом великої кількості ризиків атак на облікові дані, які вплинули не лише на саму компанію, а й на її високопрофільних клієнтів, таких як Santander Bank і Ticketmaster. Зловмисники скористалися шкідливим програмним забезпеченням Lumma Stealer для викрадення облікових даних співробітника відділу продажів Snowflake. Це стало відправною точкою для зловмисників, які використали вразливості однофакторної автентифікації, щоб отримати доступ до кількох середовищ. 

Витік даних розкрив конфіденційну інформацію клієнтів відомих організацій. Наприклад, Santander повідомив про компрометацію баз даних, що містили конфіденційну інформацію про клієнтів, тоді як Ticketmaster розкрив несанкціонований доступ до записів користувачів у хмарному середовищі. Ці інциденти загалом вплинули на мільйони клієнтів у всьому світі, підсилюючи занепокоєння щодо ризиків третіх сторін у взаємопов’язаних цифрових екосистемах. 

Головний зловмисник на ім’я “Whitewarlock” взяв на себе відповідальність за атаку і заявив про це на російських форумах у даркнеті. Він продавав викрадені дані акаунтів Snowflake, серед яких були 500 демонстраційних середовищ і дані великих організацій. 

Рішення SOCRadar Supply Chain Intelligence дає вам можливість зменшити такі ризики, надає всебічну інформацію про понад 50 мільйонів компаній по всьому світу. 

3. Злам Ticketmaster

Ticketmaster зазнала значного зламу, коли зловмисники скористалися вразливостями у хмарній інфраструктурі Snowflake для доступу до бази даних третьої сторони. Інцидент зачепив 560 мільйонів користувачів, розкривши особисту інформацію, таку як імена, адреси електронної пошти та часткові платіжні дані. Це порушення не лише завдало значної шкоди репутації компанії, але й спричинило збої в роботі систем. 

Зловмисники використали викрадені облікові дані, щоб здійснити атаку, що підкреслило важливість багатофакторної автентифікації (MFA) та регулярного проведення аудитів зовнішніх постачальників послуг. Впровадження таких заходів є ключовим для уникнення майбутніх інцидентів та захисту конфіденційної інформації клієнтів. 

4. Злам AT&T

Уразливості у хмарній платформі Snowflake також спричинили витік даних AT&T, який торкнувся 109 мільйонів клієнтів. Хакери використали компрометовані облікові дані та слабкі механізми автентифікації, щоб отримати доступ до журналів дзвінків, номерів телефонів та даних про місцезнаходження, які зберігалися у базі даних третьої сторони. 

Хоча вміст дзвінків і текстових повідомлень залишився недоторканим, розголошення метаданих підкреслило критичні вади у конфігураціях хмарної безпеки. Для вирішення проблеми AT&T виплатив викуп у розмірі $370 000, проте залишається питання, чи викрадені дані дійсно знищено.

Ці випадки показали, як уразливості в сторонніх платформах можуть призводити до масштабних витоків, які зачіпають мільйони клієнтів і завдають компаніям серйозних фінансових і репутаційних збитків. Щоб зменшити такі ризики, компаніям слід впроваджувати багаторівневу автентифікацію, регулярно перевіряти безпеку сторонніх систем і використовувати інструменти для моніторингу в реальному часі, наприклад Attack Surface Management від SOCRadar. Це дозволить своєчасно виявляти та усувати потенційні загрози. 

5. Фішингова кампанія OpenAI

Кіберзлочинці запустили масштабну фішингову кампанію, яка імітувала OpenAI, використовуючи популярність платформи. Зловмисники розіслали фальшиві електронні листи понад 1000 отримувачів та закликали їх оновити платіжну інформацію для своїх підписок на ChatGPT. Повідомлення мали стиль, схожий на офіційні комунікації OpenAI, і містили посилання з прихованими адресами. 

Відправником був домен, що не збігався з офіційним доменом OpenAI, що стало одним із головних сигналів для підозр. Цей інцидент підкреслює, як зловмисники використовують довіру до відомих брендів для збору облікових даних. З огляду на зростання популярності штучного інтелекту, кількість таких атак, спрямованих на сервіси AI, ймовірно, буде збільшуватися, що підкреслює важливість посилення захисту електронної пошти та регулярного навчання співробітників. 

6. Компрометація порталу підтримки Mercku

Кіберзлочинці зламали портал підтримки Mercku, створений на платформі Zendesk, щоб розсилати фішингові повідомлення користувачам MetaMask. Коли користувачі зверталися до служби підтримки, вони отримували автоматичні відповіді з темою “Обов’язкове оновлення облікового запису MetaMask”. У цих повідомленнях були шкідливі посилання, замасковані під інструкції для підвищення безпеки, які насправді призначалися для крадіжки облікових даних. 

Фішингові повідомлення використовували структури URL-адрес, які здавалися легітимними, вводячи користувачів в оману, ніби посилання ведуть на офіційний сайт MetaMask. Цей випадок підкреслює небезпеку компрометації надійних платформ для розповсюдження шкідливих кампаній. Організації, які покладаються на системи підтримки третіх сторін, повинні забезпечити захист своїх порталів, щоб запобігти таким зловживанням. 

7. Атака на ARUP із використанням діпфейків

Одна з найскладніших атак на облікові дані у 2024 році сталася з британською компанією ARUP, яка займається дизайном та інженерією. Шахраї використали технології діпфейків для створення аудіо та відео, що імітували CFO компанії та інших співробітників під час відеодзвінка. Це переконало співробітника фінансового відділу виконати 15 транзакцій на загальну суму $25,6 мільйона на офшорні рахунки. 

У відповідь ARUP посилила свої заходи безпеки: впровадила біометричну автентифікацію, протоколи перевірки і систему штучного інтелекту для виявлення аномалій. Це має допомогти запобігти подібним шахрайствам у майбутньому. 

Інцидент підкреслює загрозу технологій діпфейків, які стають усе складнішими й частіше використовуються в атаках на великі компанії. Модуль Identity & Access Intelligence від SOCRadar може стати вирішенням таких проблем. Він надає компаніям інструменти для моніторингу викрадення даних, аналізу витоків і захисту облікових записів. Це дозволяє швидко реагувати на загрози й запобігати атакам, пов’язаним із компрометацією ідентифікаційних даних. 

8. Складна фішингова кампанія з використанням Agent Tesla

У 2024 році з’явилася нова фішингова кампанія, яка продемонструвала високу складність сучасних атак. Зловмисники використали поліморфний завантажувач для поширення шкідливих програм Agent Tesla, які фіксують натискання клавіш і крадуть дані. Фішинговий лист виглядав як офіційне повідомлення про банківський платіж і містив вкладення з назвою «Bank Handlowy w Warszawie – dowód wpłaty_pdf.tar.gz». 

Після відкриття завантажувач обходив стандартні системи захисту, використовуючи складні методи маскування та пакування. Він застосовував дві процедури дешифрування, уникав системи AMSI, змінюючи функцію AmsiScanBuffer, і завантажував шкідливий код прямо в пам’ять, не залишаючи слідів на диску. 

Викрадені дані, зокрема облікові записи та натискання клавіш, передавалися через зламані поштові скриньки для приховування слідів. Ця атака демонструє, наскільки ефективно кіберзлочинці використовують сучасні технології, щоб уникати виявлення та завдавати серйозної шкоди. 

9. Кампанія Midnight Blizzard із використанням RDP

У жовтні 2024 року група Midnight Blizzard (APT29) здійснила фішингову кампанію з використанням файлів конфігурації RDP. Ці файли, підписані дійсними сертифікатами, встановлювали з’єднання із серверами зловмисників, відкриваючи доступ до ресурсів жертв. 

 Запуск цих RDP-файлів створював з’єднання з серверами, контрольованими зловмисниками, що дозволяло отримати доступ до ресурсів жертв, зокрема файлів, мережевих дисків і механізмів автентифікації. Мета кампанії полягала у зборі розвідувальної інформації. 

Атака вирізнялася передовою тактикою, включаючи використання скомпрометованих облікових записів для уникнення виявлення та тривалого збереження доступу. 

10. Витік даних 23andMe

Компанія 23andMe стала жертвою атаки із заповнення облікових даних, що призвело до витоку конфіденційної інформації 6,9 мільйона користувачів. Хакери використовували перероблені паролі для злому 14 000 акаунтів, які потім дозволили їм отримати доступ до 5,5 мільйона профілів DNA Relatives та 1,4 мільйона профілів Family Tree.  

Компанія пояснила проблему тим, що клієнти використовували слабкі або повторно використані паролі. Однак критики зазначають, що 23andMe не забезпечила належного захисту даних. У відповідь компанія запровадила двофакторну автентифікацію та примусово оновила паролі всіх користувачів. 

Попри ці заходи, 23andMe довелося виплатити 30 мільйонів доларів за колективним позовом. Угода передбачає трирічний моніторинг безпеки для постраждалих користувачів і компенсацію за зламані акаунти, що стало суттєвим фінансовим та юридичним ударом для компанії. 

Як захиститися від атак на облікові дані? 

1. Впроваджуйте багатофакторну автентифікацію (MFA). MFA додає додатковий рівень безпеки, зменшуючи ризик компрометації акаунтів навіть у разі викрадення облікових даних. 
2. Проводьте регулярне навчання з кібербезпеки. Навчайте співробітників розпізнавати фішингові атаки, соціальну інженерію та правильно управляти паролями, щоб мінімізувати ризик людських помилок. 
3. Моніторинг використання облікових даних. Використовуйте інструменти для виявлення та блокування атак на підбір облікових даних і підозрілих спроб входу. 
4. Посилюйте безпеку сторонніх систем. Регулярно перевіряйте інтеграції зі сторонніми сервісами, щоб переконатися, що вони відповідають високим стандартам безпеки та зменшують ризики від пов’язаних систем. 
5. Впроваджуйте передову безпеку електронної пошти. Використовуйте інструменти для виявлення та блокування шкідливих вкладень, фішингових посилань і підроблених відправників, підвищуючи захист від атак на викрадення облікових даних. 
6. Моніторинг даркнету. Застосовуйте рішення, такі як Dark Web Monitoring від SOCRadar, щоб виявляти компрометовані облікові дані та запобігати використанню конфіденційної інформації.