Группа хакеров под названием Leak Wolf похитила данные десятков российских компаний без использования вредоносного ПО. Об этом Хабру рассказали в ИБ-компании Bi.Zone.
Киберпреступники похищали чувствительную информацию, маскируясь под реальных сотрудников компаний. Затем хакеры публиковали данные в открытом доступе. Leak Wolf атаковали более 40 компаний. От действий злоумышленников пострадали организации из сфер торговли, образования и IT, отметили в Bi.Zone.
В 2022 году именно хактивисты обеспечили рост инцидентов, связанных с утечками данных. У таких преступников нет финансовых мотивов, как у кибервымогателей, или шпионских целей, как в случае со спонсируемыми государством группировками. Они стремятся взломать компании из «моральных» побуждений.
В отличие от других группировок Leak Wolf не пыталась эксплуатировать популярные уязвимости в публично доступных приложениях, использовать вредоносное ПО или фишинговые почтовые рассылки. По данным управления киберразведки Bi.Zone, атакующие использовали аккаунты сотрудников компаний или доступы IT-подрядчиков. Так злоумышленникам удавалось долго оставаться незамеченными.
Чтобы не привлекать внимания, преступники также арендовали серверы на территории России, либо использовали VPN для удалённого доступа. Учитывая популярность дистанционной работы, в том числе из ближнего зарубежья, это не вызывало подозрения у служб безопасности.
Помимо взлома IT-провайдеров, злоумышленники получали несанкционированный доступ, анализируя утечки данных физических лиц. Сотрудники компаний нередко пренебрегают цифровой гигиеной: регистрируются в сторонних сервисах с рабочими email, используют простые пароли, не меняют их от аккаунта к аккаунту.
После проникновения в инфраструктуру компании злоумышленники сканировали сеть, собирали важную для бизнеса информацию (например, клиентскую базу), загружали в облачное хранилище и публиковали ссылку в своём телеграм-канале.
