Олимпийские игры в Париже 2024: Киберзлоумышленники нацелены на компании, связанные с играми, говорится в отчете

Исследование показало, что организации, связанные с Парижской Олимпиадой 2024 года, подвергаются повышенному риску кибератак, в том числе программ-вымогателей, утечки учетных данных и фишинговых кампаний.

Insikt Group, подразделение охранной фирмы Recorded Future, занимающееся исследованием угроз, уже обнаружило публикации, рекламирующие доступ к организациям, связанным с играми во Франции, и компрометацию учетных данных с использованием доменов «paris2024[dot]org» в даркнете.

Эти выводы были опубликованы в новом отчете, в котором выделены высокоприоритетные угрозы Играм, основанные на оценке прошлых атак, существующих угроз и геополитического контекста.

Компании в таких отраслях, как гостиничный бизнес и транспорт, с большей вероятностью заплатят выкуп во время Олимпийских игр, потому что во время простоя они потеряют больше бизнеса, чем обычно. В результате киберзлоумышленники будут рассматривать Олимпийские игры как выгодную возможность, утверждается в докладе.

Однако риску подвергаются не только организации, поскольку авторы книги «Преодоление опасностей: многогранные угрозы Олимпиаде в Париже» утверждают, что участники «почти наверняка» станут жертвами фишинговых схем, связанных с Олимпиадой.

TechRepublic внимательно изучает наиболее приоритетные киберугрозы Парижской Олимпиаде 2024 года, указанные в отчете.

Злоумышленники-вымогатели атакуют компании, связанные с Олимпийскими играми в Париже

Авторы отчета «ожидают, что киберпреступники воспользуются давлением, с которым сталкивается принимающий город, для вымогательства выплат с помощью программ-вымогателей».

Компании, участвующие в проведении Игр, будут вынуждены поддерживать высокий и постоянный уровень обслуживания. Они будут задействованы в таких секторах, как гостиничный бизнес, транспорт, логистика, здравоохранение и государственное управление. Эти компании также не будут привычны к спросу, который возникнет с новой известностью и прибытием 15 миллионов туристов, в отличие от главных организаторов, Международного олимпийского комитета и Международного паралимпийского комитета.

ПОСМОТРЕТЬ: Резервные копии 94% жертв программ-вымогателей становятся объектами атак злоумышленников

Более того, число компаний, которые решают заплатить выкуп в случае атаки программ-вымогателей, в настоящее время снижается: средняя сумма выплаты снизилась на 32% с четвертого квартала 2023 года по первый квартал 2024 года. В результате киберпреступники сильно мотивированы на проведение успешной атаки.

Эти два фактора в совокупности означают, что риск атак программ-вымогателей для организаций, связанных с проведением Игр, высок, поскольку злоумышленники воспользуются возможностью для наживы. Действительно, секторы производства, розничной торговли и строительства входят в четверку наиболее часто подвергающихся атакам программ-вымогателей во Франции при обычных обстоятельствах, согласно отчету.

Однако, хотя риск атаки с использованием программ-вымогателей высок, уровень сбоев будет «варьироваться в зависимости от критической роли, которую играет целевая организация», и, по словам авторов отчета, «практически нет шансов на полную остановку Парижской Олимпиады» из-за одного киберсобытия. Это связано с тем, что большинство организаций и процессов, лежащих в основе Игр, работают отдельно друг от друга, поэтому эффекта домино сбоев не будет.

Вирус-вымогатель является частью двойного вымогательства

Авторы отчета утверждают, что вторжения с использованием программ-вымогателей, скорее всего, являются частью атак двойного вымогательства. Злоумышленники не только будут требовать оплату в обмен на восстановление доступа к данным компании, но и будут угрожать утечкой информации либо в Dark Web, либо публично в качестве дополнительного рычага давления. Утечка информации может подвергнуть бизнес и Игры риску дальнейших кибератак, финансовых штрафов со стороны регулирующих органов и значительного ущерба репутации.

Другие формы вымогательства, с которыми может сочетаться атака программы-вымогателя, включают порчу веб-сайта, доксинг, распределенный отказ в обслуживании и преследование со стороны руководства. Дополнительные последствия этих двойных атак с вымогательством еще больше заставляют компании платить выкуп.

Брокеры первичного доступа, продающие удаленный доступ к компаниям, связанным с Олимпийскими играми в Париже.

Аналитики Insikt Group полагают, что «возросший аппетит» к успешной атаке программ-вымогателей на организации, связанные с Олимпийскими играми в Париже, приведет к увеличению активности брокеров первичного доступа.

IAB — это специализированные субъекты угроз, которые продают удаленный доступ к скомпрометированным корпоративным сетям на форумах Dark Web и через частные каналы связи, такие как Telegram. Операторы программ-вымогателей или другие субъекты угроз могут покупать у IAB доступ к организациям, связанным с Играми, для организации своих атак.

SEE: Брокеры первичного доступа: Как IAB связаны с ростом атак программ-вымогателей?

С начала года по 29 апреля 2024 года Insikt Group отслеживала 17 потенциальных угроз на предмет рекламы методов первичного доступа для французских компаний и 14 для связанных с играми отраслей во Франции, включая спорт, развлечения и гостиничный бизнес. Эти списки были найдены в даркнете и на форумах и включали доступ к системам протоколов удаленного рабочего стола, веб-оболочкам, протоколу передачи файлов Secure и системе управления взаимоотношениями с клиентами с правами администратора. Утечка учетных данных сотрудников Олимпийских игр в Париже.

Insikt говорит, что «объем и ценность полномочий, влияющих на Парижскую Олимпиаду, вероятно, увеличатся в месяцы, предшествующие этому событию, чтобы удовлетворить спрос со стороны злоумышленников».

Скомпрометированные учетные данные, полученные либо из вредоносного ПО-похитителя информации, либо из дампов данных даркнета, являются одним из основных способов получения злоумышленниками доступа к системе целевой организации. Их можно использовать для проведения кампаний социальной инженерии, компрометации деловой электронной почты, целевого фишинга или других атак, которые в случае успеха могут обеспечить горизонтальное перемещение по сети организации.

В период с 1 января по 29 апреля этого года аналитики выявили 624 упоминания о скомпрометированных учетных данных сотрудников Парижской Олимпиады в магазинах и торговых площадках Dark Web. Домены включали olympics[dot]com, paris2024[dot]org и paralympics[dot]org, а также информацию для входа в учетную запись электронной почты, «вероятно связанную с нынешним сотрудником».

Фишинговые атаки направлены против участников Олимпийских игр в Париже и связанных с ними компаний.

«Фишинговые приманки и мошенничества на олимпийскую тематику почти наверняка будут нацелены как на предприятия, так и на посетителей», — пишут авторы.

Злоумышленники будут распространять вредоносное ПО через электронную почту и текстовые сообщения, которые собирают учетные данные или другую личную информацию. Сообщения будут включать «использование срочного языка в электронных письмах, выдачу себя за руководителей или поставщиков, а также использование вредоносных веб-сайтов, выдающих себя за поставщиков или системы тикетов».

СМОТРИТЕ: Целевой фишинг и фишинг: в чем основные различия?

Аналитики уже наблюдали опечатки при регистрации доменов Олимпийских игр, где термины были намеренно написаны с ошибками, чтобы в случае орфографической ошибки направить тех, кто ищет законный веб-сайт, на мошенническую версию.

Советы по снижению киберугроз на Олимпиаде в Париже

Авторы отчета предложили ряд мер, которые организации, связанные с Парижской Олимпиадой, могут предпринять для снижения риска кибератак:

Обеспечьте полную видимость поверхности атаки организации с помощью платформы анализа угроз. Обращайте внимание на оповещения, автоматизируйте исправления и отслеживайте ландшафт угроз. Определите журналы похитителей информации и утечки учетных данных, связанные с вашей организацией, и отслеживайте рекламу IAB, чтобы предотвратить захват учетных записей, кражу данных, программы-вымогатели и другие атаки. Выявляйте и устраняйте подделки доменов и брендов, которые могут использоваться для мошенничества с клиентами или третьими лицами. Повышайте осведомленность о фишинге в компании и уделяйте первоочередное внимание исправлению уязвимостей с высоким риском. Отслеживайте геополитическую обстановку на предмет событий, которые могут изменить намерение стран-соперников провести кибервторжения против Олимпийских игр в Париже.

«Организаторы и связанные с ними заинтересованные стороны должны сосредоточиться на адаптивной стратегии безопасности, которая учитывает ландшафт геополитических угроз, а также возможности различных групп», — пишут авторы.

«Мониторинг развития кибербезопасности и ТТП, оказывающих влияние на субъектов угроз, а также внедрение новых технологий, обеспечивающих надежную киберзащиту среди всех организаций, участвующих в Парижских Олимпийских играх, от МОК до общественного транспорта, а также содействие международному сотрудничеству в обмене разведывательной информацией будут иметь решающее значение для обеспечения бесперебойного обмена информацией. проведение Олимпийских игр в Париже».