Внешние цифровые угрозы 2024: анализ утечек данных российских компаний

Об отчете

Отчет составлен на основе данных DRP-сервиса мониторинга внешних цифровых угроз Solar AURA ГК «Солар». Аналитика базируется на результатах мониторинга публичных и закрытых сегментов интернета по клиентам и пилотным проектам центра Solar AURA:

1,2 млн+ доменных имен и выданных SSL-сертификатов (пул источников динамически обновляется каждые сутки);
более 2500 Telegram-каналов противоправной тематики и даркнет-форумов;
50 млн DNS-запросов в сутки.

Отчетный период включает январь – декабрь 2024 года.

О сервисе Solar AURA

Сервис Solar AURA включает восемь модулей, которые могут подключаться отдельно или в комплексе:

«Антифишинг» — обеспечивает полный цикл противодействия фишингу: от выявления доменных имен и интернет-ресурсов, которые могут быть использованы в противоправных действиях в отношении заказчика или от его имени, и до реализации комплекса мер по оперативной блокировке подобных ресурсов.
«Утечки» — помогает оперативно выявлять факты компрометации чувствительной для компании информации в публичных источниках.
«Даркнет» — помогает оперативно выявлять в даркнете и на иных ресурсах признаки угроз, нацеленных на компанию, таких как случаи публикации в Сети документов ограниченного доступа, баз данных, сведений о скомпрометированных аккаунтах, а также различного рода нелегальных услугах и готовящихся кибератаках.
«Бренд компании» — выявляет широкий перечень нарушений, затрагивающих бренд компании: от фейковых страниц в соцсетях и мессенджерах до мобильных приложений, использующих название и логотип организации или ее продукты.
«Личный бренд» — отслеживает появление фейковых личных аккаунтов в соцсетях, случаи компрометации личных и корпоративных учетных данных, оценивает информационный фон вокруг персоналий компании, фиксирует появление негативных или компрометирующих публикаций.
«Медиаполе» — выявляет в открытом доступе публикации, способные негативно повлиять на информационную или экономическую безопасность компании, в частности сведения об используемых средствах защиты информации, регламентах работы, особенностях ИТ-инфраструктуры и т. п.
«Безопасность финансов» — обнаруживает факты использования интернет-эквайринга банка для оплаты запрещенных в РФ услуг; собирает сведения о банковских картах, используемых при отмывании или обналичивании нелегальных денег; мониторит сайты с интернет-эквайрингом защищаемого банка на соответствие заявленному виду деятельности; предоставляет сведения для проверки контрагентов.
«Мониторинг периметра» — сканирует корпоративные сервисы на наличие уязвимостей; ищет новые опубликованные в интернете ИТ-активы компании; контролирует контент сайта на предмет нелегитимных изменений.

Утечки данных

Утечки продолжают оставаться одной из ключевых угроз для российских компаний. С января по декабрь 2024 года сервис Solar AURA зафиксировал 986 инцидентов - сообщений об утечках, включая случаи публикации баз данных российских компаний и сервисов. В результате успешной атаки базы данных попали в открытый доступ в 479 случаях – это на 43% больше, чем за весь 2023 год.

В 2024 году хакеры опубликовали 1.4 млрд строк данных. В 2023 году в сеть было выложено 4,9 млрд строк данных, однако из них 4 млрд строк относятся к одному единственному инциденту и содержат преимущественно техническую информацию. Если исключить этот инцидент, то всего за 2023 год в открытый доступ попало 865 млн строк данных. Это означает, что фактический прирост год к году составил 64%.

Общий объем выложенной в общий доступ информации в 2024 году превысил 20 терабайт, причем пик пришелся на 4 квартал 2024 года. В размещенных базах данных содержалось 89 млн адресов электронной почты (-38% год к году) и 240 млн номеров телефонов (+7% год к году).

И если количество телефонов превышает показатели 2023 года, то количество email, попавших в открытый доступ, существенно снизилось. Это связано, в частности, и с тем, что в последние годы телефоны все чаще используются для авторизации в различных сервисах, а электронная почта несколько сдает свои позиции.

Российские утечки по месяцам: строки, e-mail, номера телефонов (млн)

Строки
Почты
Телефоны

Категория	Значение 1	Значение 2	Значение 3
Январь	170	15	81
Февраль	38	4	20
Март	246	9	55
Апрель	67	6	7
Май	8	2	0
Июнь	86	2	2
Июль	87	4	11
Август	80	11	28
Сентябрь	28	11	2
Октябрь	70	17	17
Ноябрь	166	4	13
Декабрь	363	4	4

Распределение утечек по отраслям (млн строк данных)

Категория	Значение	Цвет
Финансы	410	#5f1224
Госорганизации	338	#fe6e36
Ритейл	254	#ffb84d
Услуги	106	#fddc5c
Страхование	94	#9fc131
Спорт и игровая индустрия	93	#1f8a70
Здравоохранение	38	#0fa4cd
Строительство и девеломпент	19	#69306d
Телекоммуникации	17	#f43d4b
Образование	16	#bb7b05

Лидером по количеству утекших строк в 2024 году стал финансовый сектор, который традиционно является привлекательной отраслью для злоумышленников любого уровня. На отрасль пришлось 39 инцидентов, в результате которых в сеть попало более 410 млн строк данных. Однако по числу инцидентов финансы 10-е место, отставая от лидера (ритейла) в 7 раз.

Более 25% инцидентов из финотрасли в 2024 году приходились на микрофинансовые организации. В среднем в ходе каждого подобного случая в сеть попадало не менее 10 млн строк данных.

Неприятным сюрпризом стало попадание на вторую строку рейтинга госсектора, причем больше всего строк из организаций данной отрасли попало в открытый доступ в конце декабря 2024 года в результате нескольких инцидентов.

На третьем месте расположился ритейл – 267 инцидентов, по итогам которых было опубликовано 254 млн строк. Это связано с тем, что электронная коммерция занимает значительную долю интернет-рынка, а небольшие сетевые магазины не всегда могут похвастаться высоким уровнем обеспечения информационной безопасности. Замыкают ТОП-5 сфера услуг (130 инцидентов, 106 млн строк), что тоже вполне традиционно, и страхование (6 инцидентов, 94 млн строк).

Фишинг

В 2024 году количество фишинговых сайтов, выявленных и заблокированных сервисом Solar AURA, выросло в 2,3 раза в сравнении с 2023 годом.

Большую часть обнаруженных фишинговых ресурсов составили фейковые сайты маркетплейсов, формы входа различных госорганизаций, а также сайты, предназначенные для кражи аккаунтов Telegram.

Отличительной чертой фишинга в 2024 году стало широкое использование защиты от обнаружения, а также доменов, не имеющих смысловой связки с брендом, под который мимикрирует сайт.

Число фишинговых ресурсов, располагающихся на доменах 3-го и 4-го уровней, впервые превысило количество фишинга на доменах 2-го уровня. Это связано, в частности, с широкой популярностью «фишинговых комбайнов» - нелегальных онлайн-сервисов, которые позволяют генерировать множество фишинговых страниц под различные бренды.

Отдельно отметим, что злоумышленники по-прежнему используют различные средства от обнаружения фейковых ресурсов. Также наблюдается тренд создания доменов, не имеющих смысловой связки с брендом, под который мимикрирует фейковый сайт.

Соотношение доменов фишинговых ресурсов в 2024 году

Категория	Значение	Цвет
Домены 4-го уровня	29	#5f1224
Домены 3-го уровня	37	#fe6e36
Домены 2-го уровня	34	#ffb84d

Распределение доменных зон в зависимости от уровня домена

Количество атак за месяц в 2022 году, тыс. шт.
Количество атак за месяц в 2023 году, тыс. шт.
Количество атак за месяц в 2024 году, тыс. шт.

Категория	Значение 1	Значение 2	Значение 3
COM	174	33	1530
RU	996	164	0
ONLINE	114	184	0
РФ	104	0	0
SHOP	62	300	0
XYZ	81	327	0
WEBSITE	2	13	0
INFO	20	5	0
SU	5	2	0
CC	51	6	0
TK	0	30	0
GQ	0	12	0
CF	0	4	0
WS	1	6	0
TOP	68	29	0
ICU	3	137	0
WORLD	1	177	0
Прочие зоны	139	576	4

Подобные тенденции делают выявление фишинговых сайтов традиционными методами (например, путем поиска похожих доменов) все менее эффективными.

Антидроп

В 2024 году Solar AURA существенно расширил функционал модуля «Эквайринг». Помимо выявления случаев использования интернет-эквайринга для оплаты различного рода нелегальных активностей, теперь сервис фиксирует и случаи использования банковских карт, электронных кошельков, а также номеров телефона, привязанных к СБП для приема нелегальных платежей в рамках скам-проектов, онлайн-казино и так далее.

За 12 месяцев 2024 года база записей подобных случаев, связанных с нелегальными платежами, увеличилась на 65 тысяч 748 – это в 12 раз больше, чем в аналогичном периоде 2023 года. Всего же на данный момент сервис зафиксировал уже более 107 тысяч случаев использования банковских карт и счетов, задействованных в различного рода околокриминальных схемах.

Юридические лица

Solar AURA собирает сведения о компаниях, выставленных или выставлявшихся на продажу на черном рынке. В настоящий момент база насчитывает 8 тыс. подобных организаций. Из них 1,5 тыс. были обнаружены в 2024 году – в среднем это четыре компании в день.

Такие компании мошенники приобретают в даркнете для проведения нелегальных операций – фейкового партнерства, обналичивания и отмывания средств и т.д. Опасность таких компаний заключается в том, что при внешней благонадежности, например, отличных финансовых и иных показателях, взаимодействие с ними несет серьезные риски для бизнеса.

Выводы

Утечки все еще остаются серьезной угрозой для российских компаний – число публикаций баз данных организаций в 2024 году выросло на 43% в сравнении с 2023 годом;
Снизилось число утекших е-mail – это связано с тем, что россияне все чаще используют для авторизации в различных сервисах номера телефонов вместо электронной почты;
Количество фишинговых сайтов, выявленных сервисом, в сравнении с 2023 годом выросло в 2,3 раза, а большая часть пришлась на фейковые сайты маркетплейсов, сайты госуслуг и ресурсы для кражи аккаунтов Telegram;
Трендом 2024 года среди фишинга стали «фишинговые комбайны» - нелегальные онлайн-сервисы, которые позволяют генерировать множество фишинговых страниц под различные бренды.