Киберпреступники превращают атаки на цепочки поставок в операцию промышленных масштабов, связывая взломы, кражу учетных данных и программы-вымогатели в «самоподдерживающуюся» экосистему, говорят исследователи.
В своем последнем отчете о тенденциях Group-IB считает, что отдельные удары, ведущие к более широким компрометациям бизнеса последующих уровней, теперь взаимосвязаны, поскольку киберзлоумышленники используют множество методов для взлома поставщиков и поставщиков услуг.
Взломы цепочек поставок, такие как недавний червь Shai-Hulud NPM, фиаско Salesloft или отравление пакета OpenClaw, быстро становятся основными целями преступного мира, который пытается использовать унаследованный доступ к клиентам жертвы.
«Компрометация пакетов с открытым исходным кодом способствует распространению вредоносного ПО и краже учетных данных», — говорится в исследовании. «Фишинг и злоупотребление OAuth позволяют компрометировать личности, открывая доступ к средам SaaS и CI/CD. Утечки данных предоставляют учетные данные, контекст и связи, необходимые для усовершенствования выдачи себя за другое лицо и горизонтального перемещения. Программы-вымогатели и вымогательство появляются позже в цепочке, используя полученный ранее доступ и информацию. Каждый этап усиливает следующий, создавая самоподдерживающийся цикл эксплуатации цепочки поставок».
В следующем году GroupIB прогнозирует, что атаки на цепочки поставок будут выполняться быстрее благодаря инструментам с поддержкой ИИ, которые могут сканировать уязвимости у поставщиков, конвейеров CI/CD и торговых площадок расширений браузера со скоростью машины.
Компания также ожидает, что традиционные вредоносные программы будут заменены атаками на идентификационные данные, при которых преступники выдают себя за реальных пользователей, а их действия сливаются с обычными ежедневными бизнес-функциями, избегая обнаружения в течение более длительного времени.
Платформы, предлагающие HR, CRM и ERP, а также MSP, являются приоритетными целями, говорит Group-IB, поскольку одна компрометация может привести к получению хакерами доступа к сотням клиентов.
Эволюция утечек данных
Взлом Salesloft, а также компрометация Oracle в марте 2025 года, являются примерами того, как утечки данных смещаются от модели единого вознаграждения к модели, в которой доступ используется для дополнительных компрометаций.
Вместо того чтобы извлекать большой объем данных и требовать выкуп, преступники не торопились собирать токены OAuth и использовать неправильно настроенные партнерские соединения для горизонтального перемещения. Затем они нацеливаются на последующих клиентов, крадут их данные и списки контактов, чтобы повторить цикл, или, в случаях, связанных с NPM и аналогичными экосистемами, предоставляют вредоносные обновления пользователям для мошенничества в больших масштабах.
«Киберпреступность больше не определяется единичными взломами. Она определяется каскадными сбоями доверия», — сказал Дмитрий Волков, генеральный директор Group-IB.
«Злоумышленники индустриализируют компрометацию цепочек поставок, потому что это обеспечивает масштаб, скорость и скрытность. Один первоначальный взлом теперь может вызвать цепную реакцию по целым отраслям. Защитники должны перестать думать об изолированных системах и начать обеспечивать само доверие во всех отношениях, идентификационных данных и зависимостях».
Организации должны рассматривать третьи стороны как расширение своей собственной поверхности атаки.
«Стратегические инвестиции в моделирование угроз цепочек поставок, автоматизированные проверки зависимостей и видимость потоков данных больше не являются необязательными — они являются основой современной архитектуры безопасности», — сказал Волков. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones
