Отчет об атаках и инструментарии профессиональных кибергруппировок в 2021 году
В основе нашего исследования лежит модель уровней нарушителей, которая учитывает значительное расслоение подходов злоумышленников к атакам на инфраструктуру. К профессионалам относятся хакеры со средней (киберкриминал) и высокой квалификацией (кибернаемники и проправительственные группировки).
В качестве источников информации были использованы:
-
результаты анализа инцидентов и атак, выявленных командой Solar JSOC в рамках оказания регулярных услуг мониторинга и реагирования на кибератаки;
-
результаты расследований, проводимых командой Solar JSOC CERT;
-
агрегированная информация об атаках и вредоносном ПО, собираемая сетью ловушек (ханипотов) и сенсоров, размещенных на сетях связи и в центрах обработки данных на территории России;
-
информация, получаемая в рамках коммерческих подписок от внешних поставщиков услуг и обмена данными с российскими и международными CERT.
-
В 2021 году аналитиками центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» было зафиксировано свыше 300 атак, реализованных злоумышленниками со средним и высоким уровнем квалификации. Это на треть превышает показатели прошлого года.
-
В 18% случаев за атаками стояли злоумышленники с высоким уровнем квалификации: кибернаемники и проправительственные группировки. Их доля также выросла в сравнении с прошлым годом.
-
Свыше 92% атак высокопрофессиональных группировок, зафиксированных в 2021 году, пришлось на объекты КИИ. Среди них чаще всего атакуют госсектор, энергетику, промышленность и ВПК.
-
В 2020 году мы отмечали, что чаще всего злоумышленники для проникновения во внутреннюю инфраструктуру использовали фишинг и социальную инженерию. В 2021 году на фоне публикации 0-day-уязвимостей в Microsoft Exchange профиль атак несколько изменился. Фишинг и социальная инженерия по-прежнему занимают ключевые позиции в портфеле инструментов атакующих, но теперь они делят лидерство с эксплуатацией уязвимостей в MS Exchange.
