Отчет построен на расследованиях, проведенных командой Solar JSOC CERT с марта 2022 по март 2023 г. Он содержит общую информацию обо всех типах инцидентов и данные об основных техниках и тактиках злоумышленников. Всего за отчетный период было разобрано 40 успешных атак, связанных с проникновением в ИТ-инфраструктуру различных компаний и организаций.
В исследовании разобраны основные тактики, на которых базируется большинство правил детектирования вредоносной активности в различных средствах защиты информации. По целям атакующих инциденты разделены на:
- шифрование инфраструктуры с целью получения выкупа;
- хактивизм;
- взлом инфраструктуры с целью кибершпионажа APT-группировками.
Ключевые тезисы
- В среднем для достижения конечной цели атаки киберпреступникам требуется 7 дней, а не несколько месяцев, как это было пару лет назад.
- За год в 5 раз выросло количество атак, связанных с хактивизмом.
-
Самые популярные векторы проникновения в инфраструктуру жертвы – эксплуатация уязвимостей (часто известных уже несколько лет), атаки через подрядчиков (supply chain и trusted relationship), компрометация данных пользователей, фишинг.
-
Выросла активность прогосударственных APT-группировок, которые с начала СВО стали активнее проникать в инфраструктуры, расширяя спектр целей. Их интересы уже давно не ограничиваются федеральными и региональными органами власти. Специалисты встречают их в инфраструктурах энергетических компаний и даже СМИ.
