Введение и методология

Ежедневно сервисы и продукты “Солара” распознают и блокируют десятки тысяч кибератак на сотни организаций. Информация об угрозах, с которыми сталкиваются наши клиенты, поступает как от организаций-партнёров, так и из собственных источников: расследований инцидентов, анализа вредоносных инструментов, практики threat hunting и сети сенсоров, служащих «приманкой» для злоумышленников.

Центр исследования киберугроз Solar 4RAYS поддерживает глобальную сеть из более чем сотни ханипотов, разбросанных по всему миру. Они круглосуточно действуют в том числе в России, Польше, Франции, Германии, Швейцарии, США, Канаде, Японии и Сингапуре и предоставляют экспертам центра информацию о том, какие методы атак и как часто применяют злоумышленники.

Технически каждый элемент сети ловушек представляет собой сервер с одним из образцов популярного ПО, которое имеет веб-интерфейс. В списке ловушек – роутеры, камеры видеонаблюдения, серверы (VPN, виртуализация, почта и др.) на ОС Windows, Linux и др, реконструкции протоколов (удалённого доступа, SMB и т.д.), автоматизированные системы управления технологическим процессом (АСУ ТП), эмуляция серверов, подверженных часто используемым злоумышленниками уязвимостям и ряд других ханипотов ПО и оборудования, которые могут стать целью атакующих.

В этом отчете приводятся данные по динамике срабатываний на ловушках в 4 квартале 2024 года и их сравнение с 3 кварталом года.

Все срабатывания распределены по типу атаки. Наши ловушки позволяют распознать четыре основных типа:

  • CVE (попытка эксплуатации уязвимости);
  • Bruteforce (попытка подбора пароля);
  • Path Traversal (попытка эксплуатации уязвимости для получения доступа к файлам и директориям за пределами предполагаемой директории веб-сервиса);
  • Upload (Попытка доставки вредоносной нагрузки на атакованный сервер).

Отслеживание атак на ловушки позволяет фиксировать изменение в поведении злоумышленников и в какой-то мере предсказать их тактики и техники в атаках на ИТ-инфраструктуры реальных организаций.

Методология

Поскольку от квартала к кварталу количество активных ловушек варьируется, в этом отчёте мы оперируем нормализованными данными - то есть не абсолютным числом срабатываний ловушек на конкретный тип атак, а их усредненным числом в пересчёте на количество доступных ловушек под каждый тип атак. Например: абсолютное число срабатываний ловушек на атаки типа Upload в третьем квартале составило 3667. Эти данные получены с 11 ловушек. Таким образом, нормализованное значение составило 333,36 атаки.

Отдельно мы рассмотрим данные с сервиса PDNS. Он осуществляет мониторинг коммуникаций различных вредоносных программ с серверами управления из зараженных сетей на территории России, что позволит оценить распространенность угроз в стране.

Данные с сенсоров PDNS

Вторая часть отчета описывает ландшафт угроз на территории России. Данные для неё собраны с инфраструктуры PDNS.

DNS-серверы используются при интернет-соединении. Каждый раз, когда пользователь или приложение осуществляет попытку соединения с тем или иным веб-ресурсом, браузер делает обращение на DNS-сервер, которых хранит информацию о том, какое доменное имя какому IP-адресу соответствует.

Информация о поптыках соединений (резолвах) анализируется с помощью технологии passive DNS. Она сравнивает список IP-адресов, с которыми устанавливалось соединение со списком IP-адресов, о которых известно, что они относятся к вредоносным программам и\или атакам.

Если в списке обнаруживаются резолвы к IP-адресам, которые относятся к угрозам, этот случай считается событием, которое может указывать на заражение инфраструктуры клиента телеком-оператора, и учитывается в статистике отчета.

В потоке данных, полученных на основе анализа PDNS, мы выделяем несколько типов угроз:

  • признаки деятельности известных профессиональных хакерских группировок (APT)
  • признаки работы инструментов удаленного администрирования (Remote Access Tools, RAT)
  • признаки заражения вредоносами-стилерами (ВПО, похищающее конфиденциальную информацию)
  • признаки присутствия ботов одного из известных ботнетов
  • признаки заражения вымогателями
  • признаки заражения ВПО для майнинга криптовалют
  • признаки заражения загрузчикам – ВПО, способное устанавливать на атакованный компьютер дополнительные вредоносы.
  • признаки перехода на фишинговые страницы.

Признаки заражения выявляются в российских организациях, классифицированных по двум признакам: географическое расположение и принадлежность к той или иной сфере экономики. Всего мы выделяем восемь сфер:

  • Государственный сектор
  • Здравоохранение
  • Образование
  • Промышленность
  • Пищевая промышленность
  • Финансовая индустрия
  • Телекоммуникационная индустрия
  • ИТ-организации

Отслеживание изменений в ландшафте угроз на основе данных PDNS позволяет получить примерное представление о том, какие угрозы представляют наибольшую опасность для организаций из каких сфер и регионов.

Основные результаты

Ханипоты:

  • Количество атак на ловушки Solar 4RAYS в четвёртом квартале 2024 года выросло до 233,8 тыс., что более чем на 85% больше, чем в третьем квартале.
  • В основном рост случился из-за значительного увеличения зафиксированных попыток взлома учетных записей методом “грубой силы” (bruteforce): на 135% больше, чем кварталом ранее.
  • США, Китай, Индия и Россия в четвертом квартале 2024 года стали главными источникам вредоносной активности, зафиксированной ловушками. В совокупности на эти страны пришлось 65% атак. По сравнению с третьим кварталом более других возрос “вклад” в общее число атак со стороны США (+ 17 процентных пунктов) и России (+7,5 п.п.).
  • Большая часть атак типа bruteforce была нацелена на включение атакованных компьютеров в ботнет Mozi, а также на протоколы SSH и Telnet.
  • Как и кварталом ранее, большая часть автоматизированных попыток эксплуатации какой-либо уязвимости в четвертом квартале пришлось на атаки UPnProxy потиво протокола UPnP. Однако их доля сократилась с 86% ддо 58%. Техника UPnProxy позволяет автоматически создавать правила переадресации портов на устройстве. При этом за квартал значительно выросла доля атак на продукты Fortinet - c 7% до 30%.

Сенсоры PDNS:

  • Общее количество срабатываний, свидетельствующих о возможном заражении вредоносным ПО, в четвертом квартале 2024 года упало на 35,2% – с 1,6 млн до 1,2 млн.
  • За квартал сократилось и число атакованных организаций – на 15,86% (с 34 тыс. до 29 тыс). Таким образом, в среднем на одну компанию в четвертом квартале 2024 года пришлось 40,71 срабатывания, в то время как кварталом ранее показатель равнялся 47,5 срабатываниям.
  • Средства удаленного администрирования (RAT), APT, ботнеты и стиллеры – угрозы, признаки заражения которыми, встречались в организациях чаще всего в 4 квартале.
  • Телекоммуникации, здравоохранение, ТЭК, IT и пищевая промышленность лидировали в четвертом квартале по среднему количеству срабатываний на одну организацию.

Ловушки-ханипоты: общая статистика и география атак

Количество атак, зафиксированных ловушками в 4 квартале, составило 233,8 тыс., что на 85,5% больше, чем кварталом ранее. Наибольший “вклад” в этот рост внесли атаки типа Bruteforce (+134,9%). В то же время количество атак Path Traversal и CVE значительно упало – на 72,7% и 34,9% соответственно. В процентном соотношении доли атак распределились следующим образом

Типы атак в 4 квартале 2024 г.

Типы атак в 3 квартале 2024 г.

Тип атаки

Количество атак в 3 кв. 2024 г.

Количество атак в 4 кв. 2024 г.

Изменение

BRUTEFORCE

89126,60317

209427,3676

+134,98%

TRAVEL

31449,51111

18210,89362

- 72,70%

CVE

5132,016667

3804,555556

- 34,89%

UPLOAD

333,3636364

2412,625

+623,72%

География целей атак

В четвертом квартале ловушки, расположенные на территории России, вышли на первое место по доле атак – на них зафиксировано 22,61% всех попыток (против 28,27% в третьем квартале). США, которые возглавляли ТОП наиболее атакуемых стран в 3 квартале, переместился на второе место (в доля упала с 36,82% до 17,72%).

Доля ловушек в иных странах также возросла. Если в 3 квартале на них приходилось 34,9%, то в 4-м – всего 59,67% атак. Значительно выросла доля атак на ловушки на территории Германии - с 0,42% - до 14,95%.

Цели атак в 4 квартале 2024 г.

Цели атак в 3 квартале 2024 г.

Откуда шли атаки

США, Китай, Индия и Россия в 4 квартале 2024 года стали главными источникам вредоносной активности, зафиксированной ловушками. В совокупности на эти страны пришлось 65,13% атак.

Источники атак в 4 квартале 2024 г.

Источники атак в 3 квартале 2024 г.

В третьем квартале Индия была на первом месте с 30,67% атак, а “компанию” ей (в порядке убывания долей) составляли Литва (23,99%), Китай (21,93%) и США (7,71%).

Страна

Доля атак в 3 квартале

Доля атак в 4 квартале

Изменения

США

7,71%

25,03%

+17,32 п.п.

Китай

21,93%

19,55%

-2,38 п.п.

Индия

30,67%

12,97%

-17,7 п.п.

Россия

0,03%

7,58%

+7,55 п.п.

Гонконг

0,04%

4,75%

+4,71 п.п.

Германия

1,67%

4,13%

+2,46 п.п.

Великобритания

1,16%

2,42%

+1,26 п.п.

Франция

2,33%

0,24%

-2,09 п.п.

Бразилия

0,28%

2,13%

+1,85 п.п.

Вьетнам

0,18%

1,76%

+1,58 п.п.

Литва

23,99%

0

-23,99 п.п.

Нидерланды

1,47%

1,07%

-0,4 п.п.

Тайланд

1,09%

0,09%

-1 п.п.

Япония

0,89%

1,21%

+0,32 п.п.

Другие

7,08%

19,44%

+12,36 п.п.

У изменения в географии целей и источников нет конкретной причины. Это результат влияния нескольких факторов, среди которых изменение географического ландшафта заражённых ПО для автоматизации атак, появление в открытом доступе экплойтов для уязвимостей в ПО, популярном в тех или иных странах, и т.д.

Типы атак

Bruteforce

Хотя в течение квартала мы видели атаки на 12 разновидностей ПО, львиная их доля в 4 квартале пришлась пришлась на случаи попыток заражения ПО, связанного с ботнетом Mozi, а также на атаки против протоколов SSH и Telnet. В третьем квартале на ботнет Mozi и вовсе пришлось более 94% зафиксированных попыток подбора паролей. Именно рост числа атак на SSH и Telnet, которые в случае успеха предоставляют злоумышленникам удалённый доступ в атакованную инфраструктуру, стал основным фактором, повлиявшим на рост доли Bruteforce-атак на фоне других типов.

Bruteforce атаки в 4 квартале 2024 г.

Bruteforce атаки в 3 квартале 2024 г.

CVE

Большая часть автоматизированных попыток эксплуатации какой-либо уязвимости в 4 квартале пришлась на атаки UPnProxy против протокола UPnP - доля составила 58,35%. Атака позволяет автоматически создавать правила переадресации портов на устройстве. Однако доля таких атак значительно сократилась (в 3 квартале на них приходилось 85,52%).

В то же время за квартал увеличилась доля атак на продукты Fortinet (29,53% в 4 квартале против 7,09% в 3-м). В абсолютном выражении атаки на Fortinet тоже выросли – более, чем в 3 раза (с 15 тыс до 49 тыс. атак). Очевидно, это связано с появлением двух уязвимостей нулевого дня в FortiClient VPN, о которых стало известно в ноябре 2024 года. Злоумышленники часто пытаются воспользоваться периодом, когда об уязвимости уже известно, но большинство компаний не успели пока установить нужные обновления.

CVE атаки в 4 квартале 2024 г.

CVE атаки в 3 квартале 2024 г.

Path Traversal и Upload

Path Travel атаки в 3 квартале 2024 г.

Path Travel атаки в 4 квартале 2024 г.

Распределение атак типа Path Traversal за квартал не претерпело значительных изменений: чаще всего злоумышленники применяют этот тип атак против системы управления сайтами Drupal, серверов GitLab и Confluence. В 4 квартале доля атак на Drupal заметно выросла, а на GitLab и Confluence – наоборот сократилась. Также атакам стали чаще подвергаться серверы Apache.

В случае с атаками типа Upload главной целью атакующих два квартала подряд оставались протоколы SSH и Telnet.

Upload атаки в 3 квартале 2024 г.

Upload атаки в 4 квартале 2024 г.

Сенсоры PDNS: общая статистика

Общее количество срабатываний, свидетельствующих о возможном заражении вредоносным ПО, в 4-м квартале 2024 года сократилось на 35,2%: с 1,6 млн до 1,2 млн. Также на 15,8% сократилось число атакованных организаций:с 34 тыс до 29 тыс. Таким образом, в среднем на одну компанию в 4-м квартале 2024 года приходилось 40,71 срабатывания, в то время как кварталом ранее показатель равнялся 47,5.

Показатель

3 квартал

4 квартал

Изменения

Общее число срабатываний

1636207

1210245

- 35,20%

Число организаций

34442

29726

- 15,86%

Среднее количество атак на организацию

47,5

40,71

- 16,68%

Такая динамика может быть следствием нескольких причин. Во-первых, в конце года бизнес-активность, как правило, идёт на спад, а вслед за ней и активность злоумышленников. Во-вторых, на динамику срабатываний могут влиять меры безопасности, принимаемые в организациях – например, устранение заражения вредоносным ПО.

Типы угроз и индустрии

Типы угроз: общие сведения

Распределение срабатываний по типу угроз в 3 квартале 2024 г.

Наибольшую угрозу организациям, как и в предыдущем квартале, составили средства удаленного доступа (RAT), индикаторы присутствия APT-группировок, вредоносный код ботнетов и стиллеры – программы, похищающие конфиденциальные сведения. В четвертом квартале доля APT, ботнетов и стилеров незначительно выросла, а доля RAT – наоборот сократилась.

Распределение срабатываний по типу угроз в 4 квартале 2024 г.

В абсолютном выражении количество срабатываний на все типы угроз за квартал снизилось.

Тип угрозы

3 квартал

4 квартал

Изменение

Средства удаленного доступа

429241

295443

- 45,29%

APT

335291

283265

- 18,37%

Ботнеты

314484

250114

- 25,74%

Стилеры

301992

249068

- 21,25%

Майнинг

140398

70090

- 100,31%

Загрузчики

57271

30749

- 86,25%

Фишинг

46965

24579

- 91,08%

Вымогатели

10565

6937

- 52,3%

Атакованные индустрии

Атакованные индустрии в 3 квартале 2024 г.

Большинство вредоносных срабатываний в 3-м квартале фиксировалась в сетях организаций здравоохранения, государственного сектора, пищевой промышленности и образования. В 4-м квартале ситуация не изменилась, хотя доли здравоохранения, образования, а также ТЭК незначительно увеличились.

Атакованные индустрии в 4 квартале 2024 г.

При этом число атакованных организаций менялось, и это позволяет понять частоту, с которой в среднем организации демонстрировали признаки заражения ВПО.

Среднее количество срабатываний в пересчете на одну организацию в индустрии выглядит так.

Индустрия

Среднее за 3 квартал

Среднее за 4 квартал

Изменение

Здравоохранение

127,77

80,24

- 37,2%

Государственные органы

56,018

27,27

-51,32%

Пищевая промышленность

79,01

41,97

-46,88%

Образование

19,94

16,45

-17,5%

ТЭК

54,35

59,54

-9,55%

Промышленность

69,01

34,04

-50,67%

Телеком

72,76

81,32

+11,76%

Финансы

39,97

19,18

-52,01%

IT

79,68

42,91

-46,15%

В 3-м квартале чаще всего признаки заражения фиксировались в организациях здравоохранения, IT, телекоммуникаций, пищевой и прочей промышленности, а также ТЭК. В 4-м квартале “самыми атакуемыми” стали: телекоммуникации, здравоохранение, ТЭК, IT и пищевая промышленность.

Типы угроз: детали

Далее рассмотрим в деталях, какие угрозы чаще встречаются в предприятиях из разных отраслей.

Майнеры

Майнеры в 3 квартале 2024 г.

Майнеры в 4 квартале 2024 г.

Майнер Q3/Q4

3 квартал
4 квартал

Вымогатели

Вымогатели в 3 квартале 2024 г.

Вымогатели в 4 квартале 2024 г.

Вымогатели Q3/Q4

3 квартал
4 квартал

Стилеры

Стилеры в 3 квартале 2024 г.

Стилеры в 4 квартале 2024 г.

Стилеры Q3/Q4

3 квартал
4 квартал

APT

Индикаторы APT-группировок в 3 квартале 2024 г.

Индикаторы APT-группировок в 4 квартале 2024 г.

Индикаторы APT-группировок Q3/Q4

3 квартал
4 квартал

Загрузчики

Загрузчики в 3 квартале 2024 г.

Загрузчики в 4 квартале 2024 г.

Загрузчики Q3/Q4

3 квартал
4 квартал

Ботнеты

Ботнеты в 3 квартале 2024 г.

Ботнеты в 4 квартале 2024 г.

Ботнеты Q3/Q4

3 квартал
4 квартал

Фишинг

Фишинг в 3 квартале 2024 г.

Фишинг в 4 квартале 2024 г.

Фишинг Q3/Q4

3 квартал
4 квартал

Средства удаленного доступа (RAT)

Средства удаленного доступа в 3 квартале 2024 г.

Средства удаленного доступа в 4 квартале 2024 г.

Средства удаленного доступа Q3/Q4

3 квартал
4 квартал

Регионы и индустрии

В этом разделе рассмотрим, как менялся средний показатель количества атак от индустрии к индустрии в разных регионах. Данные получены путём подсчета фактического количества срабатывания всех угроз на предприятиях в конкретной индустрии. Результаты нормализованы с учётом количества предприятий конкретной индустрии в рассматриваемом регионе.

Пищевая промышленность

Пищевая промышленность в 3 квартале 2024 г.

Среднее количество срабатываний

Пищевая промышленность в 4 квартале 2024 г.

Среднее количество срабатываний

Нижегородская область

253,87

Республика Марий Эл

151,22

Вологодская область

250,89

Вологодская область

145,85

Чувашская Республика

179,29

Нижегородская область

128,55

Республика Марий Эл

167,57

Город Санкт-Петербург

128,11

город Санкт-Петербург

135,8

Чувашская Республика

91,83

Тюменская область

113,2

Тюменская область

91,18

Кировская область

76,5

Удмуртская Республика

45,73

Удмуртская Республика

75,93

Ростовская область

40,9

Приморский край

64,74

Приморский край

37,75

Самарская область

64,68

Самарская область

32,75

Остальные

39,44

Остальные

25,06

IT

IT в 3 квартале 2024 г.

Среднее количество срабатываний

IT в 4 квартале 2024 г.

Среднее количество срабатываний

Самарская область

516,78

Пензенская область

375,38

Пензенская область

486,088

Самарская область

203,66

Саратовская область

252,8

Республика Татарстан

196,43

Омская область

168,95

Свердловская область

149,3

Калининградская область

164

Саратовская область

130,22

Вологодская область

163,53

Вологодская область

121,53

Кировская область

104,65

Республика Мордовия

95,9

Республика Мордовия

67,34

Калининградская область

90,52

Красноярский край

61,84

Тюменская область

46,03

Нижегородская область

27,9

Ульяновская область

19,51

Остальные

17,69

Остальные

8,17

Государственный сектор

Государственный сектор в 3 квартале 2024 г.

Среднее количество срабатываний

Государственный сектор в 4 квартале 2024 г.

Среднее количество срабатываний

Республика Саха (Якутия)

1531,1

Сахалинская область

205,14

Удмуртская Республика

332,8

Удмуртская Республика

167,53

Свердловская область

121,98

Кировская область

100,85

Архангельская область

109,84

Архангельская область

66,92

Ульяновская область

84,83

Республика Саха (Якутия)

58,47

Кировская область

65,65

Ульяновская область

54,54

Нижегородская область

59,44

Республика Мордовия

36,8

Самарская область

57,9

Новосибирская область

31,93

Красноярский край

53,6

Самарская область

30,47

Остальные

38,92

Ростовская область

27,83

Новосибирская область

33,05

Остальные

19,84

ТЭК

ТЭК в 3 квартале 2024 г.

Среднее количество срабатываний

ТЭК в 4 квартале 2024 г.

Среднее количество срабатываний

Карачаево-Черкесская Республика

1743,85

Карачаево-Черкесская Республика

4059,4

Мурманская область

805,63

Тамбовская область

2448,66

Республика Карелия

796,75

Ямало-Ненецкий автономный округ

346,34

Ханты-Мансийский автономный округ

336,6

Республика Карелия

323,18

Пензенская область

245,63

Удмуртская Республика

240,22

Краснодарский край

208,92

Пензенская область

157,35

Самарская область

168,63

Ханты-Мансийский автономный округ

70,48

Удмуртская Республика

140,62

Краснодарский край

54

Нижегородская область

111,52

Приморский край

49,22

Кемеровская область - Кузбасс

100,42

Самарская область

46,19

Остальные

49,88

Остальные

14,07

Образование

Образование в 3 квартале 2024 г.

Среднее количество срабатываний

Образование в 4 квартале 2024 г.

Среднее количество срабатываний

Республика Саха (Якутия)

2128,86

город Санкт-Петербург

101,74

Волгоградская область

450,75

Республика Саха (Якутия)

98,81

город Санкт-Петербург

296,73

Удмуртская Республика

35,98

Омская область

124,11

Республика Марий Эл

26,67

Ростовская область

117,2

Архангельская область

23,64

Удмуртская Республика

44,26

Чувашская Республика

23,15

Оренбургская область

34,53

Оренбургская область

23,02

Самарская область

29,94

Новосибирская область

14,71

Нижегородская область

25,99

Остальные

11,27

Краснодарский край

24,28

Ростовская область

11,22

Остальные

22,55

Нижегородская область

6,19

Промышленность

Промышленность в 3 квартале 2024 г.

Среднее количество срабатываний

Промышленность в 4 квартале 2024 г.

Среднее количество срабатываний

Ямало-Ненецкий автономный округ

2066,4

Кировская область

207,87

Кировская область

305,88

Свердловская область

196,06

Город Санкт-Петербург

257

город Санкт-Петербург

106,8

Чувашская Республика

217,81

Саратовская область

77,77

Саратовская область

174,61

Челябинская область

66,23

Челябинская область

144,69

Нижегородская область

58,3

Самарская область

108,18

Чувашская Республика

54,9

Нижегородская область

100,04

Самарская область

42,9

Ростовская область

88,33

Ростовская область

28,18

Удмуртская Республика

60,86

Удмуртская Республика

25,95

Остальные

53,46

Остальные

17,16

Здравоохранение

Здравоохранение в 3 квартале 2024 г.

Среднее количество срабатываний

Здравоохранение в 4 квартале 2024 г.

Среднее количество срабатываний

Республика Бурятия

20574

Удмуртская Республика

2822,4

Удмуртская Республика

4442,6

Республика Мордовия

346,42

Саратовская область

1797,59

Калининградская область

309,15

Республика Мордовия

308,02

Ульяновская область

66,27

Калининградская область

199,42

Республика Саха (Якутия)

59,21

Чувашская Республика

159

Нижегородская область

38,25

Омская область

68,47

Пензенская область

33,78

Нижегородская область

66,32

Краснодарский край

31,74

Краснодарский край

43,3

Чувашская Республика

31,61

Самарская область

38,63

Саратовская область

24,78

Остальные

29,49

Остальные

20,15

Финансы

Финансы в 3 квартале 2024 г.

Среднее количество срабатываний

Финансы в 4 квартале 2024 г.

Среднее количество срабатываний

Город Санкт-Петербург

766,94

Город Санкт-Петербург

200,26

Ульяновская область

366,079

Свердловская область

130,78

Челябинская область

356,11

Ульяновская область

89,93

Удмуртская Республика

340,02

Удмуртская Республика

72,58

Республика Мордовия

244,28

Камчатский край

45,68

Краснодарский край

78,69

Новосибирская область

40,6

Нижегородская область

71,3

Кировская область

33,17

Кемеровская область - Кузбасс

69,09

Нижегородская область

32,7

Оренбургская область

64,65

Приморский край

26

Кировская область

56,51

Оренбургская область

14,82

Остальные

30,73

Остальные

11,49

Телеком

Телеком в 3 квартале 2024 г.

Среднее количество срабатываний

Телеком в 4 квартале 2024 г.

Среднее количество срабатываний2

Магаданская область

2823

Архангельская область

1487,39

Архангельская область

1695,77

Пензенская область

183,55

Красноярский край

238,81

Республика Мордовия

132,26

Пензенская область

147,57

Курганская область

72,16

Республика Мордовия

131,82

Омская область

68,94

Омская область

97,22

Республика Татарстан

62,6

Ульяновская область

55,3

Ульяновская область

27,76

Ханты-Мансийский автономный округ - Югра

47,06

Чувашская Республика

20,53

Приморский край

22,82

город Санкт-Петербург

19,09

Остальное

18,49

Оренбургская область

6,89

Амурская область

15,47

Остальные

4,21

Заключение и рекомендации

Угрозы, зафиксированные на ловушках, позволяют сделать выводы о том, на что следует обращать внимание сотрудникам ИБ-команд при обеспечении безопасности вверенных им инфраструктур. Рост количества атак типа Bruteforce может свидетельствовать о том, что злоумышленники активно работают над получением доступов во всевозможные инфраструктуры, а значит специалистам стоит уделять больше внимания подготовке своих сервисов к защите от атак грубой силы.

Среди попыток эксплуатации уязвимостей лидируют UPnP и Fortinet, что тоже указывает, на какое именно ПО нужно обращать пристальное внимание, когда речь заходит о патч-менеджменте и других мерах по предотвращению эксплуатации уязвимостей.

Картина заражений в регионах и индустриях, полученная с помощью PDNS также позволяет сделать несколько выводов. Средства удаленного доступа, APT-группировки, ботнеты и стилеры – остаются главной проблемой российских организаций.

Индустриям и регионам, в которых особенно высок показатель среднего количества срабатываний на организацию, стоит внимательнее относиться к обеспечению защиты своих инфраструктур. Высокий средний показатель указывает на признаки устойчивого заражения вредоносным ПО, а значит, и на необходимость оперативного принятия защитных мер.

Для надежной защиты инфраструктуры организации от кибератак, эксперты Solar 4RAYS рекомендуют следующие меры:

  • Регулярно сканировать свой внешний периметр на предмет изменения опубликованных сервисов и наличия в них уязвимостей;
  • Публиковать в интернет только действительно необходимые сервисы и осуществлять за ними повышенный контроль. Все интерфейсы управления инфраструктурой и ИБ не должны быть доступны из публичной сети;
  • Использовать продвинутые средства защиты (EDR, SIEM) наряду с классическим защитным ПО, чтобы иметь возможность отслеживать события в инфраструктуре и вовремя обнаруживать нежелательные;
  • Оперативно обновлять все используемое в инфраструктуре ПО;

  • Строго контролировать удаленный доступ в инфраструктуру, особенно для подрядчиков;
  • Предельно ответственно относиться к соблюдению парольных политик, пользоваться сервисами мониторинга утечек учетных записей и вовремя их обновлять; Обеспечить защиту от автоматизированных атак методом подбора;
  • Создавать инфраструктуру бэкапов, следуя принципу “3-2-1”, который предполагает наличие не менее трех копий данных, хранение копии как минимум на двух физических носителях разного типа, и наличие минимум одной копии за пределами основной инфраструктуры;
  • В случае подозрения на атаку, не медлить с оценкой компрометации, а лучше - делать её на регулярной основе;
  • Заниматься повышением киберграмотности сотрудников - ведь успешная атака на основе социальной инженерии возможна даже в самой защищенной инфраструктуре;
  • Следить за тем, чтобы служба ИБ имела постоянный доступ к последним сведениям о ландшафте киберугроз конкретного региона и индикаторам компрометации;