"РТК-Солар": с 3 квартала на смену массовым приходят продвинутые целевые атаки

Больше половины (59%) высококритичных кибератак на российские компании в 3 квартале 2022 года было связано с применением вредоносного ПО. Это следует из отчета, подготовленного на основе анализа инцидентов, выявленных командой центра противодействия кибератакам Solar JSOC "РТК-Солар", всего было проанализировано 265  организаций из разных отраслей экономики. При этом в 1 и 2 кварталах года лидирующую позицию занимали сетевые и веб-атаки, а на долю ВПО приходилось не более 14% инцидентов. Такое изменение указывает на то, что в первой половине года хакеры «прощупывали» инфраструктуры, реализуя массовые атаки, а сейчас сконцентрировались на более сложных и точечных ударах.

В целом количество инцидентов, зафиксированных экспертами «РТК-Солар», остается стабильно высоким – более 214 тыс. Это чуть ниже показателей 2 квартала, но все равно значительно превышает статистику начала года. К тому же по своему содержанию атаки стали более опасными. ВПО доставляется на компьютеры жертвы в основном через фишинговые рассылки, а четверть критичных инцидентов связана с применением вирусов-шифровальщиков.

Еще 27% критичных инцидентов связано с эксплуатацией уязвимостей. Этот тренд наметился еще весной после ухода зарубежных вендоров с российского рынка. В итоге многие компании не смогли вовремя установить патчи для закрытия уязвимостей и обновить сигнатуры на различных СЗИ. А так как переход на отечественное ПО займет далеко не один месяц, хакеры еще долго будут искать уязвимости в ИТ-инфраструктурах своих жертв.

Веб-атаки, доля которых в общем объеме критичных инцидентов во 2 квартале достигла 90%, практически исчезли из арсенала хакеров. В июле-сентябре с вебом было связано менее 1% таких атак.

«Подобное изменение ИБ-ландшафта вполне ожидаемо. В первом квартале взломы сайтов во многом осуществлялись ради мгновенной реакции со стороны общественности, появления резонансных инфоповодов и создания массовой паники. Такой подход в принципе не может существовать долго, поэтому тактики злоумышленников начали перестраиваться уже летом, а сейчас их фокус сменился окончательно. Текущие цели показывают позиционную тактику – проникновение, закрепление и нанесение ущерба», - отметила Дарья Кошкина, руководитель направления аналитики киберугроз компании «РТК-Солар».

Можно предположить, что тенденция, связанная с дальнейшим дифференцированием подходов к проникновению и закреплению в инфраструктуре, будет нарастать, как и использование тактик атак «не в лоб», а, например, через подрядчиков. Успешность таких атак во многом будет зависеть от своевременности принимаемых компаниями мер в части ИБ и скорости импортозамещения.