«РТК-Солар»: хакеры-профессионалы ищут новые бреши в ИТ-периметрах компаний, а хактивисты повышают квалификацию

Волна массовых атак идет на спад, а хакеры-любители повышают квалификацию и объединяются в группы под началом более опытных злоумышленников. К такому выводу пришли эксперты центра противодействия кибератакам Solar JSOC компании «РТК-Солар». В целом за 2022 год количество кибератак на российские компании выросло в 2 раза. В фокус внимания экспертов попало 280 организаций из разных отраслей, включая госсектор, финансы, энергетику, телеком, медиа, крупный ритейл. Данная статистика не включает массовые DDoS-атаки.

Согласно отчету «РТК-Солар», с конца 2022 года доля атак с применением вирусов сокращается, зато в топ вернулись попытки «простукивания» периметра: сетевые атаки и эксплуатация уязвимостей. Самым популярным инструментом злоумышленников в 4 квартале осталось вредоносное ПО (ВПО), однако его доля в сравнении с предыдущим кварталом значительно сократилась – с 79% до 55%. Пик вредоносных рассылок пришёлся на 3 квартал, так как хакеры начали активно использовать утекшие ранее данные сотрудников и социальную инженерию. Но к тому моменту многие компании уже усилили свою ИБ-защиту и провели обучение сотрудников, что сделало подобные атаки менее эффективными, и их доля стала быстро сокращаться.

В строй вернулись попытки эксплуатации уязвимостей (их доля возросла с 4% в 3 квартале до 8% в 4-м). Но в то же время критичность подобных инцидентов сократилась на 80%. Это говорит о том, что многим компаниям удалось решить проблемы, связанные с уходом зарубежных вендоров ПО, установить обновления или найти альтернативные российские решения. Многие стали вести регулярную работу с периметром для выявления и закрытия уязвимостей. Это усложнило реализацию кибератак и снизило критичность подобных инцидентов.

Также с 2% до 10% за квартал выросла доля случаев компрометации учетных записей. В большинстве случаев это был результат брутфорса (подбор пароля) публичных сервисов (почта, веб-порталы) с использованием массовых утечек учетных данных в первой половине года. Компрометация учеток говорит о том, что в ряде случаев злоумышленники успешно проникали в инфраструктуру, но благодаря мониторингу SOC атаки удалось выявить на ранних этапах.

К концу года увеличилось и число сетевых атак (с 1% в 3 квартале до 6% в 4-м). Зачастую сканирование периметра или веба и попытки компрометации учетных записей выполняются автоматизированными инструментами, которые хакеры используют для разведки в отношении клиента. Несмотря на низкий уровень критичности таких инцидентов, это опасный звонок для компаний, который указывает на то, что они привлекательны для злоумышленников. А значит, им необходимо продолжать тренд на усиление своей киберзащиты.

«Если говорить про 2022 год в целом, то он начался массовыми «ковровыми бомбардировками» в киберпространстве – с подобным российские компании раньше не сталкивалась (собственно, и никто в мире не сталкивался). Атаки были хаотичными, направленными абсолютно на любые отрасли и организации. Целью злоумышленников была российская инфраструктура в принципе. Но к середине года массовые атаки отступили, а им на смену пришли более целевые удары. Тренд продолжается: массовые злоумышленники (хактивисты) либо пропадают, либо повышают квалификацию и объединяются под руководством более профессиональных хакеров. Последние координируют реализацию конкретных задач и целенаправленно атакуют российские компании. На этом фоне организации активно повышают свою ИБ-защиту и начинают лучше выстраивать процессы реагирования на инциденты. Об усилении киберзащиты говорит тот факт, что во втором полугодии доля критических инцидентов снизилась на 65%. Однако расслабляться рано: количество подтверждённых инцидентов растет, а значит, наши компании все еще находятся под прицелом киберпреступников», – пояснила Дарья Кошкина, руководитель направления аналитики киберугроз компании «РТК-Солар».