«РТК-Солар»: На достижение цели киберпреступникам нужно в среднем 7 дней

Скорость развития кибератак драматически растет: от проникновения в инфраструктуру и до достижения целей хакерам в среднем требуется 7 дней, а не несколько месяцев, как это было еще пару лет назад. Такие выводы следуют из отчета, подготовленного центром расследования инцидентов Solar JSOC CERT компании «РТК-Солар».

Этот тренд эксперты связывают с ростом количества атак по политическим мотивам, а также их усложнением. Менее профессиональные хакеры объединяются под началом злоумышленников с высокой квалификацией, а различные инструменты для реализации атак (ВПО, эксплойты и т.п.) все чаще бесплатно распространяются на форумах в даркнете или даже в ТГ-каналах. При этом киберзащита многих организаций все еще остается недостаточно высокой.

Аналитика составлена на основе расследований, проведенных с марта 2022 по март 2023 года. Всего было разобрано 40 успешных атак, связанных с проникновением в ИТ-инфраструктуру крупнейших российских организаций, представляющих госсектор, промышленность, энергетику, ритейл, телеком, СМИ, финансы.

Расследования показали, что киберпреступники преследуют 3 основных цели: шифрование данных для получения выкупа, кибершпионаж и хактивизм. Последний стал основным трендом прошлого года – количество подобных кейсов выросло в 5 раз. Для наибольшего резонанса хактивисты выбирали в качестве жертв известные широкой общественности организации из госсектора, СМИ, финансов, телекома и других отраслей.

Для проникновения в инфраструктуру жертвы в 54% кейсов использовались уязвимости в сервисах, доступных из интернета. Самый распространенный пример – это ProxyLogon (критическая уязвимость 2021 года в Microsoft Exchange Server). Несмотря на широкое распространение этого почтового сервиса, многие компании не спешат исправлять недостаток. В итоге злоумышленники могут не только быстро получить доступ к переписке сотрудников, но и, проникнув в ИТ-инфраструктуру, развить атаку уже в локальной сети. Также в расследованиях Solar JSOC CERT встречались взломы таких популярных сервисов, как Apache, Oracle WebLogic Server, Bitrix. Как правило, эту технику использовали хактивисты и хакеры, шифрующие инфраструктуру.

Профессиональные APT-группировки применяли более разнообразные способы получения первичного доступа. В отчетном периоде впервые атаки через подрядчиков использовались чаще, чем заражение через классический фишинг. На фоне возрастающей угрозы крупные компании усилили киберзащиту, в том числе и от рассылки вредоносов через почту, поэтому профессиональным злоумышленникам пришлось искать точки входа в подрядных организациях. Последние обычно хуже защищены, и через них можно попасть в инфраструктуру основой жертвы.

«За последний год мы увидели немало тревожных трендов. Во-первых, внимание киберпреступников теперь привлекает вся российская ИТ-инфраструктура, а не отдельные ее сегменты, как раньше. Мы видим, как выросла активность прогосударственных APT-группировок. Их интересы уже давно не ограничиваются федеральными и региональными органами власти. Мы встречаем их в инфраструктурах энергетических компаний и даже СМИ. Нельзя забывать про ускорение развития атак и повышение квалификации хакеров. Все чаще профессиональные злоумышленники объединяют под своим началом хактивистов. Последние учатся не просто организовывать DDoS или дефейс, а нацелены уже на продолжительное присутствие в ИТ-инфраструктуре и даже получение доступов через связанные между собой организации. Все это говорит о том, что защита от кибератак становится приоритетом для всех сфер и отраслей», – сказал руководитель центра расследования киберинцидентов Solar JSOC CERT компании "РТК-Солар" Игорь Залевский.