Среди продвинутых группировок наиболее активны хакеры из Азии – ГК «Солар» представила тренды киберугроз

Топ-10 самых атакуемых отраслей в 2023 году, всплеск кибератак со стороны азиатских хакеров и рост числа инцидентов с разрушительными последствиями для организаций РФ – эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» рассказали на SOC-Forum 2023 о главных трендах в ИБ и поделились прогнозами на следующий год. Также была запущена экспертная площадка для ИБ-специалистов, на которой будет публиковаться актуальная аналитика по крупнейшей в РФ базе знаний о киберугрозах, практические советы по защите и реагированию и другой полезный для отрасли контент.

APT-группировки: кибершпионы из азиатского региона

Наиболее серьезную киберугрозу для российских организаций представляют профессиональные APT-группировки (Advanced persistent threat, постоянная угроза повышенной сложности). Согласно аналитике центра исследования киберугроз Solar 4RAYS, в 2022-2023 гг. доля APT-атак составила 20% от всех расследуемых инцидентов. Опасность их заключается в том, что определить точки проникновения хакеров в инфраструктуру компании без специализированной экспертизы практически невозможно: злоумышленники либо слишком хорошо заметают следы, либо находятся в инфраструктуре уже настолько долго, что найти их не представляется возможным. Главная цель группировок данного типа – кибершпионаж и кража данных, а основными их жертвами являются телеком-отрасль и госсектор.

По данным телеметрии с крупнейшей в РФ сети сенсоров и ханипотов «Ростелекома», среди продвинутых группировок наиболее активными на территории РФ оказались хакеры из азиатского региона. В первую очередь это китайские группировки. Так, в сентябре 2023 года они запустили очередную кампанию с целью кибершпионажа – ежедневно вредоносным ПО заражалось от 20 до 40 систем российских организаций – и только спустя месяц злоумышленники были замечены вендорами средств защиты, после чего наметился спад их активности.

Также весьма активно действует на территории РФ северокорейская группировка Lazarus. За последние 2 года эксперты Solar 4RAYS расследовали несколько связанных с ней инцидентов. Среди жертв были, в частности, государственные органы власти. При этом анализ данных сенсоров показал, что на начало ноября хакеры Lazarus все еще имеют доступы к ряду российских систем.

Выявить за шквалом атак непосредственно украинские группировки довольно непросто, так как в их интересах действует огромное число политически мотивированных злоумышленников из разных регионов, отмечают эксперты. Тем не менее, в ряде случаев по косвенным признакам удавалось идентифицировать именно украинских хакеров. Например, они проводили вредоносные рассылки, используя дописанный ими открытый framework Pupy RAT, а недавно им удалось атаковать одного из телеком-операторов, что привело к разрушению части его инфраструктуры.

«Благодаря телеметрии с сети «Ростелекома», а также с сервисов центра противодействия кибератакам Solar JSOC и платформы Solar MSS мы своевременно не только обнаруживаем уже случившиеся взломы, но и получаем информацию о готовящихся инцидентах и исследуем деятельность хакеров разного уровня, включая APT-группировки, в масштабе страны. Мы прогнозируем, что в 2024 году продвинутые группировки cохранят объемы своих кампаний, а тренд на взлом подрядчиков займет лидирующее место», – сообщил Игорь Залевский, руководитель центра исследования киберугроз Solar 4RAYS ГК «Солар».

Деструктив вместо денег и будущие «лазейки» для хакеров

В ходе SOC-Forum 2023 эксперты ГК «Солар» назвали ТОП-10 наиболее пострадавших от хакеров отраслей за 2022-2023 гг. Большинство кибератак пришлось на государственные организации (44%) и телеком (14%), а также сельское хозяйство (9%) – последнее можно объяснить близостью отрасли к государству. Также в рейтинг попали промышленность (7%), финансовый сектор (7%), и с равными долями в 4% ритейл, сфера услуг, образование, НКО и энергетика.

Большая часть расследуемых инцидентов связана с кибермошенниками (42,5%) – они обычно зарабатывают на взломах за счет шифрования, кражи и перепродажи данных. Второе место занимают киберхулиганы (30%), которые пытаются привлечь внимание через минимальное воздействие на ИТ-инфраструктуру, например – DDoS-атаки и дефейс сайтов. На третьем месте – профессиональные APT-группировки (20%).

В 2022 году в связи с политической обстановкой киберхулиганы активизировались, но в 2023 году число инцидентов, которые потребовали привлечения экспертов по расследованию, снизилось в 3 раза. Дело в том, что многочисленные массовые атаки научили компании и ИБ-отрасль лучше на них реагировать, а сами злоумышленники переключились на более серьезные цели.

При этом число атак, организованных кибермошенниками, продолжает расти и в текущем году в сравнении с 2022 годом увеличилось на 30%. С наступлением 2023 года хакеров этого типа почти перестала интересовать монетизация, и вместо продажи данных в даркнете они начали публиковать их бесплатно или безвозвратно шифровать с целью нанесения большего ущерба пострадавшей стороне.

«Цели вчерашних хактивистов сменились: вместо DDoS и дефейса мошенники пытаются взламывать и совершать деструктивные действия в отношении инфраструктуры организаций, в том числе объектов критической информационной инфраструктуры (КИИ). Мы считаем, что в 2024 году увеличится количество инцидентов с деструктивными последствиями, а с ростом импортозамещения хакеры начнут использовать российское ПО для проникновения через уязвимости софта», – прокомментировал Владислав Лашкин, руководитель отдела противодействия киберугрозам центра исследования Solar 4RAYS, ГК «Солар».

Блог в помощь киберэкспертам

За годы работы в компании сформировалась крупнейшая база знаний о киберугрозах и обширная экспертиза по расследованию продвинутых атак федерального уровня. Все это стало основой для создания экспертной площадки(блога), которая была представлена в рамках SOC-Forum. В блоге специалисты Solar 4RAYS будут делиться с ИБ-сообществом аналитикой об актуальных киберугрозах, результатами расследований инцидентов, полезными инструментами для реагирования на кибератаки и другими практическими материалами.

«Ранее мы использовали полученные данные об инцидентах для обогащения контента сервисов мониторинга и реагирования на киберугрозы Solar JSOC, а также экосистемы управляемых сервисов кибербезопасности Solar MSS, и немного информации публиковали на специализированных ресурсах. Однако сегодня очевидно, что эти данные могут быть полезны большому числу российских компаний для организации своей киберзащиты, поэтому мы запустили блог, где будем делиться с ИБ-сообществом полезным контентом, включая разбор кейсов, советы по защите и реагированию и аналитику атак по данным крупнейшей в РФ базы знаний о киберугрозах», – пояснил Игорь Залевский.