Топ-10 самых атакуемых отраслей в 2023 году, всплеск кибератак со стороны азиатских хакеров и рост числа инцидентов с разрушительными последствиями для организаций РФ – эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» рассказали на SOC-Forum 2023 о главных трендах в ИБ и поделились прогнозами на следующий год. Также была запущена экспертная площадка для ИБ-специалистов, на которой будет публиковаться актуальная аналитика по крупнейшей в РФ базе знаний о киберугрозах, практические советы по защите и реагированию и другой полезный для отрасли контент.

APT-группировки: кибершпионы из азиатского региона

Наиболее серьезную киберугрозу для российских организаций представляют профессиональные APT-группировки (Advanced persistent threat, постоянная угроза повышенной сложности). Согласно аналитике центра исследования киберугроз Solar 4RAYS, в 2022-2023 гг. доля APT-атак составила 20% от всех расследуемых инцидентов. Опасность их заключается в том, что определить точки проникновения хакеров в инфраструктуру компании без специализированной экспертизы практически невозможно: злоумышленники либо слишком хорошо заметают следы, либо находятся в инфраструктуре уже настолько долго, что найти их не представляется возможным. Главная цель группировок данного типа – кибершпионаж и кража данных, а основными их жертвами являются телеком-отрасль и госсектор.

По данным телеметрии с крупнейшей в РФ сети сенсоров и ханипотов «Ростелекома», среди продвинутых группировок наиболее активными на территории РФ оказались хакеры из азиатского региона. В первую очередь это китайские группировки. Так, в сентябре 2023 года они запустили очередную кампанию с целью кибершпионажа – ежедневно вредоносным ПО заражалось от 20 до 40 систем российских организаций – и только спустя месяц злоумышленники были замечены вендорами средств защиты, после чего наметился спад их активности.

pr-1.jpg

Также весьма активно действует на территории РФ северокорейская группировка Lazarus. За последние 2 года эксперты Solar 4RAYS расследовали несколько связанных с ней инцидентов. Среди жертв были, в частности, государственные органы власти. При этом анализ данных сенсоров показал, что на начало ноября хакеры Lazarus все еще имеют доступы к ряду российских систем.

pr-2.jpg

Выявить за шквалом атак непосредственно украинские группировки довольно непросто, так как в их интересах действует огромное число политически мотивированных злоумышленников из разных регионов, отмечают эксперты. Тем не менее, в ряде случаев по косвенным признакам удавалось идентифицировать именно украинских хакеров. Например, они проводили вредоносные рассылки, используя дописанный ими открытый framework Pupy RAT, а недавно им удалось атаковать одного из телеком-операторов, что привело к разрушению части его инфраструктуры.

«Благодаря телеметрии с сети «Ростелекома», а также с сервисов центра противодействия кибератакам Solar JSOC и платформы Solar MSS мы своевременно не только обнаруживаем уже случившиеся взломы, но и получаем информацию о готовящихся инцидентах и исследуем деятельность хакеров разного уровня, включая APT-группировки, в масштабе страны. Мы прогнозируем, что в 2024 году продвинутые группировки cохранят объемы своих кампаний, а тренд на взлом подрядчиков займет лидирующее место», – сообщил Игорь Залевский, руководитель центра исследования киберугроз Solar 4RAYS ГК «Солар».

Деструктив вместо денег и будущие «лазейки» для хакеров

В ходе SOC-Forum 2023 эксперты ГК «Солар» назвали ТОП-10 наиболее пострадавших от хакеров отраслей за 2022-2023 гг. Большинство кибератак пришлось на государственные организации (44%) и телеком (14%), а также сельское хозяйство (9%) – последнее можно объяснить близостью отрасли к государству. Также в рейтинг попали промышленность (7%), финансовый сектор (7%), и с равными долями в 4% ритейл, сфера услуг, образование, НКО и энергетика.

pr-3.jpg

Большая часть расследуемых инцидентов связана с кибермошенниками (42,5%) – они обычно зарабатывают на взломах за счет шифрования, кражи и перепродажи данных. Второе место занимают киберхулиганы (30%), которые пытаются привлечь внимание через минимальное воздействие на ИТ-инфраструктуру, например – DDoS-атаки и дефейс сайтов. На третьем месте – профессиональные APT-группировки (20%).

pr-4.jpg

В 2022 году в связи с политической обстановкой киберхулиганы активизировались, но в 2023 году число инцидентов, которые потребовали привлечения экспертов по расследованию, снизилось в 3 раза. Дело в том, что многочисленные массовые атаки научили компании и ИБ-отрасль лучше на них реагировать, а сами злоумышленники переключились на более серьезные цели.

При этом число атак, организованных кибермошенниками, продолжает расти и в текущем году в сравнении с 2022 годом увеличилось на 30%. С наступлением 2023 года хакеров этого типа почти перестала интересовать монетизация, и вместо продажи данных в даркнете они начали публиковать их бесплатно или безвозвратно шифровать с целью нанесения большего ущерба пострадавшей стороне.

«Цели вчерашних хактивистов сменились: вместо DDoS и дефейса мошенники пытаются взламывать и совершать деструктивные действия в отношении инфраструктуры организаций, в том числе объектов критической информационной инфраструктуры (КИИ). Мы считаем, что в 2024 году увеличится количество инцидентов с деструктивными последствиями, а с ростом импортозамещения хакеры начнут использовать российское ПО для проникновения через уязвимости софта», – прокомментировал Владислав Лашкин, руководитель отдела противодействия киберугрозам центра исследования Solar 4RAYS, ГК «Солар».

Блог в помощь киберэкспертам

За годы работы в компании сформировалась крупнейшая база знаний о киберугрозах и обширная экспертиза по расследованию продвинутых атак федерального уровня. Все это стало основой для создания экспертной площадки(блога), которая была представлена в рамках SOC-Forum. В блоге специалисты Solar 4RAYS будут делиться с ИБ-сообществом аналитикой об актуальных киберугрозах, результатами расследований инцидентов, полезными инструментами для реагирования на кибератаки и другими практическими материалами.



«Ранее мы использовали полученные данные об инцидентах для обогащения контента сервисов мониторинга и реагирования на киберугрозы Solar JSOC, а также экосистемы управляемых сервисов кибербезопасности Solar MSS, и немного информации публиковали на специализированных ресурсах. Однако сегодня очевидно, что эти данные могут быть полезны большому числу российских компаний для организации своей киберзащиты, поэтому мы запустили блог, где будем делиться с ИБ-сообществом полезным контентом, включая разбор кейсов, советы по защите и реагированию и аналитику атак по данным крупнейшей в РФ базы знаний о киберугрозах», – пояснил Игорь Залевский.


ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

«Солар» выходит на рынок EdTech с новым образовательным направлением в кибербезопасности

«Солар» выходит на рынок EdTech с новым образовательным направлением в кибербезопасности

Узнать больше
Доля стартапов на российском рынке информбезопасности выросла в 1,5 раза за два года и достигла 22%

Доля стартапов на российском рынке информбезопасности выросла в 1,5 раза за два года и достигла 22%

Узнать больше
От кадров до инфраструктуры: «Солар» расширяет присутствие на кубинском рынке кибербезопасности

От кадров до инфраструктуры: «Солар» расширяет присутствие на кубинском рынке кибербезопасности

Узнать больше
Белорусская команда победила на IV Международном киберчемпионате по информационной безопасности

Белорусская команда победила на IV Международном киберчемпионате по информационной безопасности

Узнать больше
«Почта России» и лидеры рынка ИБ запускают первый в РФ проект построения киберустойчивости

«Почта России» и лидеры рынка ИБ запускают первый в РФ проект построения киберустойчивости

Узнать больше
Исследование «Солар» и hh.ru: российские компании готовы платить на 36% больше профессионалам в кибербезопасности

Исследование «Солар» и hh.ru: российские компании готовы платить на 36% больше профессионалам в кибербезопасности

Узнать больше
Защита как драйвер роста: как кибербезопасность меняет правила игры в промышленности

Защита как драйвер роста: как кибербезопасность меняет правила игры в промышленности

Узнать больше
Исследование ТеДо и ГК «Солар»: горизонт стратегического планирования информационной безопасности в компаниях сократился до 3 лет

Исследование ТеДо и ГК «Солар»: горизонт стратегического планирования информационной безопасности в компаниях сократился до 3 лет

Узнать больше
«Солар» и НОТА формируют экосистему совместимых решений в сфере защиты данных, сетевой безопасности и безопасной разработки

«Солар» и НОТА формируют экосистему совместимых решений в сфере защиты данных, сетевой безопасности и безопасной разработки

Узнать больше
День защиты детей — время сделать интернет безопасным

День защиты детей — время сделать интернет безопасным

Узнать больше