В первой половине 2024 года большинство (60%) успешных целевых кибератак на рос-сийские организации было реализовано профессиональными хакерами: кибернаем-никами и проправительственными группировками. Для первичного проникновения в инфраструктуру они чаще всего использовали скомпрометированные аккаунты со-трудников компаний и уязвимости в корпоративных веб-приложениях. Годом ранее за большинством инцидентов стояли киберхулиганы и хактивисты, а количество атак че-рез украденные аккаунты было ниже в 4 раза. Такие данные следуют из отчета центра исследования киберугроз Solar 4RAYS ГК «Солар».

Отчет построен на данных расследований, проведенных командой Solar 4RAYS с января по июнь 2024 года. Исследование содержит информацию об атакованных отраслях, целях зло-умышленников, их техниках и тактиках. Также в отчете представлены основные характери-стики обнаруженных экспертами кибергрупировок. Всего за отчетный период было разобра-но более 30 инцидентов, связанных с проникновением в ИТ-инфраструктуру различных ком-паний и организаций.

Уровень квалификации злоумышленников, реализующих кибератаки на российскую инфра-структуру, постоянно растет. При этом активность проправительственных группировок пока остается на уровне прошлого года, однако на первый план выходят кибернаемники, то есть профессиональные хакеры, действующие по заказу третьих лиц. В первой половине 2023 года с последними было связано только 10% расследованных атак, а в 2024 их доля возрос-ла уже до 44%. Причем часто их заказчиками выступают и иностранные госструктуры. Ки-берпреступники, с которыми сталкивалась команда Solar 4RAYS в отчетном периоде, пред-ставляют Восточную Европу и Азиатско-Тихоокеанский регион. Самыми активными являют-ся группировки Lifting Zmiy и Shedding Zmiy, о которых эксперты Solar 4RAYS ранее расска-зывали в своем блоге.

Основная цель большинства атак – это кибершпионаж. А собрав необходимую информацию, некоторые киберпреступники целенаправленно уничтожают инфраструктуру компании (как правило, с помощью шифрования данных без требования выкупа). Такое поведение харак-терно для группировок из Восточной Европы. В большинстве случаев злоумышленники находились в инфраструктуре жертвы не больше недели, однако несколько атак были свя-заны с длительным (более двух лет) нахождением внутри сети.

Хакерский инструментарий за год также претерпел ряд изменений. Для первичного проник-новения в инфраструктуру жертвы злоумышленники активно использовали скомпрометиро-ванные аккаунты (43% инцидентов в 2024 году против 15% – в 2023). Возможно, росту доли подобных атак способствовали массовые утечки данных, серьезно участившиеся за про-шедший период.

В топе остается эксплуатация веб-уязвимостей, на которые пришлось 43% инцидентов в 2024 и 54% – в 2024 году. Веб-приложения остаются одним из самых слабых мест ИТ-периметра последние несколько лет – это доказывают и работы по тестированию на проник-новение. По итогам 2023 года, например, 56% корпоративных веб-приложений, исследован-ных экспертами отдела анализа защищенности ГК «Солар», имели уязвимости высокой или средней степени критичности, успешная эксплуатация которых позволяет злоумышленнику нанести существенный ущерб информационным активам компании. Такой же показатель эксперты отмечали и по итогам 2022 года.

«Инструментарий злоумышленников становится сложнее и разнообразнее. В первом полуго-дии 2023 года мы столкнулись с применением 92 различных техник (по классификации MITRE ATT&CK). А в 2024 году показатель равнялся уже 122 техникам. Особенно много тех-ник было зафиксировано на стадиях Discovery (Разведка), Defense Evasion (Уклонение от об-наружения), Persistence (Закрепление). Это еще раз доказывает, что основная цель зло-умышленников – длительное скрытное нахождение в инфраструктуре и шпионаж. В таких условиях организациям надо принять тот факт, что количество сложных целевых кибератак будет только увеличиваться, а, значит, базовых средств защиты информации уже давно не-достаточно. В частности, необходим регулярный патч-менеджмент, изучение ИБ-специалистами актуального кибер-ландшафта, обучение сотрудников навыкам ИБ, регуляр-ный аудит инфраструктуры и ее подключение к ИБ-мониторингу, внедрение решений EDR для защиты рабочих станций и NTA для анализа сетевого трафика. А оперативный Incident Response (реагирование на инциденты) при первых подозрениях на атаку позволит пресечь деятельность хакеров на начальной стадии», – прокомментировал Геннадий Сазонов, ин-женер группы расследования инцидентов Solar 4RAYS ГК «Солар».

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

PROF-IT GROUP и «Солар» начинают сотрудничество в сфере кибербезопасности для промышленных предприятий

PROF-IT GROUP и «Солар» начинают сотрудничество в сфере кибербезопасности для промышленных предприятий

Узнать больше
Тонкие настройки прав доступа в новом релизе IdM-системы Solar inRights

Тонкие настройки прав доступа в новом релизе IdM-системы Solar inRights

Узнать больше
«Солар» расширяет пул разработчиков OCR-технологий

«Солар» расширяет пул разработчиков OCR-технологий

Узнать больше
Новая версия CyberMir 7.2: более 30 тематических мероприятий по отработке навыков от «красных» до «белых» команд

Новая версия CyberMir 7.2: более 30 тематических мероприятий по отработке навыков от «красных» до «белых» команд

Узнать больше
От атаки до защиты за 5 секунд: «Солар» запускает услугу облачной сигнализации для экстренного реагирования на DDoS-атаки

От атаки до защиты за 5 секунд: «Солар» запускает услугу облачной сигнализации для экстренного реагирования на DDoS-атаки

Узнать больше
MULTIFACTOR и Solar SafeInspect усиливают защиту учетных записей привилегированных пользователей

MULTIFACTOR и Solar SafeInspect усиливают защиту учетных записей привилегированных пользователей

Узнать больше
«Солар» приобрел 90% компании Hexway для выхода в новые сегменты рынка решений для безопасной разработки ПО

«Солар» приобрел 90% компании Hexway для выхода в новые сегменты рынка решений для безопасной разработки ПО

Узнать больше
Это мы не проходили: как стать администратором СЗИ?

Это мы не проходили: как стать администратором СЗИ?

Узнать больше
Безопасное цифровое общество начинается здесь: объявлены даты Российской недели кибербезопасности и SOC Forum

Безопасное цифровое общество начинается здесь: объявлены даты Российской недели кибербезопасности и SOC Forum

Узнать больше