«Солар»: профессиональные киберпреступники сделали ставку на корпоративные аккаунты и веб-приложения

В первой половине 2024 года большинство (60%) успешных целевых кибератак на рос-сийские организации было реализовано профессиональными хакерами: кибернаем-никами и проправительственными группировками. Для первичного проникновения в инфраструктуру они чаще всего использовали скомпрометированные аккаунты со-трудников компаний и уязвимости в корпоративных веб-приложениях. Годом ранее за большинством инцидентов стояли киберхулиганы и хактивисты, а количество атак че-рез украденные аккаунты было ниже в 4 раза. Такие данные следуют из отчета центра исследования киберугроз Solar 4RAYS ГК «Солар».

Отчет построен на данных расследований, проведенных командой Solar 4RAYS с января по июнь 2024 года. Исследование содержит информацию об атакованных отраслях, целях зло-умышленников, их техниках и тактиках. Также в отчете представлены основные характери-стики обнаруженных экспертами кибергрупировок. Всего за отчетный период было разобра-но более 30 инцидентов, связанных с проникновением в ИТ-инфраструктуру различных ком-паний и организаций.

Уровень квалификации злоумышленников, реализующих кибератаки на российскую инфра-структуру, постоянно растет. При этом активность проправительственных группировок пока остается на уровне прошлого года, однако на первый план выходят кибернаемники, то есть профессиональные хакеры, действующие по заказу третьих лиц. В первой половине 2023 года с последними было связано только 10% расследованных атак, а в 2024 их доля возрос-ла уже до 44%. Причем часто их заказчиками выступают и иностранные госструктуры. Ки-берпреступники, с которыми сталкивалась команда Solar 4RAYS в отчетном периоде, пред-ставляют Восточную Европу и Азиатско-Тихоокеанский регион. Самыми активными являют-ся группировки Lifting Zmiy и Shedding Zmiy, о которых эксперты Solar 4RAYS ранее расска-зывали в своем блоге.

Основная цель большинства атак – это кибершпионаж. А собрав необходимую информацию, некоторые киберпреступники целенаправленно уничтожают инфраструктуру компании (как правило, с помощью шифрования данных без требования выкупа). Такое поведение харак-терно для группировок из Восточной Европы. В большинстве случаев злоумышленники находились в инфраструктуре жертвы не больше недели, однако несколько атак были свя-заны с длительным (более двух лет) нахождением внутри сети.

Хакерский инструментарий за год также претерпел ряд изменений. Для первичного проник-новения в инфраструктуру жертвы злоумышленники активно использовали скомпрометиро-ванные аккаунты (43% инцидентов в 2024 году против 15% – в 2023). Возможно, росту доли подобных атак способствовали массовые утечки данных, серьезно участившиеся за про-шедший период.

В топе остается эксплуатация веб-уязвимостей, на которые пришлось 43% инцидентов в 2024 и 54% – в 2024 году. Веб-приложения остаются одним из самых слабых мест ИТ-периметра последние несколько лет – это доказывают и работы по тестированию на проник-новение. По итогам 2023 года, например, 56% корпоративных веб-приложений, исследован-ных экспертами отдела анализа защищенности ГК «Солар», имели уязвимости высокой или средней степени критичности, успешная эксплуатация которых позволяет злоумышленнику нанести существенный ущерб информационным активам компании. Такой же показатель эксперты отмечали и по итогам 2022 года.

«Инструментарий злоумышленников становится сложнее и разнообразнее. В первом полуго-дии 2023 года мы столкнулись с применением 92 различных техник (по классификации MITRE ATT&CK). А в 2024 году показатель равнялся уже 122 техникам. Особенно много тех-ник было зафиксировано на стадиях Discovery (Разведка), Defense Evasion (Уклонение от об-наружения), Persistence (Закрепление). Это еще раз доказывает, что основная цель зло-умышленников – длительное скрытное нахождение в инфраструктуре и шпионаж. В таких условиях организациям надо принять тот факт, что количество сложных целевых кибератак будет только увеличиваться, а, значит, базовых средств защиты информации уже давно не-достаточно. В частности, необходим регулярный патч-менеджмент, изучение ИБ-специалистами актуального кибер-ландшафта, обучение сотрудников навыкам ИБ, регуляр-ный аудит инфраструктуры и ее подключение к ИБ-мониторингу, внедрение решений EDR для защиты рабочих станций и NTA для анализа сетевого трафика. А оперативный Incident Response (реагирование на инциденты) при первых подозрениях на атаку позволит пресечь деятельность хакеров на начальной стадии», – прокомментировал Геннадий Сазонов, ин-женер группы расследования инцидентов Solar 4RAYS ГК «Солар».