В первой половине 2024 года большинство (60%) успешных целевых кибератак на рос-сийские организации было реализовано профессиональными хакерами: кибернаем-никами и проправительственными группировками. Для первичного проникновения в инфраструктуру они чаще всего использовали скомпрометированные аккаунты со-трудников компаний и уязвимости в корпоративных веб-приложениях. Годом ранее за большинством инцидентов стояли киберхулиганы и хактивисты, а количество атак че-рез украденные аккаунты было ниже в 4 раза. Такие данные следуют из отчета центра исследования киберугроз Solar 4RAYS ГК «Солар».

Отчет построен на данных расследований, проведенных командой Solar 4RAYS с января по июнь 2024 года. Исследование содержит информацию об атакованных отраслях, целях зло-умышленников, их техниках и тактиках. Также в отчете представлены основные характери-стики обнаруженных экспертами кибергрупировок. Всего за отчетный период было разобра-но более 30 инцидентов, связанных с проникновением в ИТ-инфраструктуру различных ком-паний и организаций.

Уровень квалификации злоумышленников, реализующих кибератаки на российскую инфра-структуру, постоянно растет. При этом активность проправительственных группировок пока остается на уровне прошлого года, однако на первый план выходят кибернаемники, то есть профессиональные хакеры, действующие по заказу третьих лиц. В первой половине 2023 года с последними было связано только 10% расследованных атак, а в 2024 их доля возрос-ла уже до 44%. Причем часто их заказчиками выступают и иностранные госструктуры. Ки-берпреступники, с которыми сталкивалась команда Solar 4RAYS в отчетном периоде, пред-ставляют Восточную Европу и Азиатско-Тихоокеанский регион. Самыми активными являют-ся группировки Lifting Zmiy и Shedding Zmiy, о которых эксперты Solar 4RAYS ранее расска-зывали в своем блоге.

Основная цель большинства атак – это кибершпионаж. А собрав необходимую информацию, некоторые киберпреступники целенаправленно уничтожают инфраструктуру компании (как правило, с помощью шифрования данных без требования выкупа). Такое поведение харак-терно для группировок из Восточной Европы. В большинстве случаев злоумышленники находились в инфраструктуре жертвы не больше недели, однако несколько атак были свя-заны с длительным (более двух лет) нахождением внутри сети.

Хакерский инструментарий за год также претерпел ряд изменений. Для первичного проник-новения в инфраструктуру жертвы злоумышленники активно использовали скомпрометиро-ванные аккаунты (43% инцидентов в 2024 году против 15% – в 2023). Возможно, росту доли подобных атак способствовали массовые утечки данных, серьезно участившиеся за про-шедший период.

В топе остается эксплуатация веб-уязвимостей, на которые пришлось 43% инцидентов в 2024 и 54% – в 2024 году. Веб-приложения остаются одним из самых слабых мест ИТ-периметра последние несколько лет – это доказывают и работы по тестированию на проник-новение. По итогам 2023 года, например, 56% корпоративных веб-приложений, исследован-ных экспертами отдела анализа защищенности ГК «Солар», имели уязвимости высокой или средней степени критичности, успешная эксплуатация которых позволяет злоумышленнику нанести существенный ущерб информационным активам компании. Такой же показатель эксперты отмечали и по итогам 2022 года.

«Инструментарий злоумышленников становится сложнее и разнообразнее. В первом полуго-дии 2023 года мы столкнулись с применением 92 различных техник (по классификации MITRE ATT&CK). А в 2024 году показатель равнялся уже 122 техникам. Особенно много тех-ник было зафиксировано на стадиях Discovery (Разведка), Defense Evasion (Уклонение от об-наружения), Persistence (Закрепление). Это еще раз доказывает, что основная цель зло-умышленников – длительное скрытное нахождение в инфраструктуре и шпионаж. В таких условиях организациям надо принять тот факт, что количество сложных целевых кибератак будет только увеличиваться, а, значит, базовых средств защиты информации уже давно не-достаточно. В частности, необходим регулярный патч-менеджмент, изучение ИБ-специалистами актуального кибер-ландшафта, обучение сотрудников навыкам ИБ, регуляр-ный аудит инфраструктуры и ее подключение к ИБ-мониторингу, внедрение решений EDR для защиты рабочих станций и NTA для анализа сетевого трафика. А оперативный Incident Response (реагирование на инциденты) при первых подозрениях на атаку позволит пресечь деятельность хакеров на начальной стадии», – прокомментировал Геннадий Сазонов, ин-женер группы расследования инцидентов Solar 4RAYS ГК «Солар».

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Метод «Солара»: готовим аналитиков SOC к реальным вызовам кибербезопасности

Метод «Солара»: готовим аналитиков SOC к реальным вызовам кибербезопасности

Узнать больше
Почта России станет полигоном для отработки лучших практик построения киберустойчивости

Почта России станет полигоном для отработки лучших практик построения киберустойчивости

Узнать больше
Новая линейка ПАК Solar NGFW: защита уровня enterprise для корпораций и МСБ в самых атакуемых отраслях

Новая линейка ПАК Solar NGFW: защита уровня enterprise для корпораций и МСБ в самых атакуемых отраслях

Узнать больше
ГК «Солар»: число уязвимостей в веб-приложениях во II квартале выросло почти на 60%

ГК «Солар»: число уязвимостей в веб-приложениях во II квартале выросло почти на 60%

Узнать больше
Во время ЕГЭ на 30% выросло число вредоносных ресурсов, нацеленных на школьников

Во время ЕГЭ на 30% выросло число вредоносных ресурсов, нацеленных на школьников

Узнать больше
От почты до мессенджеров: комплексная защита данных на базе обновлённой версии Solar Dozor 8.1

От почты до мессенджеров: комплексная защита данных на базе обновлённой версии Solar Dozor 8.1

Узнать больше
Как ИТ-специалисту перейти в кибербезопасность

Как ИТ-специалисту перейти в кибербезопасность

Узнать больше
Solar Dozor интегрируется с «МойОфис Документы Онлайн» для защиты данных

Solar Dozor интегрируется с «МойОфис Документы Онлайн» для защиты данных

Узнать больше
Идти навстречу бизнесу: «Солар» запустил промоакцию на облачный SOC для компаний с разными бюджетами

Идти навстречу бизнесу: «Солар» запустил промоакцию на облачный SOC для компаний с разными бюджетами

Узнать больше
Личное под контролем: «Ростелеком» и «Солар» обновили сервис мониторинга утечек персональных данных

Личное под контролем: «Ростелеком» и «Солар» обновили сервис мониторинга утечек персональных данных

Узнать больше