Почти 70% сложных кибератак с начала 2024 года были организованы проукраинскими группировками, следует из данных ГК «Солар», архитектора комплексной кибербезопасности. Аналитика основана на расследованиях, в которых участвовали специалисты центра исследования киберугроз Solar 4RAYS ГК «Солар». Цели злоумышленников максимально деструктивны — собрав необходимые данные, восточно-европейские киберпреступники стремятся максимально разрушить скомпрометированную инфраструктуру. Группировки из других регионов (преимущественно из Азии), напротив, стремятся максимально долго и незаметно находиться в инфраструктуре, собирая необходимую информацию.
Наиболее известными и активными восточно-европейскими проукраинскими группировками стали Shedding Zmiy (37% расследований) и Lifting Zmiy (18%). Shedding Zmiy занимается шпионажем за российскими организациями примерно с 2022 года. По оценке Solar 4RAYS, на счету хакеров несколько десятков кибератак на государственный сектор, промышленность, телеком и другие отрасли. Lifting Zmiy в своих атаках активно использует уязвимости в публичных сервисах. В частности, именно они использовали недостаточно защищенное ПО для управления лифтовым оборудованием для размещения на нем серверов управления вредоносами.
Всего за 10 месяцев 2024 года эксперты Solar 4RAYS столкнулись с деятельностью девяти группировок и кластеров, подробнее о которых эксперты расскажут в рамках SOC Forum 2024. Годом ранее этот список состоял из большего числа группировок, которые занимали более равные доли.
Шпионаж — основная цель
Половина (54%) расследованных Solar 4RAYS в отчетном периоде атак была связана со шпионажем. Годом ранее подобных атак было меньше — 37%. Еще 20% инцидентов с начала 2024 года связаны с финансовыми мотивами (вымогательство и майнинг криптовалют), 11% — с уничтожением данных.
Примечательно также, что в 2023 году причиной 46% кибератак стало хулиганство и хактивизм (то есть либо действия без определенной мотивации, либо политически мотивированные атаки), причем подавляющее большинство здесь — именно хулиганские атаки. В 2024 году эта категория сократилась до 11%.
«Уровень злоумышленников, вовлеченных в атаки на российские инфраструктуры, вырос, и мы предполагаем, что в следующем году станет больше инцидентов, направленных на кражу конфиденциальных корпоративных данных, перехват ключевых сервисов, уничтожение ключевой инфраструктуры, взлом подрядчиков для доступа к целевым сетям. А профессиональные киберпреступники продолжат усложнять свои атаки, уделяя все большее внимание скрытности и техникам обхода защитных решений. Например, после серии публикаций об атаках Shedding Zmiy группировка существенно обновила свой арсенал, отказавшись от применения инструментария, о котором в первой половине года рассказывали Solar 4RAYS и наши коллеги по ИБ-индустрии», — отметил инженер группы расследования инцидентов Solar 4RAYS Геннадий Сазонов.