«Солар»: вредоносное ПО в 2024 году стало ключевой угрозой для транспорта, здравоохранения и промышленности

Больше половины атак на пищевую промышленность, транспорт и здравоохранение совершается с помощью вредоносного ПО (ВПО). Для ИТ-компаний серьезной угрозой также являются попытки компрометации учетных записей, а для финансов — сетевые атаки. К таким выводам пришли эксперты ГК «Солар», архитектора комплексной безопасности. В основу аналитики легли данные центра противодействия кибератакам Solar JSOC за 2024 год. Всего сервис мониторинга Solar JSOC, крупнейшего коммерческого SOC в России, покрывает около 300 крупных организаций из разных отраслей, включая госсектор, финансы, нефтегазовую отрасль, энергетику, телекоммуникации, крупный ритейл.

В 2024 году эксперты Solar JSOC зафиксировали более 31 тыс. атак — инцидентов, подтвержденных заказчиком, а большинство из них пришлись на 4 квартал. Это в целом соответствует прошлогодним показателям. Доля инцидентов с высокой степенью критичности за год выросла с 2% до 5%. А наиболее атакуемым сектором в 2024 году, как и ранее, остался госсектор (55% инцидентов). За ним следует финансовая (18% атак) и транспортная (16%) отрасли.

Активнее всего в отчетном периоде злоумышленники использовали ВПО при атаках на транспортную отрасль: с вирусами связано 86% всех выявленных инцидентов. От подобных атак страдают также здравоохранение, где на вирусы приходится 70% инцидентов, и пищевая промышленность (55% инцидентов).

«В части ИБ транспорт, здравоохранение и промышленность не так сильно зарегулированы, как, скажем, финансы. Часто эти сферы ограничиваются базовыми средствами киберзащиты и не всегда имеют налаженный процесс управления уязвимостями. К тому же подобные предприятия обладают распределенной инфраструктурой, в которой обычно есть неучтенные ИТ-активы, не попадающие в поле зрение мониторинга ИБ-служб. На таких неучтенных системах злоумышленники могут развернуть ВПО, которое, например, используется для майнинга криптовалют или для построения ботнетов из взломанных устройств. А организации здравоохранения часто страдают от вирусов-стиллеров, которые нацелены на хищение конфиденциальных данных из систем. Собранную информацию злоумышленники могут использовать для дальнейших атак», — отметила Евгения Хамракулова, руководитель направления по развитию бизнеса центра противодействия кибератакам Solar JSOC ГК «Солар».

Госсектор, сфера финансов и ИТ-отрасль менее подвержены попыткам заражения, но для них ключевыми становятся другие угрозы. В частности, ИТ-компании часто (в 29% случаев) сталкиваются с попытками компрометации учетных записей. Это может быть связано с тем, что через ИТ-подрядчиков злоумышленники пытаются проникнуть в сети крупных заказчиков. Например, такие атаки могут быть успешными в случае, если компания-заказчик не заблокировала учетные данные подрядчика после завершения всех работ, и за этой учеткой никто больше не следит. Также у взломанных хакерами подрядчиков может быть широкий набор прав и доступов к системе заказчика, включая критичные сегменты сети.

В финсекторе уровень защиты от базовых угроз выше, чем в других отраслях. Поэтому инциденты с применением ВПО здесь находятся на третьем месте, в то время как в остальных отраслях это топ‑1 среди угроз. Однако банки интересны злоумышленникам с высокой квалификацией, которые реализуют сложные целевые атаки. Для отрасли наибольшую угрозу в 2024 году представляли сетевые атаки и попытки эксплуатация уязвимостей. Большинство сетевых атак было связано с несанкционированным внутренним сканированием, то есть изучением злоумышленниками внутренней сети жертвы: веб-приложений, систем и устройств. А уязвимости используются хакерами на всех этапах развития атаки: при попытках взлома, при горизонтальном продвижении по сети и повышении привилегий на хосте, при попытках компрометации систем банка внутри инфраструктуры.

Данные мониторинга инцидентов еще раз показывают, что для обеспечения надежной киберзащиты организациям требуется комплексный подход: от ИБ-аудита до современных ИБ-продуктов и экспертных сервисов. Это и полноценный мониторинг инфраструктуры с использованием специальных сенсоров (NTA, EDR и проч.), и регулярное обучение сотрудников киберграмотности, и выстроенный процесс управления уязвимостями, и использование продвинутых СЗИ: Next Generation Firewall (NGFW), Secure Web Gateway (SWG) и других.