«Солар»: в 2024 году хакеры в 3 раза чаще использовали скомпрометированные учетные записи

Больше трети (37%) успешных кибератак на российские компании в 2024 году начинались с компрометации учетных данных сотрудников. Это значительно превышает показатели 2023 года, когда на подобные атаки приходилось 19% инцидентов. Очевидно, что киберпреступники успешно эксплуатируют утекшие ранее доступы. К такому выводу пришли эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар», архитектора комплексной кибербезопасности.

Отчет построен на данных расследований, проведенных командой Solar 4RAYS в 2024 году. Исследование содержит информацию об атакованных отраслях, целях злоумышленников, их техниках и тактиках. Также в отчете представлены основные характеристики обнаруженных экспертами кибергрупировок. Всего за отчетный период было разобрано более 60 инцидентов, связанных с проникновением в ИТ-инфраструктуру различных компаний и организаций.

В количественном выражении число подобных кейсов за год увеличилось почти в 3 раза. Такая динамика, скорее всего, связана с тем, что в течение 2023 года случилось большое количество утечек конфиденциальных данных. По информации центра мониторинга внешних цифровых угроз Solar AURA, за 2023 год в открытый доступ попали данные почти 400 российских организаций. Среди этих утечек оказалось немало паролей.

Геннадий Сазонов

Эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар»

«В минувшем году атакующие активно использовали техники Valid Accounts (легитимные скомпрометированные учетные записи), а также External Remote Services (внешние удаленные сервисы), что также подразумевают использование легитимных учётных данных для доступа к инфраструктуре жертв. В атаках, где для первоначального доступа использовались эти техники, мы наблюдали, например, брутфорс учетной записи FTP‑сервера с последующий загрузкой вредоносного ПО. В одном из кейсов атакующие подключались по RDP (удаленный доступ) с использованием привилегированной учётной записи, которую в дальнейшем применяли для сканирования сети и похищения учётных данных. После хакеры зашифровали часть инфраструктуры и требовали выкуп. Похищение конфиденциальных сведений или финансовая выгода — две главные цели применения данных техник».

На фоне роста компрометации аккаунтов другие способы проникновения в инфраструктуру, напротив, сокращаются. Чаще всего для преодоления внешнего ИТ-периметра злоумышленники используют уязвимости веб-приложений. Однако за год доля таких инцидентов сократилась — с 56% до 46%. Часто это уязвимые корпоративные порталы, опубликованные в открытом доступе, веб-приложения, о существовании которых забыли и не контролируют, сервисы, которые работают на необновленном ПО. Также за год снизилась и доля атак, начавшихся с фишинга: с 19% до 11%. Неизменным остался только процент, который приходится на атаки через подрядчиков — 6%.

Цели злоумышленников разнообразны. Чаще всего это кибершпионаж (на него пришлось 58% киберинцидентов). А доля атак с целью хактивизма и хулиганства сократилась с 35% в 2023 году до 10% — в 2024. Категория уступила второе место атакам с финансовой мотивацией (вымогательство с помощью вирусов-шифровальщиков и майнинг криптовалют).

Подавляющее большинство атак в 2024 году было реализовано проукраинскими АРТ-группировками. Самые активные из них: Shedding Zmiy и Lifting Zmiy, с деятельностью которых была связана половина расследованных инцидентов. Как правило, их цели — это шпионаж с последующим уничтожением инфраструктуры жертвы. Часто в качестве инструмента злоумышленники использовали вирусы-шифровальщики, которые безвозвратно удаляли данные жертвы. При этом всё активнее группировки целятся в ресурсы виртуализации, на которых сегодня работают многие организации.

Сохраняют свою активность и азиатские группировки, в частности Obstinate Mogwai, которая стала причиной 15% расследуемых атак в 2024 году. Для киберпреступников из Азиатского региона свойственно долгое скрытное нахождение в инфраструктуре, однако они редко завершают свои атаки деструктивными действиями.

Геннадий Сазонов

Эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар»

«Каждое проникновение — это не просто инцидент, а сигнал для компаний пересмотреть свои подходы к информационной безопасности. В таких условиях организациям надо принять тот факт, что количество сложных целевых кибератак будет только увеличиваться, а значит, базовых средств защиты информации уже давно недостаточно. В частности, необходим регулярный патч-менеджмент, изучение ИБ-специалистами актуального киберландшафта, обучение сотрудников навыкам ИБ, постоянный аудит инфраструктуры и ее подключение к ИБ-мониторингу, внедрение решений EDR для защиты рабочих станций и NTA для анализа сетевого трафика. А оперативный Incident Response (реагирование на инциденты) при первых подозрениях на атаку позволит пресечь деятельность хакеров на начальной стадии».

Центр исследования киберугроз Solar 4RAYS в реальном времени анализирует данные об угрозах, получаемые со всех сервисов и продуктов «Солара», с крупнейшей в России сети сенсоров и ханипотов, а также внешних источников. Полученные знания позволяют постоянно актуализировать защитные меры в собственных ИБ-решениях компании. Эксперты центра провели более 200 расследований киберинцидентов в частных и государственных организациях. Техническими подробностями и индикаторами компрометации (IoC) специалисты регулярно делятся с ИБ-сообществом в своем блоге.