ГК «Солар»: анализ трендов становится основой развития кибербезопасности
Узнать большеБольше трети (37%) успешных кибератак на российские компании в 2024 году начинались с компрометации учетных данных сотрудников. Это значительно превышает показатели 2023 года, когда на подобные атаки приходилось 19% инцидентов. Очевидно, что киберпреступники успешно эксплуатируют утекшие ранее доступы. К такому выводу пришли эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар», архитектора комплексной кибербезопасности.
Отчет построен на данных расследований, проведенных командой Solar 4RAYS в 2024 году. Исследование содержит информацию об атакованных отраслях, целях злоумышленников, их техниках и тактиках. Также в отчете представлены основные характеристики обнаруженных экспертами кибергрупировок. Всего за отчетный период было разобрано более 60 инцидентов, связанных с проникновением в ИТ-инфраструктуру различных компаний и организаций.
В количественном выражении число подобных кейсов за год увеличилось почти в 3 раза. Такая динамика, скорее всего, связана с тем, что в течение 2023 года случилось большое количество утечек конфиденциальных данных. По информации центра мониторинга внешних цифровых угроз Solar AURA, за 2023 год в открытый доступ попали данные почти 400 российских организаций. Среди этих утечек оказалось немало паролей.
«В минувшем году атакующие активно использовали техники Valid Accounts (легитимные скомпрометированные учетные записи), а также External Remote Services (внешние удаленные сервисы), что также подразумевают использование легитимных учётных данных для доступа к инфраструктуре жертв. В атаках, где для первоначального доступа использовались эти техники, мы наблюдали, например, брутфорс учетной записи FTP‑сервера с последующий загрузкой вредоносного ПО. В одном из кейсов атакующие подключались по RDP (удаленный доступ) с использованием привилегированной учётной записи, которую в дальнейшем применяли для сканирования сети и похищения учётных данных. После хакеры зашифровали часть инфраструктуры и требовали выкуп. Похищение конфиденциальных сведений или финансовая выгода — две главные цели применения данных техник», — рассказал Геннадий Сазонов, эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар».
На фоне роста компрометации аккаунтов другие способы проникновения в инфраструктуру, напротив, сокращаются. Чаще всего для преодоления внешнего ИТ-периметра злоумышленники используют уязвимости веб-приложений. Однако за год доля таких инцидентов сократилась — с 56% до 46%. Часто это уязвимые корпоративные порталы, опубликованные в открытом доступе, веб-приложения, о существовании которых забыли и не контролируют, сервисы, которые работают на необновленном ПО. Также за год снизилась и доля атак, начавшихся с фишинга: с 19% до 11%. Неизменным остался только процент, который приходится на атаки через подрядчиков — 6%.
Цели злоумышленников разнообразны. Чаще всего это кибершпионаж (на него пришлось 58% киберинцидентов). А доля атак с целью хактивизма и хулиганства сократилась с 35% в 2023 году до 10% — в 2024. Категория уступила второе место атакам с финансовой мотивацией (вымогательство с помощью вирусов-шифровальщиков и майнинг криптовалют).
Подавляющее большинство атак в 2024 году было реализовано проукраинскими АРТ-группировками. Самые активные из них: Shedding Zmiy и Lifting Zmiy, с деятельностью которых была связана половина расследованных инцидентов. Как правило, их цели — это шпионаж с последующим уничтожением инфраструктуры жертвы. Часто в качестве инструмента злоумышленники использовали вирусы-шифровальщики, которые безвозвратно удаляли данные жертвы. При этом всё активнее группировки целятся в ресурсы виртуализации, на которых сегодня работают многие организации.
Сохраняют свою активность и азиатские группировки, в частности Obstinate Mogwai, которая стала причиной 15% расследуемых атак в 2024 году. Для киберпреступников из Азиатского региона свойственно долгое скрытное нахождение в инфраструктуре, однако они редко завершают свои атаки деструктивными действиями.
«Каждое проникновение — это не просто инцидент, а сигнал для компаний пересмотреть свои подходы к информационной безопасности. В таких условиях организациям надо принять тот факт, что количество сложных целевых кибератак будет только увеличиваться, а значит, базовых средств защиты информации уже давно недостаточно. В частности, необходим регулярный патч-менеджмент, изучение ИБ-специалистами актуального киберландшафта, обучение сотрудников навыкам ИБ, постоянный аудит инфраструктуры и ее подключение к ИБ-мониторингу, внедрение решений EDR для защиты рабочих станций и NTA для анализа сетевого трафика. А оперативный Incident Response (реагирование на инциденты) при первых подозрениях на атаку позволит пресечь деятельность хакеров на начальной стадии», — заключил Геннадий Сазонов.
Центр исследования киберугроз Solar 4RAYS в реальном времени анализирует данные об угрозах, получаемые со всех сервисов и продуктов «Солара», с крупнейшей в России сети сенсоров и ханипотов, а также внешних источников. Полученные знания позволяют постоянно актуализировать защитные меры в собственных ИБ-решениях компании. Эксперты центра провели более 200 расследований киберинцидентов в частных и государственных организациях. Техническими подробностями и индикаторами компрометации (IoC) специалисты регулярно делятся с ИБ-сообществом в своем блоге.
