«Солар»: профессиональные киберпреступники сделали ставку на корпоративные аккаунты и веб-приложения
В первой половине 2024 года большинство (60%) успешных целевых кибератак на российские организации было реализовано профессиональными хакерами: кибернаемниками и проправительственными группировками. Для первичного проникновения в инфраструктуру они чаще всего использовали скомпрометированные аккаунты сотрудников компаний и уязвимости в корпоративных веб-приложениях. Годом ранее за большинством инцидентов стояли киберхулиганы и хактивисты, а количество атак через украденные аккаунты было ниже в 4 раза. Такие данные следуют из отчета центра исследования киберугроз Solar 4RAYS ГК «Солар» (дочерняя компания «Ростелекома», работающая в сфере информационной безопасности).
Отчет построен на данных расследований, проведенных командой Solar 4RAYS с января по июнь 2024 года. Исследование содержит информацию об атакованных отраслях, целях злоумышленников, их техниках и тактиках. Также в отчете представлены основные характеристики обнаруженных экспертами кибергрупировок. Всего за отчетный период было разобрано более 30 инцидентов, связанных с проникновением в ИТ-инфраструктуру различных компаний и организаций.
Уровень квалификации злоумышленников, реализующих кибератаки на российскую инфраструктуру, постоянно растет. При этом активность проправительственных группировок пока остается на уровне прошлого года, однако на первый план выходят кибернаемники, то есть профессиональные хакеры, действующие по заказу третьих лиц. В первой половине 2023 года с последними было связано только 10% расследованных атак, а в 2024 их доля возросла уже до 44%. Причем часто их заказчиками выступают и иностранные госструктуры. Киберпреступники, с которыми сталкивалась команда Solar 4RAYS в отчетном периоде, представляют Восточную Европу и Азиатско-Тихоокеанский регион. Самыми активными являются группировки Lifting Zmiy и Shedding Zmiy, о которых эксперты Solar 4RAYS ранее рассказывали в своем блоге.
Основная цель большинства атак – это кибершпионаж. А собрав необходимую информацию, некоторые киберпреступники целенаправленно уничтожают инфраструктуру компании (как правило, с помощью шифрования данных без требования выкупа). Такое поведение характерно для группировок из Восточной Европы. В большинстве случаев злоумышленники находились в инфраструктуре жертвы не больше недели, однако несколько атак были связаны с длительным (более двух лет) нахождением внутри сети.
Хакерский инструментарий за год также претерпел ряд изменений. Для первичного проникновения в инфраструктуру жертвы злоумышленники активно использовали скомпрометированные аккаунты (43% инцидентов в 2024 году против 15% – в 2023). Возможно, росту доли подобных атак способствовали массовые утечки данных, серьезно участившиеся за прошедший период.
В топе остается эксплуатация веб-уязвимостей, на которые пришлось 43% инцидентов в 2024 и 54% – в 2024 году. Веб-приложения остаются одним из самых слабых мест ИТ-периметра последние несколько лет – это доказывают и работы по тестированию на проникновение. По итогам 2023 года, например, 56% корпоративных веб-приложений, исследованных экспертами отдела анализа защищенности ГК «Солар», имели уязвимости высокой или средней степени критичности, успешная эксплуатация которых позволяет злоумышленнику нанести существенный ущерб информационным активам компании. Такой же показатель эксперты отмечали и по итогам 2022 года.
«Инструментарий злоумышленников становится сложнее и разнообразнее. В первом полугодии 2023 года мы столкнулись с применением 92 различных техник (по классификации MITRE ATT&CK). А в 2024 году показатель равнялся уже 122 техникам. Особенно много техник было зафиксировано на стадиях Discovery (Разведка), Defense Evasion (Уклонение от обнаружения), Persistence (Закрепление). Это еще раз доказывает, что основная цель злоумышленников –длительное скрытное нахождение в инфраструктуре и шпионаж. В таких условиях организациям надо принять тот факт, что количество сложных целевых кибератак будет только увеличиваться, а, значит, базовых средств защиты информации уже давно недостаточно. В частности, необходим регулярный патч-менеджмент, изучение ИБ-специалистами актуального кибер-ландшафта, обучение сотрудников навыкам ИБ, регулярный аудит инфраструктуры и ее подключение к ИБ-мониторингу, внедрение решений EDR для защиты рабочих станций и NTA для анализа сетевого трафика. А оперативный Incident Response (реагирование на инциденты) при первых подозрениях на атаку позволит пресечь деятельность хакеров на начальной стадии», –прокомментировал Геннадий Сазонов, инженер группы расследования инцидентов Solar 4RAYS ГК «Солар».