От ngrok до Gsocket: инструменты хакеров эволюционируют.
В мире кибербезопасности наблюдаются новые тенденции: резкий рост числа киберинцидентов, наблюдавшийся в 2022 году и начале 2023 года, начал замедляться. Доля высококритичных инцидентов также несколько уменьшилась. Такие выводы содержатся в аналитическом отчете компании BiZone за первое полугодие 2024 года.
Специалисты BI.ZONE зафиксировали увеличение числа киберинцидентов почти на 40% по сравнению с аналогичным периодом прошлого года. При этом интересна динамика киберинцидентов по кварталам. Так, в 2023 году во втором квартале было обнаружено на 10% больше инцидентов, чем в первом. В 2024 году разрыв увеличился и составил уже 36%. Эксперты объясняют это большим количеством выходных дней в начале года и снижением активности по проведению пентестов в праздничные периоды.
Лидерами по количеству киберинцидентов стали промышленность и энергетика (38%), IT-отрасль (27%) и финансовая сфера (15%). Для сравнения, в первом полугодии 2023 года на промышленность приходилось 37% инцидентов, на IT-отрасль - 26%, а на финансовый сектор - 10%. Повышенный интерес злоумышленников к промышленности и ТЭК может быть обусловлен стратегическим значением этих отраслей для экономики. По данным BI.ZONE, шпионаж является основной целью для 35% кибергруппировок, атакующих промышленные предприятия.
В финансовом секторе наблюдается рост активности кибергруппировок. По данным экспертов, в 2023 году на финансовые организации совершали атаки 16% кластеров, а в первом полугодии 2024 года - уже 25%.
Несмотря на рост абсолютных показателей, доля высококритичных инцидентов снизилась с 0,7% до 0,6%. В первом полугодии 2024 года аналитики BI.ZONE зафиксировали 39 высококритичных киберинцидентов, а годом ранее - 26. Эксперты связывают снижение доли критических инцидентов с более широким применением специализированных решений по защите конечных точек класса endpoint detection and response (EDR). За последние два года их доля на российском рынке увеличилась в 1,5–2 раза.
Наиболее распространенными методами проникновения в IT-инфраструктуру остаются фишинг и эксплуатация уязвимостей во внешних сервисах. Однако более серьезную угрозу представляют атаки через подрядчиков, которые сложнее обнаружить на ранних стадиях. Именно с ними связано большинство серьезных киберинцидентов в 2024 году.
Злоумышленники активно используют легитимные учетные записи, данные которых похищают с помощью программ-стилеров. Среди популярных инструментов для атак выделяются средства для построения сетевых туннелей ngrok и Stunnel, а также утилиты удаленного доступа PhantomRAT и Sliver.
В топ‑5 наиболее популярных инструментов для атак также входит Gsocket — программа удаленного доступа с открытым исходным кодом. Преступники стали активно применять Gsocket в 2023 году, чтобы выполнять в удаленной системе произвольные команды и копировать файлы в обход межсетевых экранов.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале