Злоумышленники часто работают по заказу иностранных государственных структур.
В первой половине 2024 года большая часть (60%) успешных целевых кибератак на российские организации была совершена профессиональными хакерами, в частности кибернаемниками и проправительственными группировками. Для первичного доступа к инфраструктуре злоумышленники чаще всего использовали скомпрометированные аккаунты сотрудников и уязвимости в корпоративных веб-приложениях. В 2023 году за большинство атак отвечали киберхулиганы и хактивисты, а число инцидентов, связанных с украденными аккаунтами, было в четыре раза меньше. Такие данные следуют из отчета центра исследования киберугроз Solar 4RAYS ГК «Солар».
Исследование основывается на данных расследований, проведенных компанией в период с января по июнь 2024 года. В нем отражены данные о сферах деятельности атакованных организаций, целях киберпреступников, а также используемых ими техниках и тактиках. В отчете также описаны основные характеристики обнаруженных экспертами кибергруппировок. За этот период было исследовано более 30 инцидентов, связанных с несанкционированным доступом к ИТ-инфраструктуре различных компаний.
Наблюдается рост уровня квалификации хакеров, атакующих российскую инфраструктуру. В то же время активность проправительственных группировок остается на уровне прошлого года, а на первый план выходят кибернаемники — профессионалы, работающие по заказу третьих лиц. В первой половине 2023 года кибернаемники были ответственны только за 10% расследованных атак, в то время как в 2024 году их доля выросла до 44%. Часто заказчиками таких атак выступают иностранные госструктуры. В отчетном периоде команда Solar ГК «Солар» сталкивалась с хакерами из Восточной Европы и Азиатско-Тихоокеанского региона. Наиболее активными группировками остаются Lifting Zmiy и Shedding Zmiy.
Основной целью большинства атак является кибершпионаж. После получения нужной информации некоторые киберпреступники целенаправленно уничтожают инфраструктуру компании, обычно с помощью шифрования данных без требования выкупа. Такое поведение чаще всего наблюдается у группировок из Восточной Европы. В большинстве случаев злоумышленники находились в сети жертвы не дольше недели, однако зафиксированы и случаи, когда хакеры оставались в инфраструктуре более двух лет.
Инструментарий хакеров также изменился за прошедший год. В 2024 году в 43% случаев для первоначального проникновения использовались скомпрометированные аккаунты, тогда как в 2023 году таких атак было лишь 15%. Вероятно, росту числа подобных инцидентов способствовали массовые утечки данных, ставшие более частыми за последний период.
В эксплуатации уязвимостей веб-приложений зафиксирован значительный уровень активности: 43% инцидентов в 2024 году и 54% — в 2023 году. Веб-приложения остаются одним из наиболее уязвимых элементов ИТ-периметра, что подтверждается результатами тестов на проникновение. По данным за 2023 год, 56% корпоративных веб-приложений, исследованных экспертами ГК «Солар», имели уязвимости высокой или средней критичности, что потенциально могло нанести серьезный ущерб информационным активам компаний. Аналогичные данные наблюдались и в 2022 году.
Как отметили в компании, злоумышленники продолжают усложнять и диверсифицировать свои инструменты. В первом полугодии 2023 года специалисты сталкнулись с 92 различными техниками атак, а в 2024 году их число возросло до 122. Особое внимание уделяется этапам разведки, уклонения от обнаружения и закрепления в сети. В таких условиях важно осознать, что число сложных целевых атак будет только расти, и базовых мер защиты уже недостаточно. Требуется регулярное обновление программного обеспечения, изучение актуальных угроз, обучение сотрудников навыкам кибербезопасности, регулярный аудит инфраструктуры и использование современных средств мониторинга и защиты.
От классики до авангарда — наука во всех жанрах