Bi.Zone представила Threat Zone — годовое исследование российского киберландшафта

Финансовая мотивация остается для злоумышленников основной, волна хактивизма идет на спад, а атак на крупные...

Финансовая мотивация остается для злоумышленников основной, волна хактивизма идет на спад, а атак на крупные организации через ИT-подрядчиков все больше. Чаще всего жертвами становились компании из сферы ритейла (15% от всех атак). На втором месте промышленность и энергетика, а также финансы и страхование: на них пришлось по 12%. На третьем — транспортная отрасль (10%). Об этом CNews сообщили представители Bi.Zone

Новое исследование Threat Zone 2024 — результат аналитической обработки данных, собранных экспертами Bi.Zone из команд реагирования на инциденты, центра мониторинга и киберразведки.

15% атак пришлось на сферу ритейла, по 12% — на промышленные и топливно-энергетические компании, а также финансовые и страховые организации. 10% было нацелено на транспортную отрасль.

9% атак пришлось на государственный сектор. В 8% случаев жертвами становились ИT-компании. На долю инженерии, связи, образования и науки выпало 5% выявленных атак, а на строительную отрасль — всего 4%.

Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, Bi.Zone: «В 2023 году мы отслеживали более 50 группировок, атаковавших российские компании. Наши специалисты обработали свыше 580 000 подозрений на инцидент и отреагировали больше чем на 2000 киберинцидентов, из которых свыше 100 оказались высококритичными. Благодаря этому мы сделали выводы о ключевых трендах, которые будут определять изменения российского киберландшафта. В основе отчета Threat Zone 2024 — данные киберразведки, полученные от BI.ZONE Threat Intelligence, а также информация от команд центра мониторинга и реагирования на инциденты».

76% атак обусловлены финансовой мотивацией.

Преступники распространяли программы-вымогатели, требовали выкуп за скомпрометированную конфиденциальную информацию, а также находили способы получить прямой доступ к финансовым активам жертв. Для атак злоумышленники широко применяли легитимные инструменты, коммерческое вредоносное ПО (ВПО), а также инструменты с открытым исходным кодом.

В 2023 г. киберпреступники стали активно использовать специально созданные ресурсы для публикации данных о своих жертвах, если те отказались выплачивать выкуп. Кроме того, злоумышленники с финансовой мотивацией значительно различаются по уровню подготовки: среди них есть как опытные с глубокими техническими знаниями, так и преступники с низким уровнем подготовки, делающие ставку в основном на простое в использовании коммерческое ВПО. Наметившаяся ранее тенденция к снижению порога входа в киберпреступность сохранилась.

15% атак были связаны со шпионажем.

В 2023 г. в этом направлении специалисты Bi.Zone выявили пять ранее неизвестных группировок. Кроме того, в шпионаж перешли несколько кластеров, у которых раньше была финансовая мотивация.

Киберпреступники по-прежнему активно использовали фишинг для получения первоначального доступа, а также эксплуатировали новые уязвимости, в некоторых случаях до публикации официальной информации о них. Наряду с этим появились кластеры, атакующие с помощью более примитивных методов и коммерческого ВПО.

Волна хактивизма спадает.

На долю хактивизма пришлось всего лишь 9% атак. Количество киберпреступлений, совершаемых по идеологическим мотивам, постепенно уменьшается: все больше хактивистов переходят к финансово мотивированным преступлениям либо совмещают оба вида атак.

Трендом 2023 г. также стал переход преступников этой категории от массовых атак к целевым, направленным точечно на организации, наиболее интересные злоумышленникам с точки зрения огласки. Сообщения об атаках преступники активно публиковали в своих телеграм-каналах и там же размещали полученные конфиденциальные данные.

Кроме того, хактивисты реализовывали деструктивные атаки, применяя программы-вымогатели или вайперы для уничтожения данных. Чтобы получить первоначальный доступ, преступники активно использовали легитимные учетные записи, а также компрометацию подрядчиков.

Атаки через подрядчиков с применением легитимных учетных записей повсеместно распространены. Из-за незащищенности самих подрядчиков такие атаки стали трендом 2023 г.

Ранее злоумышленники действовали более прямолинейно и при взломе поставщиков ИT-услуг сразу вымогали деньги у этих компаний. Теперь киберпреступники предпочитают идти дальше и развивать атаку на клиентов подрядчика, поскольку в случае успеха это позволяет увеличить выгоду.

Кроме атак через подрядчиков, злоумышленники чаще всего проникали в ИT-инфраструктуру благодаря фишингу, эксплуатации уязвимостей в публично доступных приложениях, а также использованию доступных из интернета служб удаленного доступа для сотрудников.

Кроме ВПО, киберпреступники активно применяют популярные инструменты для пентеста, а также встроенные программы операционной системы.

Среди ВПО по популярности лидируют коммерческие программы, а также их взломанные варианты. Чаще всего злоумышленники маскируют ВПО под легитимные документы, используя при этом двойное расширение (например .pdf[.]exe), и распространяют такие программы через фишинговые рассылки, малвертайзинг, т. е. вредоносную рекламу, и отравление поисковой выдачи.

Наиболее популярным у злоумышленников в 2023 г. было шпионское ПО Agent Tesla, которое задействовали в 22% атак. Программа позволяет не только похищать данные с устройства жертвы, но и получать к нему удаленный доступ. В ходе одной из атак с помощью Agent Tesla преступникам удалось скомпрометировать 400 российских компаний всего за 24 часа.

В 2023 г. среди злоумышленников резко выросла популярность легитимных инструментов Adminer и Gsocket. Первый часто использовали администраторы для управления базами данных на сайтах. Если раньше некоторые злоумышленники пытались эксплуатировать его уязвимости для получения несанкционированного доступа к этим базам, то теперь сами устанавливают Adminer на компьютер жертвы, чтобы незаметно выгрузить все данные. Gsocket стали активно применять в 2023 г., чтобы выполнять в удаленной системе произвольные команды и копировать файлы в обход межсетевых экранов.

Атакующие активно эксплуатировали уязвимости, однако далеко не все: из 29,065 тыс., найденных в 2023 г., в атаках использовались всего 26. Причина в том, что востребованные уязвимости обнаружены в широко распространенных системах и легко эксплуатируются, ведь для них есть публичные эксплоиты.

В случае успешной атаки киберпреступники в среднем проводят в скомпрометированной инфраструктуре 25 дней до обнаружения.

Однако этот показатель может варьироваться в зависимости от целей атаки. Злоумышленники, использующие программы-вымогатели, предпочитают действовать быстро и обычно проводят в скомпрометированной инфраструктуре около пяти дней. Если же цель преступников — шпионаж, они стремятся оставаться незамеченными как можно дольше: от нескольких месяцев до нескольких лет.

Но, если в организации есть современные средства мониторинга киберугроз, атаку выявляют на начальной стадии и купируют ее за короткое время: от нескольких минут до нескольких часов.

***

Bi.Zone — компания по управлению цифровыми рисками, которая помогает организациям безопасно развивать бизнес в киберпространстве. Bi.Zone разрабатывает собственные продукты для обеспечения устойчивости ИT?инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 г. компания реализовала более 1,2 тыс.  проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 500 клиентов в 15 странах мира.