Android-устройства в России атаковали более 30 млн раз с начала года

За восемь месяцев этого года «Лаборатория Касперского» зафиксировала более 30 млн атак на Android-устройства, что почти в 2,5 раза больше, чем в тот же период 2023 г. Число атакованных пользователей увеличилось в полтора раза по сравнению с прошлым годом. Зловреды пробираются в телефоны россиян через сервисы обхода блокировок и фейковые банковские приложения. Хотя количество атакованных пользователей не было раскрыто, но рост подтвердили и другие участники рынка.

Рост кибератак на Android-устройства

За первые восемь месяцев этого года «Лаборатория Касперского» зафиксировала более 30 млн кибератак на Android-устройства, что почти в 2,5 раза больше, чем в тот же период 2023 г. Об этом в начале октября 2024 г. рассказал руководитель Kaspersky GReAT («Касперский ГРеЙТ») Игорь Кузнецов изданию «Ведомости». Он уточнил, что число атакованных пользователей увеличилось в полтора раза по сравнению с прошлым годом.

Со слов Кузнецова, шифровальщики у всех на слуху, это одна из самых больших головных болей для бизнеса. Однако рост количества ИТ-атак с ними составил 8% год к году. В последние два года атакующие стали более продвинутыми. Те, кто используют шифровальщики, стали применять атаки нулевого дня, чего раньше не было. Обычно такие кибератаки использовались атакующими, так или иначе связанными с государственным шпионажем. Теперь этот арсенал есть у злоумышленников-шифровальщиков. Рост ИТ-атак с эксплойтами год к году составил целых 30%.

Хотя количество пользователей, которые подверглись ИТ-атакам, не было раскрыто, эксперты из других компаний в сфере информационной безопасности (ИБ) подтвердили рост мобильных ИТ-атак.

Более 30 млн кибератак на Android-устройства зафиксировано с начала 2024 г.

Руководитель департамента расследований T.Hunter («Т.Хантер») Игорь Бедеров отметил, что число атак действительно возросло, а Сергей Полунин из «Газинформсервиса» сообщил о росте атак в пять раз. По его мнению, этому способствуют доступность знаний для создания вредоносного программного обеспечения (ПО) и растущая популярность новых мобильных сервисов, под которые мимикрирует такой софт.

Руководитель лаборатории стратегического развития продуктов кибербезопасности аналитического центра кибербезопасности «Газинформсервиса» Дмитрий Овчинников считает, что в выявлении шифровальщиков хорошо помогает искусственный интеллект (ИИ). По мнению Овчинникова, тут большое поле для деятельности в части интеграции ИИ в Security Information and Event Management (SIEM)-системы, в различные модули поведенческой аналитики. Тем самым можно засекать нехарактерную для пользователей деятельность и повышать общую киберустойчивость.

Игорь Кузнецов из Kaspersky GReAT также рассказал, что всего 56% российских пользователей столкнулись с кибератакой. Самые актуальные из них - атаки с использованием шпионских программ. Количество атакованных ими пользователей выросло на 13% год к году. Кибератаки с использованием стилеров (вредоносное программное обеспечение (ВПО), предназначенное для кражи ценных данных с зараженной машины, таких как cookie-файлы, логины и пароли, скрины с рабочего стола, сведений о соединении и устройстве, предназначенных для удаленного подключения к онлайн-сервисам) выросли на 14%. Количество мобильных атак в России выросло более чем в два раза - на 53%. У бизнеса немного другая статистика, ведь количество атакованных пользователей с помощью стилеров выросло на 30% - их намного больше, чем других атак. Количество кибератак с использованием финансового вредоносного программного (ФВП) обеспечения выросло на 26%. Замедлился рост ИТ-атак с применением бэкдора: в 2024 г. их количество выросло лишь на 10%. Один из самых популярных способов взлома - через сервисы удаленного рабочего стола. Kaspersky GReAT зафиксировала за три квартала 2024 г. 85 млн атак. В 2024 г. «Лаборатория Касперского» в среднем ежедневно детектирует 411 тыс. уникальных вредоносных объектов.

По данным МТС RED SOC, компания отразила более 70 тыс. хакерских кибератак, а всего их количество возросло в 1,5 раза по сравнению с аналогичным периодом 2023 г. За первое полугодие этого года MTC RED SOC выявил почти 60 тыс. подозрений на ИТ-инциденты по ИБ - больше, чем за весь прошлый год. Критическая информационная инфраструктура (КИИ) стали главной целью профессиональных хакеров, а чаще всего кибератаки выявляются в ИТ-секторе (15,6 тыс.) и финансовом секторе (13,7 тыс.).

SIEM-системы

Понятие SIEM в наши дни достаточно размыто, можно представить, что это процесс, объединяющий сетевую активность в единый адресный набор данных. Сам термин был придуман Gartner в 2005 г., но с тех пор само понятие и все, что к нему относится, претерпело немало изменений. Первоначально аббревиатура представляла собой комбинацию двух терминов, обозначающих область применения ПО: Security Information Management (SIM) - управление информационной безопасностью и Security Event Management (SEM) - управление событиями безопасности.

По утверждению Gartner, SIEM-система должна собирать, анализировать и представлять информацию из сетевых устройств и устройств безопасности. Также в эту систему должны входить приложения для управления идентификацией и доступом, инструменты управления уязвимостями и базы данных и приложений.

Для наглядности сотрудники Gartner выделили несколько функций, которые обычно поставляются SIEM-системами: возможность отправки предупреждений на основе предопределенных настроек; отчеты и логирование для упрощения аудита; возможность просмотра данных на разных уровнях детализации.

Кратный рост атак на сферы телекоммуникаций и строительства

По данным «Лаборатории Касперского», в первом полугодии 2024 г. в России и Содружестве Независимых Государств (СНГ) количество критичных киберинцидентов выросло на 39% по сравнению с аналогичным периодом 2023 г. С наибольшим числом таких инцидентов столкнулись организации в сферах телекоммуникаций (рост более чем в 10 раз), строительства (рост в два раза) и ИТ (незначительное падение, примерно на 10%). По общему числу всех зафиксированных инцидентов в лидерах телекомы (340 инцидентов), СМИ (250 инцидентов) и здравоохранение (175 инцидентов). Таковы данные статистики инцидентов, выявленных у пользователей Kaspersky Managed Detection and Response - решения по круглосуточному мониторингу, проактивному поиску и реагированию на киберугрозы.

В среднем в первом полугодии 2024 г. эксперты Центра мониторинга кибербезопасности (SOC) «Лаборатории Касперского» ежедневно выявляли более двух инцидентов высокой критичности. Речь идет об атаках с непосредственным участием атакующего (для таких атак процедуры автоматизированного реагирования не столь эффективны), когда требуется подключение ИБ-специалистов команды реагирования.

В России и СНГ наиболее частые причины критичных инцидентов — это атаки вредоносного ПО с большим влиянием без видимых на момент обнаружения следов участия человека (как правило, это кибератаки вирусов-вымогателей). Доля таких атак составила 57% от общего числа инцидентов высокой критичности. 20% инцидентов составили киберучения различного типа, 11% - целевые атаки с непосредственным участием человека.

Для предотвращения целевых кибератак эксперты «Лаборатории Касперского» рекомендуют организациям использовать специализированное управляемое ИТ-решения, которое сочетают функции детектирования и реагирования с функциями threat hunting и позволяет распознавать известные и неизвестные ИТ-угрозы без привлечения внутренних ресурсов компании. При наличии возможности развития внутренних компетенций в операционной безопасности использовать лучшие практики и обращаться к проверенным временем партнерам для реализации проектов построения SOC, а также регулярной оценки его зрелости. Для получения уверенности, что инфраструктура бизнеса не скомпрометирована, регулярно проводить оценку в рамках услуги «Сompromise assessment». В случае если же инцидент уже случился, крайне важно оперативно организовать реагирование на него.