07/11/24
Специалисты отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT ESC IR) представили на SOC-форуме статистику по итогам проектов по расследованию киберинцидентов и ретроспективному анализу по итогам года. Чаще всего за последний квартал 2023 года и прошедшие три квартала 2024 года к PT ESC IR обращались промышленные предприятия, госучреждения и IT-компании. Основными причинами успешности кибератак стали устаревшее ПО, используемое в организациях, а также отсутствие двухфакторной аутентификации и недостаточная сегментация корпоративной сети.
В 39% компаний эксперты выявили следы присутствия 17 известных APT-группировок, идентифицируемых на основании используемых инструментов и ВПО, сетевой инфраструктуры, а также хакерских тактик и техник. Как правило, APT-группировки используют уникальное ВПО для удаленного доступа в инфраструктуру, сбора и кражи данных. Большая часть выявленных группировок имеет высокую квалификацию и способна быстро достигать поставленных целей.
Среди всех группировок, обнаруженных за период исследования, команда PT ESC выделила три: Hellhounds — как одну из самых продвинутых с точки зрения техник, ExCobalt — как самую активную, а XDSpy — как наиболее долгоживущую группу (она атакует компании в России с 2011 года).
«Количество атак через подрядчиков за год увеличилось до 15%; среди этих подрядчиков многие предоставляют услуги десяткам клиентов. Несмотря на то, что доля таких атак пока небольшая, реальный и потенциальный ущерб от взлома доверенных, но незащищенных партнеров приобретает лавинообразный характер, — прокомментировал Денис Гойденко, руководитель отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies. — Если говорить о способах получения первоначального доступа, самым распространенным остается эксплуатация уязвимостей в веб-приложениях. За последний год на первое место вышли сайты под управлением CMS „1C-Битрикс“ — 33% от всех атак, где в качестве исходного вектора проникновения использовались уязвимые веб-приложения. Доля исходных векторов, связанных с почтовым сервером Microsoft Exchange, снизилась с 50% до 17%».
В 35% компаний были выявлены инциденты, которые относятся к категории Cybercrime. В эту категорию объединены атаки, направленные преимущественно на совершение деструктивных действий (шифрование, уничтожение). В таких атаках, как правило, применяются шифровальщики, легитимное ПО для шифрования информации и вайперы для удаления данных. Эти программы злоумышленники также могут использовать для уничтожения своих следов, чтобы максимально усложнить расследование инцидента.
«По сравнению с 2021–2023 годами доля проектов, в которых инцидент нарушил внутренние бизнес-процессы, выросла с 32% до 50%. Мы предполагаем, что это связано с увеличением интенсивности атак со стороны хактивистов и финансово мотивированных злоумышленников. В 19% проектов были обнаружены следы разведывательной активности и шпионажа, за которыми, как правило, стоят APT-группировки. В 12% случаев злоумышленники пытались выгрузить конфиденциальную информацию, не желая при этом надолго оставаться в инфраструктуре. Как и прежде, злоумышленники чаще всего атаковали узлы под управлением Windows, однако и доля узлов под управлением Linux довольно высока (28%)», — сказала Яна Авезова, старший аналитик исследовательской группы Positive Technologies.
Эксперты отмечают существенный рост востребованности отечественными компаниями работ по расследованию инцидентов. За последние два года их количество увеличилось в три раза. Команда PT ESC IR справляется с таким потоком с помощью автоматизации сбора и анализа информации, используя собственный инструмент — PT Dumper, который хорошо зарекомендовал себя на практике.
В целях предотвращения кибератак специалисты рекомендуют соблюдать актуальные общепринятые практики кибербезопасности и использовать современные средства защиты, такие как решения для мониторинга событий ИБ и выявления инцидентов (MaxPatrol SIEM), системы поведенческого анализа сетевого трафика (PT NAD), межсетевые экраны для глубокой фильтрации трафика (PT NGFW), средства защиты веб-приложений (PT Application Firewall), передовые песочницы для обнаружения сложного и неизвестного ВПО (PT Sandbox), а также системы защиты конечных точек от сложных и целевых атак (MaxPatrol EDR).
