В 2022 году произошел всплеск атак на российские организации, резко ухудшившаяся геополитическая ситуация повлияла на ландшафт киберугроз всей страны. В прошлом году число таких атак несколько снизилось, но уже за первые три квартала 2024 года количество успешных атак практически сравнялось с показателями за весь 2022 год. Российские организации атакуются десятками кибершпионских, хактивистских и финансово мотивированных группировок.
Кроме того, с 2022 года российские организации столкнулись с ростом числа высококвалифицированных целевых атак. Киберпреступность и атаки на критическую инфраструктуру стали одними из главных факторов в современных геополитических конфликтах. Так, целью группировки Core Werewolf являются российские организации военно-промышленного комплекса, объекты КИИ. Злоумышленники рассылают фишинговые письма с вредоносными вложениями, маскирующимися под различные документы —приказы, резюме, методические указания, даже под официальные документы регуляторов.
💼 В конце 2023 года во время расследования инцидента команда отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT ESC IR) обнаружила письмо с фишингового домена fstec[.]support якобы от имени ФСТЭК. В качестве вложения к письмам прилагался самораспаковывающийся архив с клиентом ПО для удаленного доступа UltraVNC.
Импортозамещение = рост количества уязвимостей
Эксплуатация уязвимостей приложений и сервисов на внешнем периметре сети – один из основных методов кибератак на российские организации: по итогам трех кварталов 2024 года уязвимости были проэксплуатированы практически в каждой четвертой успешной атаке. Самой частой (44%) точкой входа в инфраструктуру были уязвимые веб-приложения на сетевом периметре. Еще в 13% расследований злоумышленники использовали другие доступные извне сервисы, такие как VPN, RDP и SSH.
📈 Масштабы эксплуатации уязвимостей могут вырасти еще больше, поскольку в подавляющем большинстве проведенных нами в 2023 году пентестов компании оказывались уязвимы к технике Exploit Public-Facing Application (Недостатки в общедоступном приложении) для получения первоначального доступа в инфраструктуру жертвы.
Уязвимости в российских приложениях
В 2024 году наши эксперты PT SWARM (PT Security Weakness Advanced Research and Modeling) обнаружили почти в три раза больше уязвимостей в российском ПО, чем в 2023 году. Мы ожидаем, что на фоне продолжающегося импортозамещения и выхода на рынок нового российского ПО количество уязвимостей в отечественных продуктах продолжит расти. При этом каждая пятая найденная уязвимость имеет критический уровень опасности, что может привести к реализации недопустимых событий в организациях всех отраслей.
💼 К 2024 году доля эксплуатации уязвимостей российской CMS-системы «1С-Битрикс» выросла до трети от всех случаев атак на веб-приложения (33%), став основным исходным вектором атак через такие приложения. Для сравнения, в 2021–2023 годах доля эксплуатации уязвимостей этой системы составляла всего 13%. Подобные уязвимости могут позволить злоумышленникам выполнять команды ОС и развить атаку вплоть до получения возможности обращаться к СУБД и просматривать информацию в базе данных.
Опасение вызывает и наличие в организациях shadow IT. Теневые части внутренней сети не получают регулярных обновлений безопасности, а значит, могут долгое время содержать незакрытые уязвимости. Проблему подтверждает и наше исследование сетевого трафика российских компаний за 2023–2024 годы: в топ-10 часто эксплуатируемых уязвимостей входят CVE 2017 года. А по результатам проведенных в 2023 году пентестов, в 70% проектах по внешнему тестированию были найдены критически опасные уязвимости, связанные с использованием устаревшего ПО.
Рост доли атак с использованием шпионского ПО
Использование вредоносного программного обеспечения (ВПО) остается одним из основных методов атак на российские организации: пик его роста пришелся на 2023 год, однако по результатам первых трех кварталов 2024 года мы можем отметить, что данный показатель растет.
В отличие от общемировой тенденции, где основным типом вредоносов в успешных атаках являются шифровальщики, в России в топе шпионское ПО и ВПО для удаленного управления. Именно шпионское ПО злоумышленники чаще всего используют в атаках на российские организации. Доля его использования выросла с 10% в 2022 году до 49% в 2024.
Большей части ВПО, встречающегося в атаках на российские компании в 2024 году, необходимо связываться с командным сервером управления для загрузки новых модулей, управления продолжением атаки, передачи похищенных данных киберпреступнику. Во внешней сети APT-группировки могли использовать различные ресурсы для управления ВПО и связи с ним. Так, активно атаковавшая российские организации в 2023 году группировка Space Pirates использует классические C2-серверы. При этом обнаруженная специалистами PT ESC группировка Lazy Coala, атаковавшая в начале 2024 года государственные учреждения в странах СНГ, использовала ВПО с эксфильтрацией данных через телеграм-ботов. Вредоносное ПО группировки APT 31, нацеленное на российские государственные организации и IT-компании в конце июля 2024 года, получало инструкции через облачное хранилище Dropbox.
Практически в каждой третьей атаке на российские организации за три квартала 2024 года злоумышленники использовали трояны для удаленного управления (Remote Access Trojan, RAT). RAT предоставляет злоумышленникам возможность поддерживать постоянный доступ к скомпрометированным устройствам: вести длительную разведку, собирать данные и держать под контролем действия пользователей.
💼 Недавно наши эксперты зафиксировали фишинговые рассылки в виде счет-фактуры, которые были нацелены на промышленные предприятия, банки, сферу здравоохранения и разработчиков программного обеспечения в России и которые в итоге приводили к заражению вредоносом XWorm.
Последствия атак на российские организации
Утечкой конфиденциальной информации закончилась практически половина успешных атак на российские организации за первые три квартала 2024 года. В сентябре мы писали, что по данным за первое полугодие 2024 года в рейтинге отдельных стран по количеству объявлений на теневых форумах пятерку лидеров возглавляет Россия с долей в 10%, за ней в порядке убывания следуют США, Индия, Китай и Индонезия.
Несанкционированное раскрытие очень важных для организации, ее клиентов и контрагентов сведений может являться одним из недопустимых событий (НС) и, как правило, ведет к реализации других НС, таких как финансовые потери, прерывание бизнес-процессов или работоспособности отдельных систем, последующие атаки на контрагентов и частных лиц.
Даже одна утечка может включать миллионы жертв.
💼 В октябре 2024 года в открытом доступе оказалась база клиентов «Бургер Кинга», насчитывающая более пяти с половиной миллионов записей.
Большинство утечек данных из российских организаций произошло вследствие использования вредоносного программного обеспечения, о котором мы говорили ранее.
С 2022 года с нарушением основной деятельности российские организации стабильно сталкиваются практически в каждой третьей успешной атаке.
💼 Из-за кибератаки на Национальную систему платежных карт несколько часов наблюдались сбои в оплате по СБП. А в мае 2024 года вымогатели вызвали сбой в работе СДЭК: не работали приложение и сайт, а также невозможно было принять и выдать отправления.
Ввиду сложной политической обстановки атаки на государственные, промышленные, транспортные организации могут иметь более разрушительные последствия, которые могут сказаться среди прочего на критически важных государственных услугах.
Эти данные подтверждаются и результатами расследований: по сравнению с 2021–2023 годами выросла доля проектов, в которых инцидент привел к нарушению внутренних бизнес-процессов. Если в прошлом отчетном периоде их доля составляла 32%, то на сегодняшний день она выросла до 50%. Предположительно, это связано с увеличением интенсивности атак со стороны хактивистов и финансово мотивированных злоумышленников, которые, как правило, требуют выкуп за восстановление инфраструктуры.
Выводы
Большинство компаний в России укрепляют IT-инфраструктуру выборочно: к примеру, результаты нашего исследования показали, что 80% российских организаций не занимаются ее полноценным укреплением. При этом, как мы видим, российские организации остаются популярной мишенью для киберпреступников. Для повышения устойчивости бизнеса к кибератакам необходимо придерживаться методологии результативной кибербезопасности и выстроить грамотную работу по защите бизнеса. Для обеспечения киберзащиты компаниям необходимо начать с анализа основных рисков и формирования списка недопустимых событий, которые могут нанести существенный ущерб компании, сценариев их реализации и перечня целевых систем. Если говорить про кибертрансформацию, то в первую очередь необходимо начать с защиты периметра. Сделать это можно с помощью продуктов класса next-generation firewall (NGFW). Без качественного NGFW, который способен обеспечивать отказоустойчивость, невозможно выстроить непрерывность и надежность бизнеса.
Ирина Зиновкина
Руководитель направления аналитических исследований Positive Technologies
ссылка на оригинал статьи https://habr.com/ru/articles/861278/
Добавить комментарий