Спецпроекты

Безопасность Стратегия безопасности

Результаты расследований Positive Technologies: 40% инцидентов связаны с деятельностью известных APT-группировок

Специалисты экспертного центра безопасности Positive Technologies представили итоги расследований киберинцидентов в 2021–2023 гг. За последние два года число расследований увеличилось более чем в два раза, а 40% всех расследованных инцидентов были совершены известными APT-группировками. Чаще всего атакам подвергались государственные учреждения (33%) и отрасли промышленности (28%).

По данным отчета, за последние два года количество проектов по расследованию киберинцидентов, выполненных командой реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC), значительно увеличилось. Только за 2022 г. прирост расследований составил 50%. За три квартала 2023 г., в сравнении с показателями за весь 2022 г., количество проектов выросло на 76%. Эксперты предполагают, что такой скачок спровоцирован увеличением количества инцидентов ИБ вследствие последних геополитических и экономических событий.

В результате анализа проектов по расследованию инцидентов и работ по ретроспективному анализу инфраструктур компаний было установлено, что 40% инцидентов связаны с деятельностью публично известных APT-группировок.

«Атрибуция злоумышленников, ответственных за кибератаку, — это сложный процесс, который не всегда завершается успешно, — сказал Денис Гойденко, руководитель отдела реагирования на угрозы ИБ PT ESC. — За последние три года наши эксперты выявили инциденты с участием 15 APT-группировок, известных и идентифицируемых на основании используемого инструментария, сетевой инфраструктуры и TTP. Как правило, APT-группировки используют уникальное ВПО, которое отвечает за обеспечение доступа злоумышленников в инфраструктуру компании после осуществления первичной компрометации. Тем не менее как APT-группами, так и более низкоквалифицированными злоумышленниками используется вспомогательное ПО, в подавляющем большинстве случаев публично доступное в интернете».

Чаще всего атакам APT-группировок подвергались государственные учреждения (33%) и промышленный сектор (28%). Третье место разделили финансовые организации (7%), СМИ (7%) и ИТ-компании (7%).

В 25% выполненных проектов по ретроспективному анализу инфраструктур компаний были выявлены следы деятельности APT-группировок, зачастую находившихся в инфраструктурах компаний-жертв (от полугода до года) на момент анализа и не выдававших своего присутствия. По данным исследования, среднее время с момента компрометации инфраструктуры злоумышленниками и до их остановки (или локализации) составило 45 дней, самое долгое их активное пребывание в сети составило пять лет.

В результате всех выявленных инцидентов пострадавшие компании чаще всего сталкивались с нарушениями внутренних бизнес-процессов (32%), с кибершпионажем — достаточно длительным пребыванием злоумышленников в инфраструктуре жертвы, как правило, с конечной целью непрерывной выгрузки конфиденциальной информации (32%), а также с непосредственно выгрузкой конфиденциальной информации (29%). Тренд с выгрузкой конфиденциальных сведений компании-жертвы перед запуском ВПО эксперты фиксируют с 2020 г. Такой шаг позволяет преступникам запрашивать выкуп как за восстановление доступа к инфраструктуре, так и за неразглашение украденных сведений.

В качестве исходного вектора проникновения злоумышленники чаще всего (63%) эксплуатировали уязвимости в используемых жертвой и публично доступных веб-приложениях. В частности, среди таких веб-приложений стоит выделить почтовый сервер Microsoft Exchange (50% среди всех атак, в которых в качестве исходного вектора проникновения были уязвимые веб-приложения), веб-сервер Bitrix (13%) и продукты компании Atlassian (7%), например, Confluence и Jira. На втором месте по частоте успешного использования — фишинговые письма.

В ходе проведенного исследования аналитики зафиксировали интересную тенденцию: злоумышленники не так часто изобретают новые способы атак, но тем не менее число инцидентов с применением уже известных уязвимостей продолжает расти. Это говорит о том, что компании как минимум не обновляют используемое ПО до последних версий и не производят аудит периметра инфраструктуры.

В качестве мер защиты эксперты Positive Technologies рекомендуют компаниям использовать последние версии ПО и ОС; выстраивать процессы, связанные с управлением уязвимостями, что поможет поддерживать инфраструктуру в актуальном состоянии; создавать резервные копии для всех узлов домена и хранить их на изолированном от основной сети узле; регулярно проводить аудит периметра инфраструктуры как на наличие уязвимостей, так и на наличие общедоступных сервисов.

Для борьбы с киберугрозами исследователи рекомендуют использовать современные средства безопасности, такие как решения мониторинга событий ИБ и выявления инцидентов (MaxPatrol SIEM), системы защиты конечных точек от сложных и целевых атак (MaxPatrol EDR), продукты для обнаружения уязвимостей и эффективного управления ими (MaxPatrol VM), а также риск-ориентированную песочницу, которая подстраивается под каждую компанию индивидуально и обнаруживает сложное вредоносное ПО в файлах и трафике (PT Sandbox). Для получения комплексной защиты с минимальным привлечением человеческих ресурсов можно использовать автопилот для результативной кибербезопасности (MaxPatrol O2).

Короткая ссылка