BI.Zone представила аналитический отчет по угрозам и киберинцидентам за I полугодие 2024 г.
Резкий рост числа киберинцидентов, который специалисты BI.Zone TDR наблюдали в 2022 г. и в начале 2023 г., несколько замедлился, а доля высококритичных киберинцидентов незначительно уменьшилась. Больше всего инцидентов было зафиксировано в промышленности (38%), ИT-отрасли (27%) и финансовой сфере (15%), однако в подавляющем большинстве случаев злоумышленников удается остановить прежде, чем они успевают нанести ущерб. Как и в 2023 г., нередко встречаются атаки через подрядчиков, а фишинг и использование легитимных учетных записей остаются в топе наиболее популярных методов для получения первичного доступа к инфраструктуре.
В отчете собраны и обобщены данные о киберинцидентах, зафиксированных специалистами BI.Zone TDR — сервисом по мониторингу и реагированию на инциденты. Под киберинцидентами понимаются злонамеренные или несанкционированные действия киберпреступников по отношению к ИT-инфраструктуре компании, связанные с нарушением или неизбежной угрозой нарушения безопасности элементов ИT-инфраструктуре, например, шифрования ИT-инфраструктур, уничтожения и кражи конфиденциальной информации.
Большинство киберинцидентов не влекут за собой ущерба для компании, поскольку действия атакующих оказываются пресечены до того, как они успевают продвинуться вглубь ИT-инфраструктуры и нанести ущерб. Если в ходе атаки злоумышленникам удалось скомпрометировать хотя бы один элемент ИT-инфраструктуры и повлиять на его работу, такое событие классифицируется как высококритичный инцидент. Сюда же относятся события, когда злоумышленник еще не повлиял на скомпрометированную ИT-инфраструктуру, но с высокой вероятностью может это сделать.
Рост числа киберинцидентов замедлился после резкого скачка в 2022 г. – начале 2023 г.
В первом полугодии 2024 г. специалисты BI.Zone TDR зафиксировали почти на 40% больше киберинцидентов, чем год назад. Однако такие изменения связаны не с резкой активизацией злоумышленников, а с увеличением числа клиентов сервиса и конечных точек (серверов и рабочих станций), которые находятся под мониторингом BI.Zone TDR. По состоянию на конец июня 2024 г. их число составило более 250 тыс., что примерно на 30% больше, чем годом ранее.
Андрей Шаляпин, руководитель BI.Zone TDR: «В 2022 г. произошел резкий всплеск активности кибергруппировок, атакующих российские компании, который продолжился и в начале 2023 г. Сейчас этот показатель растет медленнее, что может говорить о постепенном выходе на более или менее устойчивое плато. Одновременно с этим все больше организаций внедряют у себя мониторинг событий кибербезопасности, а значит, в поле зрения специалистов попадает больше киберугроз. Таким образом, абсолютное число регистрируемых киберинцидентов планомерно растет с увеличением количества клиентов сервиса».
Как правило, второй квартал опережает первый по числу киберинцидентов. Так, в 2023 г. во II квартале было обнаружено на 10% больше инцидентов, чем в первом, а в 2024 г. разрыв увеличился и составил уже 36%.
Отчасти такая динамика связана с тем, что на первые месяцы года приходится много выходных дней. Некоторая доля фиксируемых оповещений о киберинцидентах неизбежно связана с пентестами, которые, как правило, не проводятся в праздники. Внешне пентесты могут быть неотличимы от настоящих атак, однако их цель – выявить уязвимые места в защите для дальнейшего исправления, а не нанести компании ущерб.
Больше всего киберинцидентов зафиксировано в промышленности, ИT и финансовой отрасли
В I полугодии 2024 г. наибольшее число киберинцидентов (38%) аналитики BI.Zone TDR зафиксировали в промышленности и энергетике. За аналогичный период прошлого года этот показатель составил 37%. Повышенный интерес злоумышленников к промышленности и ТЭК может быть обусловлен стратегическим значением, которое эти отрасли имеют для экономики. По данным портала киберразведки BI.Zone Threat Intelligence, шпионаж является основной целью для 35% кибергруппировок, атакующих промышленные предприятия.
На долю ИT-отрасли пришлось 27% всех киберинцидентов, выявленных в первом полугодии, при этом рост год к году составил всего 1%. Сравнительно большое количество обнаруживаемых кибератак в сфере ИT, вероятнее всего, объясняется спецификой отрасли: как правило, ИT-компании имеют более сложную и изменчивую цифровую инфраструктуру, в связи с чем поверхность атаки становится шире.
15% киберинцидентов в I полугодии 2024 г. были связаны с финансовой сферой и страхованием, тогда как к концу июня 2023 г. этот показатель составлял 10%. Одновременно с этим выросла и доля кибергруппировок, атакующих финансовый сектор: по данным BI.Zone Threat Intelligence, в 2023 г. на финансовые организации совершали атаки 16% кластеров, а в первом полугодии 2024 г. — уже 25%.
При этом подавляющее большинство кибератак, обнаруживаемых в финансовых и страховых компаниях, не приводят к киберинцидентам. Это связано с тем, что отрасль традиционно предъявляет повышенные требования к кибербезопасности, поэтому большинство атак удается остановить на начальном этапе, до того, как злоумышленники успевают нанести какой-либо ущерб или закрепиться в инфраструктуре.
Злоумышленников все чаще останавливают на начальных этапах атаки
В I полугодии 2024 г. аналитики BI.Zone TDR зафиксировали 39 высококритичных киберинцидентов, а годом ранее – 26. Однако рост абсолютных показателей в данном случае нерепрезентативен: в 2024 г. к высококритичным инцидентам привели только 0,6% всех зафиксированных атак, а годом ранее — 0,7%.
Одним из факторов, обусловивших снижение доли высококритичных киберинцидентов, могло стать более широкое применение специализированных решений по защите конечных точек класса endpoint detection and response (EDR). Их доля на российском рынке за последние два года увеличилась в 1,5-2 раза. Эти решения позволяют обнаруживать сложные угрозы на конечных точках, а также реагировать на них оперативно, до того, как атакующие проникают вглубь инфраструктуры и достигают своих целей.
4. Большинство киберинцидентов связаны с атаками через подрядчиков
Для проникновения в IT-инфраструктуру злоумышленники чаще всего используют фишинг, а также эксплуатируют уязвимости во внешних сервисах. Атаки через подрядчиков встречаются реже, хотя в последние несколько лет их стало больше из-за стабильно высокого спроса на услуги по сопровождению и техподдержке ПО и оборудования, заказной разработке и тестированию программных продуктов.
Тем не менее, атаки на подрядчиков представляют более серьезную угрозу для компаний, чем фишинг или эксплуатация уязвимостей, поскольку действия злоумышленников в таких случаях сложнее распознать и остановить на ранней стадии. Именно по этой причине, а также из-за незащищенности самих подрядчиков такие атаки стали трендом прошлого года. В 2024 году с атаками через подрядчиков по-прежнему связано большинство киберинцидентов несмотря на то, что таких атак значительно меньше, чем например фишинга.
Кроме того, для атак на компании киберпреступники активно используют легитимные учетные записи, данные которых крадут с помощью программ-стилеров.
Из инструментов наибольшей популярностью у злоумышленников пользуются средства для построения сетевых туннелей ngrok и Stunnel, а также утилиты удаленного доступа, такие как PhantomRAT и Sliver. В отличие от трояна удаленного доступа PhantomRAT, Sliver является условно легитимным инструментом, который изначально создавался для тестирования на проникновение.
В топ-5 наиболее популярных инструментов для атак также входит Gsocket – программа удаленного доступа с открытым исходным кодом. Преступники стали активно применять Gsocket в 2023 г., чтобы выполнять в удаленной системе произвольные команды и копировать файлы в обход межсетевых экранов.