Поделиться
«Солар»: в 2024 г. хакеры в три раза чаще использовали скомпрометированные учетные записи
Больше трети (37%) успешных кибератак на российские компании в 2024 г. начинались с компрометации учетных данных сотрудников. Это значительно превышает показатели 2023 г., когда на подобные атаки приходилось 19% инцидентов. Очевидно, что киберпреступники успешно эксплуатируют утекшие ранее доступы. К такому выводу пришли эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар», архитектора комплексной кибербезопасности. Об этом CNews сообщили представители ГК «Солар».
Отчет построен на данных расследований, проведенных командой Solar 4RAYS в 2024 г. Исследование содержит информацию об атакованных отраслях, целях злоумышленников, их техниках и тактиках. Также в отчете представлены основные характеристики обнаруженных экспертами кибергрупировок. Всего за отчетный период было разобрано более 60 инцидентов, связанных с проникновением в ИТ-инфраструктуру различных компаний и организаций.
В количественном выражении число подобных кейсов за год увеличилось почти в три раза. Такая динамика, скорее всего, связана с тем, что в течение 2023 г. случилось большое количество утечек конфиденциальных данных. По информации центра мониторинга внешних цифровых угроз Solar AURA, за 2023 г. в открытый доступ попали данные почти 400 российских организаций. Среди этих утечек оказалось немало паролей.
«В минувшем году атакующие активно использовали техники Valid Accounts (легитимные скомпрометированные учетные записи), а также External Remote Services (внешние удаленные сервисы), что также подразумевают использование легитимных учетных данных для доступа к инфраструктуре жертв. В атаках, где для первоначального доступа использовались эти техники, мы наблюдали, например, брутфорс учетной записи FTP‑сервера с последующий загрузкой вредоносного ПО. В одном из кейсов атакующие подключались по RDP (удаленный доступ) с использованием привилегированной учетной записи, которую в дальнейшем применяли для сканирования сети и похищения учетных данных. После хакеры зашифровали часть инфраструктуры и требовали выкуп. Похищение конфиденциальных сведений или финансовая выгода — две главные цели применения данных техник», — сказал Геннадий Сазонов, эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар».
На фоне роста компрометации аккаунтов другие способы проникновения в инфраструктуру, напротив, сокращаются. Чаще всего для преодоления внешнего ИТ-периметра злоумышленники используют уязвимости веб-приложений. Однако за год доля таких инцидентов сократилась — с 56% до 46%. Часто это уязвимые корпоративные порталы, опубликованные в открытом доступе, веб-приложения, о существовании которых забыли и не контролируют, сервисы, которые работают на необновленном ПО. Также за год снизилась и доля атак, начавшихся с фишинга: с 19% до 11%. Неизменным остался только процент, который приходится на атаки через подрядчиков — 6%.
Цели злоумышленников разнообразны. Чаще всего это кибершпионаж (на него пришлось 58% киберинцидентов). А доля атак с целью хактивизма и хулиганства сократилась с 35% в 2023 г. до 10% — в 2024 г. Категория уступила второе место атакам с финансовой мотивацией (вымогательство с помощью вирусов-шифровальщиков и майнинг криптовалют).
Подавляющее большинство атак в 2024 г. было реализовано проукраинскими АРТ-группировками. Самые активные из них: Shedding Zmiy и Lifting Zmiy, с деятельностью которых была связана половина расследованных инцидентов. Как правило, их цели — это шпионаж с последующим уничтожением инфраструктуры жертвы. Часто в качестве инструмента злоумышленники использовали вирусы-шифровальщики, которые безвозвратно удаляли данные жертвы. При этом все активнее группировки целятся в ресурсы виртуализации, на которых сегодня работают многие организации.
Сохраняют свою активность и азиатские группировки, в частности Obstinate Mogwai, которая стала причиной 15% расследуемых атак в 2024 г. Для киберпреступников из Азиатского региона свойственно долгое скрытное нахождение в инфраструктуре, однако они редко завершают свои атаки деструктивными действиями.
«Каждое проникновение — это не просто инцидент, а сигнал для компаний пересмотреть свои подходы к информационной безопасности. В таких условиях организациям надо принять тот факт, что количество сложных целевых кибератак будет только увеличиваться, а значит, базовых средств защиты информации уже давно недостаточно. В частности, необходим регулярный патч-менеджмент, изучение ИБ-специалистами актуального киберландшафта, обучение сотрудников навыкам ИБ, постоянный аудит инфраструктуры и ее подключение к ИБ-мониторингу, внедрение решений EDR для защиты рабочих станций и NTA для анализа сетевого трафика. А оперативный Incident Response (реагирование на инциденты) при первых подозрениях на атаку позволит пресечь деятельность хакеров на начальной стадии», — отметил Геннадий Сазонов.
Поделиться
Короткая ссылка
