Компания «Ростелеком-Солар» представила отчёт «Техники и тактики киберпреступников», подготовленный командой Solar JSOC CERT. Он основан на расследованиях, проведённых специалистами лаборатории JSOC CERT с марта 2022-го по март 2023 года.

За отчётный период было разобрано 40 инцидентов, связанных с проникновением в ИТ-инфраструктуру различных компаний и организаций. Специалисты «Ростелеком-Солар» выбрали три основных тактики, на которых базируется большинство правил детектирования вредоносной активности в различных средствах защиты информации.

Согласно отчёту, шифрование инфраструктуры с целью получения выкупа (38% случаев) и хактивизм (38%) — это ключевые цели атакующих. В 20% взлом инфраструктуры происходил с целью кибершпионажа APT-группировками.

В большинстве рассматриваемых случаев атака осуществлялась на организации госсектора (51%), в меньшей степени хакеров интересовали промышленные и сельскохозяйственные предприятия, телеком (по 10% случаев), энергетические (5%) и финансовые (3%) компании.

72% кейсов связаны с проникновением хакеров в инфраструктуру через известные уязвимости, в частности через критическая уязвимость в MS Exchange Server (70% случаев).

С шифрованием инфраструктуры с целью получения денежного вознаграждения столкнулись компании из самых разных отраслей, включая госсектор, сельское хозяйство, ритейл, высшее образование, благотворительность. При этом объём расследуемых Solar JSOC CERT инцидентов с использованием шифровальщиков остался на уровне 2020–2021 годов, отмечают исследователи, подчеркивая, что в минувшем году в этой категории кибератак не было замечено инцидентов, начинавшихся с фишинговых писем.

«Это может быть связано с тем, что с начала СВО компании оперативно настроили базовое антивирусное ПО, которое защитило их от массовых вредоносных рассылок», — говорится в отчёте компании.

Для достижения цели сегодня хакерам в среднем требуется семь дней, ранее от проникновения злоумышленника в инфраструктуру до взлома и кражи денег или данных проходили месяцы.

В пять раз выросло число атак хактивистов, что связано с началом СВО в феврале 2022 года. Менее профессиональные хакеры стали объединяться под началом злоумышленников с высокой квалификацией, а различные инструменты для реализации атак всё чаще бесплатно распространяются на форумах в даркнете или в ТГ-каналах, — отмечают эксперты.

Выросла активность проправительственных APT-группировок. Их интересы не ограничиваются федеральными и региональными органами власти, а распространились на энергетические компании и СМИ. «Особенностью 2022 года является то, что расследований, связанных с проникновением в инфраструктуру через подрядные организации, стало больше, чем через заражение классическим фишинговым письмом», — отмечается в отчёте. — «В начале года злоумышленники активно атаковали наиболее незащищённых подрядчиков и через них добирались до изначальных целей. После небольшого затишья был новый всплеск подобных атак, связанный с тем, что основные цели хакеров — КИИ — значительно повысили свою защищённость и злоумышленникам пришлось вновь искать слабые места через подрядчиков».

На фоне постоянных кибератак сотрудники ИБ-служб стали внимательнее относиться к инцидентам, что позволило оперативно выявлять более профессиональных злоумышленников и их передвижение по сети, подчёркивают специалисты «Ростелеком-Солар».

17 апреля, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.01.2025
Немкин: Количество сбоев в работе Google в России будет расти
21.01.2025
«Шёлковый тайфун» унёс внутреннюю документацию Минфина США
21.01.2025
ИИ-шников подготовят прямо «в поле»
21.01.2025
«Утечки особо чувствительных персональных данных не было»
21.01.2025
В Госдуме готова начать работу группа по защите геймеров от «чуждых ценностей»
21.01.2025
Плюс 600 млрд долларов за пять лет. Какие перспективы у ИИ в БРИКС
20.01.2025
Роскомнадзор расширит арсенал мер в отношении операторов ПДн
20.01.2025
BSS на iFin-2025: GenAI и LLM в мире клиентского сервиса, цифровой рубль и управление знаниями в современном банке
20.01.2025
Telegram-аккаунт можно взломать с помощью QR-кода для входа в чат
20.01.2025
Пегасовы конюшни вышли из «чёрного списка» к трёхзначным числам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных