Команда специалистов отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT ESC IR) представила на SOC Forum 2024 статистику по киберинцидентам за последний квартал 2023 года и три квартала текущего.
Исследования показали, что в 39% компаний были обнаружены следы 17 известных APT-группировок. Эти группировки используют сложные инструменты и уникальное вредоносное ПО для удалённого доступа к инфраструктуре, сбора и кражи данных. Они отличаются высокой квалификацией и способны быстро достигать своих целей.
Среди обнаруженных группировок специалисты PT ESC IR выделили три, которые представляют особую опасность:
- Hellhounds — одна из самых продвинутых с точки зрения техник;
- ExCobalt — самая активная;
- XDSpy — наиболее долгоживущая группа, атакующая компании в России с 2011 года.
В 35% компаний зафиксированы инциденты, относящиеся к категории Сybercrime. Эти атаки, как правило, направлены на деструктивные действия, такие как шифрование или уничтожение данных.
Также об увеличении операций с участием APT-группировок заявил Пётр Белов (НКЦКИ) в ходе регуляторного трека SOC Forum 2024. Он отметил, что против российских компаний проводится продолжающаяся APT-операция, в которой задействованы группировки с разными линиями поведения и разной квалификацией хакеров, действующими под руководством единого центра.
Атаки проводятся в два этапа. На первом их них злоумышленник находит уязвимость на периметре системы компании, проводит закрепление и внедряет вредоносное ПО и инструменты. Спустя время заходит другая группировка, которая приводит в действие замысел — шифрование или уничтожение (в зависимости от целей кампании). Специалисты НКЦКИ научились определять такого рода атаки, находить и сообщать о них владельцам информационных систем. В ряде случаев удалось наладить взаимодействие с представителями организаций и предотвратить ущерб.
Подробности исследования PT ESC IR можно найти на сайте компании.