Иностранные кибер-ЧВК бьют по бизнес-процессам российских предприятий

В 2024 году специалисты Positive Technologies отметили рост кибератак на промышленные предприятия, госучреждения и IT-компании. Основные уязвимости связаны с устаревшим ПО и отсутствием двухфакторной аутентификации. APT-группы используют уникальное вредоносное ПО, а атаки через подрядчиков увеличились до 15%. Эксплуатация уязвимостей в веб-приложениях остаётся распространённым методом получения доступа.

Специалисты отдела реагирования на угрозы информационной безопасности экспертного центра Positive Technologies (PT ESC IR) представили на SOC-форуме 2024 статистику по расследованию киберинцидентов и ретроспективному анализу за год. За последний квартал 2023 года и первые три квартала 2024 года к PT ESC IR чаще всего обращались промышленные предприятия, госучреждения и IT-компании. Основными факторами успешности кибератак стали устаревшее программное обеспечение, отсутствие двухфакторной аутентификации и недостаточная сегментация корпоративной сети.

В 39% компаний были обнаружены следы присутствия 17 известных APT-группировок, идентифицируемых по используемым инструментам, вредоносному ПО, сетевой инфраструктуре и хакерским тактикам. Обычно APT-группировки применяют уникальное ПО для удаленного доступа, сбора и кражи данных. Большинство выявленных группировок обладают высокой квалификацией и способны быстро достигать своих целей.

Среди всех группировок, обнаруженных в ходе исследования, команда PT ESC выделила три: Hellhounds — как одну из самых продвинутых в плане техник, ExCobalt — как самую активную, а XDSpy — как наиболее устойчивую, действующую в России с 2011 года.

«Количество атак через подрядчиков за год увеличилось до 15%. Многие из этих подрядчиков обслуживают десятки клиентов. Хотя доля таких атак пока невелика, ущерб от взлома доверенных, но незащищенных партнеров может быть значительным», — отметил руководитель отдела реагирования на угрозы ИБ Positive Technologies Денис Гойденко. Наиболее распространенным способом получения первоначального доступа остается эксплуатация уязвимостей в веб-приложениях. За последний год на первое место вышли сайты на CMS „1C-Битрикс“ — 33% всех атак с использованием уязвимых веб-приложений. Доля атак через уязвимости Microsoft Exchange снизилась с 50% до 17%, уточнил он.

В последние годы наблюдается значительный рост числа киберинцидентов, затрагивающих компании по всему миру. В 35% организаций были выявлены инциденты, связанные с киберпреступностью, включая атаки с использованием шифровальщиков и вайперов, направленные на уничтожение данных. Это вызывает серьезное беспокойство, так как половина всех проектов сталкивается с нарушением внутренних бизнес-процессов из-за таких атак. Особенно заметно увеличение числа атак со стороны хактивистов и финансово мотивированных злоумышленников.

«По сравнению с 2021–2023 годами доля проектов, в которых инцидент нарушил внутренние бизнес-процессы, выросла с 32% до 50%. Мы предполагаем, что это связано с увеличением интенсивности атак со стороны хактивистов и финансово мотивированных злоумышленников», – сказал Денис Гойденко.

Кроме того, в 19% случаев были обнаружены следы разведывательной активности, связанной с продвинутыми постоянными угрозами (APT-группировками), что указывает на рост кибершпионажа. В 12% случаев злоумышленники предпринимали попытки кражи конфиденциальной информации, что подчеркивает важность защиты данных.

Атаки чаще всего нацелены на узлы под управлением Windows, но также значительная часть атак приходится на Linux-системы, что составляет 28%. Это говорит о том, что злоумышленники расширяют свои цели и используют разнообразные подходы.

В связи с этим наблюдается значительный рост спроса на услуги по расследованию инцидентов: за последние два года количество таких проектов увеличилось втрое. Чтобы эффективно противостоять киберугрозам, компаниям рекомендуется использовать современные средства защиты. Среди них такие решения, как MaxPatrol SIEM, PT NAD, PT NGFW, PT Application Firewall, PT Sandbox и MaxPatrol EDR. Эти инструменты помогают организациям повысить уровень своей безопасности и защитить свои данные от кибератак.

Фото: Adobe Stoke