В 2024 году хакеры чаще всего атаковали промышленность и ИТ-компании
Больше всего инцидентов в первом полугодии2024 года было зафиксировано в промышленности (38%), IT-отрасли (27%) и финансовой сфере (15%), выяснили эксперты компании по информбезопасности BI.ZONE.
Хакеры вышли на плато
Резкий рост числа киберинцидентов, который специалисты BI.ZONE Threat Intelligence наблюдали в 2022 и в начале 2023 года, несколько замедлился, а доля высококритичных киберинцидентов незначительно уменьшилась.
Как и в 2023 году, нередко встречаются атаки через подрядчиков, а фишинг и использование легитимных учетных записей остаются в топе наиболее популярных методов для получения первичного доступа к инфраструктуре. К таким выводам пришли аналитики BI.ZONE, представив аналитический отчет по угрозам и киберинцидентам за первое полугодие 2024.
В 2022 году произошел резкий всплеск активности кибергруппировок, атакующих российские компании, который продолжился и в начале 2023 года.
Сейчас этот показатель растет медленнее, что может говорить о постепенном выходе на более или менее устойчивое плато, – сообщил руководитель BI.ZONE TDR Андрей Шаляпин.
«Одновременно с этим все больше организаций внедряют у себя мониторинг событий кибербезопасности, а значит, в поле зрения специалистов попадает больше киберугроз. Таким образом, абсолютное число регистрируемых киберинцидентов планомерно растет с увеличением количества клиентов сервиса», – пояснил эксперт.
Как правило, второй квартал опережает первый по числу киберинцидентов. Так, в 2023 году во втором квартале было обнаружено на 10% больше инцидентов, чем в первом, а в 2024 году разрыв увеличился и составил уже 36%.
По мнению Андрея Шаляпина, такая динамика связана с тем, что на первые месяцы года приходится много выходных дней. Некоторая доля фиксируемых оповещений о киберинцидентах неизбежно связана с пентестами, которые, как правило, не проводятся в праздники. Внешне пентесты могут быть неотличимы от настоящих атак, однако их цель – выявить уязвимые места в защите для дальнейшего исправления, а не нанести компании ущерб.
На кого охотятся киберпреступники
В первом полугодии 2024 года наибольшее число киберинцидентов (38%) аналитики BI.ZONE TDR зафиксировали в промышленности и энергетике. За аналогичный период прошлого года этот показатель составил 37%.
Повышенный интерес злоумышленников к промышленности и ТЭК может быть обусловлен стратегическим значением, которое эти отрасли имеют для экономики. По данным портала киберразведки BI.ZONE Threat Intelligence, шпионаж является основной целью для 35% кибергруппировок, атакующих промышленные предприятия.
На долю IT-отрасли пришлось 27% всех киберинцидентов, выявленных в первом полугодии, при этом рост год к году составил всего 1%. Сравнительно большое количество обнаруживаемых кибератак в сфере IT, вероятнее всего, объясняется спецификой отрасли: как правило, IT-компании имеют более сложную и изменчивую цифровую инфраструктуру, в связи с чем поверхность атаки становится шире.
Около 15% киберинцидентов в первом полугодии 2024 года были связаны с финансовой сферой и страхованием, тогда как к концу июня 2023 года этот показатель составлял 10%. Одновременно с этим выросла и доля кибергруппировок, атакующих финансовый сектор: по данным BI.ZONE Threat Intelligence, в 2023 году на финансовые организации совершали атаки 16% кластеров, а в первом полугодии 2024 года — уже 25%.
При этом подавляющее большинство кибератак, обнаруживаемых в финансовых и страховых компаниях, не приводят к киберинцидентам. Это связано с тем, что отрасль традиционно предъявляет повышенные требования к кибербезопасности, поэтому большинство атак удается остановить на начальном этапе, до того, как злоумышленники успевают нанести какой-либо ущерб или закрепиться в инфраструктуре.
Защита выросла
В первом полугодии 2024 года аналитики BI.ZONE TDR зафиксировали 39 высококритичных киберинцидентов, а годом ранее – 26. Однако рост абсолютных показателей в данном случае нерепрезентативен: в 2024 году к высококритичным инцидентам привели только 0,6% всех зафиксированных атак, а годом ранее — 0,7%.
Одним из факторов, обусловивших снижение доли высококритичных киберинцидентов, могло стать более широкое применение специализированных решений по защите конечных точек класса endpoint detection and response (EDR). Их доля на российском рынке за последние два года увеличилась в 1,5-2 раза. Эти решения позволяют обнаруживать сложные угрозы на конечных точках, а также реагировать на них оперативно, до того, как атакующие проникают вглубь инфраструктуры и достигают своих целей.
Бьют через фишинг и подрядчиков
Для проникновения в IT-инфраструктуру злоумышленники чаще всего используют фишинг, а также эксплуатируют уязвимости во внешних сервисах. Атаки через подрядчиков встречаются реже, хотя в последние несколько лет их стало больше из-за стабильно высокого спроса на услуги по сопровождению и техподдержке ПО и оборудования, заказной разработке и тестированию программных продуктов.
Тем не менее, атаки на подрядчиков представляют более серьезную угрозу для компаний, чем фишинг или эксплуатация уязвимостей, поскольку действия злоумышленников в таких случаях сложнее распознать и остановить на ранней стадии. Именно по этой причине, а также из-за незащищенности самих подрядчиков такие атаки стали трендом прошлого года. В 2024 году с атаками через подрядчиков по-прежнему связано большинство киберинцидентов несмотря на то, что таких атак значительно меньше, чем, например, фишинга.
Кроме того, для атак на компании киберпреступники активно используют легитимные учетные записи, данные которых крадут с помощью программ-стилеров.
Из инструментов наибольшей популярностью у злоумышленников пользуются средства для построения сетевых туннелей ngrok и Stunnel, а также утилиты удаленного доступа, такие как PhantomRAT и Sliver. В отличие от трояна удаленного доступа PhantomRAT, Sliver является условно легитимным инструментом, который изначально создавался для тестирования на проникновение.
В топ-5 наиболее популярных инструментов для атак также входит Gsocket – программа удаленного доступа с открытым исходным кодом. Преступники стали активно применять Gsocket в 2023 году, чтобы выполнять в удаленной системе произвольные команды и копировать файлы в обход межсетевых экранов.
Аналитики BI.ZONE уточняют, что большинство киберинцидентов не влекут за собой ущерба для компании, поскольку действия атакующих оказываются пресечены до того, как они успевают продвинуться вглубь IT-инфраструктуры и нанести ущерб. Если в ходе атаки злоумышленникам удалось скомпрометировать хотя бы один элемент IT-инфраструктуры и повлиять на его работу, такое событие классифицируется как высококритичный инцидент. Сюда же относятся события, когда злоумышленник еще не повлиял на скомпрометированную IT-инфраструктуру, но с высокой вероятностью может это сделать.
Ирина Миляева
Фото: Adobe Stock