Специалисты экспертного центра безопасности компании Positive Technologies представили итоги исследования киберинцидентов 2021-2023 годов.

Они проанализировали информацию, полученную по результатам более чем 100 проектов по расследованию инцидентов, а также ретроспективному анализу инфраструктуры, которые проводились с первого квартала 2021 года по третий квартал 2023-го в различных компаниях на территории России и стран СНГ. Среднее время расследования от начала до написания отчёта составляло 21 день.

Как показал анализ информации, за последние два года число расследований увеличилось более чем в два раза, а 40% всех расследованных инцидентов были совершены известными APT-группировками. Чаще всего атакам подвергались государственные учреждения (33%) и отрасли промышленности (28%).

По данным отчёта, за указанный период количество проектов по расследованию киберинцидентов, выполненных командой реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC), значительно увеличилось. Только за 2022 год прирост расследований составил 50%. За три квартала 2023 года, в сравнении с показателями за весь 2022 год, количество проектов выросло на 76%. Эксперты предполагают, что такой скачок связан с увеличением количества инцидентов ИБ вследствие геополитических и экономических событий.

Как показало исследование, 40% инцидентов связаны с деятельностью публично известных APT-группировок. По словам Дениса Гойденко, руководителя отдела реагирования на угрозы ИБ PT ESC, атрибуция злоумышленников, ответственных за кибератаку, — сложный процесс, который не всегда завершается успешно. За последние три года эксперты PT выявили инциденты с участием 15 APT-группировок, известных и идентифицируемых на основании используемого инструментария, сетевой инфраструктуры и TTP.

Как правило, APT-группировки используют уникальное вредоносное программное обеспечение (ВПО), отвечающее за обеспечение доступа злоумышленников в инфраструктуру компании после осуществления первичной компрометации. При этом APT-группами и более низкоквалифицированными злоумышленниками используется вспомогательное ПО, в подавляющем большинстве случаев публично доступное в Интернете, подчеркнул эксперт.

Чаще всего атакам APT-группировок подвергались государственные учреждения (33%) и промышленный сектор (28%). Третье место разделили финансовые организации (7%), СМИ (7%) и ИТ-компании (7%).

В 25% выполненных проектов по ретроспективному анализу инфраструктур компаний были выявлены следы деятельности APT-группировок, находившихся в инфраструктурах компаний-жертв на момент анализа от полугода до года и не выдававших своего присутствия. По данным исследования, среднее время с момента компрометации инфраструктуры злоумышленниками и до их остановки (или локализации) составило 45 дней, а самое долгое активное пребывание в сети составило пять лет.

В результате всех выявленных инцидентов жертвы APT-группировок чаще всего сталкивались с нарушениями внутренних бизнес-процессов (32%), кибершпионажем, в ходе которого пребывание злоумышленников в инфраструктуре жертвы преследовало цель непрерывную выгрузку конфиденциальной информации (32%), а также с непосредственно выгрузкой конфиденциальной информации (29%). Эксперты отметили наметившуюся с 2020 года тенденцию выгрузки конфиденциальных сведений компании-жертвы перед запуском ВПО. Такой шаг позволяет преступникам запрашивать выкуп как за восстановление доступа к инфраструктуре, так и за неразглашение украденных сведений.

В качестве исходного вектора проникновения злоумышленники чаще всего (63%) эксплуатировали уязвимости в используемых жертвой и публично доступных веб-приложениях. Точками входа в основном становились почтовый сервер Microsoft Exchange (50% среди всех атак, в которых эксплуатировались уязвимости веб-приложения), веб-сервер Bitrix (13%) и продукты компании Atlassian (7%). На втором месте по частоте успешного использования — фишинговые письма.

В ходе исследования аналитики Positive Technologies отметили, что злоумышленники чаще прочего используют атаки с применением уже известных уязвимостей и не так часто изобретают новые способы проникновения. Это говорит о том, что компании не обновляют используемое программное обеспечение до последних версий и не производят аудит периметра инфраструктуры, отметили специалисты.

В качестве мер защиты эксперты Positive Technologies рекомендуют компаниям использовать последние версии ПО и ОС; выстраивать процессы, связанные с управлением уязвимостями, что поможет поддерживать инфраструктуру в актуальном состоянии; создавать резервные копии для всех узлов домена и хранить их на изолированном от основной сети узле; регулярно проводить аудит периметра инфраструктуры как на наличие уязвимостей, так и на наличие общедоступных сервисов.

Для борьбы с киберугрозами исследователи рекомендуют использовать современные средства безопасности, в том числе входящие в экосистему продуктов MaxPatrol, разработанную компанией Positive Technologies.