Команда специалистов отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT ESC IR) представила на SOC Forum 2024 статистику по киберинцидентам за последний квартал 2023 года и три квартала текущего.

Исследования показали, что в 39% компаний были обнаружены следы 17 известных APT-группировок. Эти группировки используют сложные инструменты и уникальное вредоносное ПО для удалённого доступа к инфраструктуре, сбора и кражи данных. Они отличаются высокой квалификацией и способны быстро достигать своих целей.

Среди обнаруженных группировок специалисты PT ESC IR выделили три, которые представляют особую опасность:

1. Hellhounds — одна из самых продвинутых с точки зрения техник;
2. ExCobalt — самая активная;
3. XDSpy — наиболее долгоживущая группа, атакующая компании в России с 2011 года.

В 35% компаний зафиксированы инциденты, относящиеся к категории Сybercrime. Эти атаки, как правило, направлены на деструктивные действия, такие как шифрование или уничтожение данных.

Также об увеличении операций с участием APT-группировок заявил Пётр Белов (НКЦКИ) в ходе регуляторного трека SOC Forum 2024. Он отметил, что против российских компаний проводится продолжающаяся APT-операция, в которой задействованы группировки с разными линиями поведения и разной квалификацией хакеров, действующими под руководством единого центра.

Атаки проводятся в два этапа. На первом их них злоумышленник находит уязвимость на периметре системы компании, проводит закрепление и внедряет вредоносное ПО и инструменты. Спустя время заходит другая группировка, которая приводит в действие замысел — шифрование или уничтожение (в зависимости от целей кампании). Специалисты НКЦКИ научились определять такого рода атаки, находить и сообщать о них владельцам информационных систем. В ряде случаев удалось наладить взаимодействие с представителями организаций и предотвратить ущерб.

Подробности исследования PT ESC IR можно найти на сайте компании.