Компания «Ростелеком-Солар» представила отчёт «Техники и тактики киберпреступников», подготовленный командой Solar JSOC CERT. Он основан на расследованиях, проведённых специалистами лаборатории JSOC CERT с марта 2022-го по март 2023 года.

За отчётный период было разобрано 40 инцидентов, связанных с проникновением в ИТ-инфраструктуру различных компаний и организаций. Специалисты «Ростелеком-Солар» выбрали три основных тактики, на которых базируется большинство правил детектирования вредоносной активности в различных средствах защиты информации.

Согласно отчёту, шифрование инфраструктуры с целью получения выкупа (38% случаев) и хактивизм (38%) — это ключевые цели атакующих. В 20% взлом инфраструктуры происходил с целью кибершпионажа APT-группировками.

В большинстве рассматриваемых случаев атака осуществлялась на организации госсектора (51%), в меньшей степени хакеров интересовали промышленные и сельскохозяйственные предприятия, телеком (по 10% случаев), энергетические (5%) и финансовые (3%) компании.

72% кейсов связаны с проникновением хакеров в инфраструктуру через известные уязвимости, в частности через критическая уязвимость в MS Exchange Server (70% случаев).

С шифрованием инфраструктуры с целью получения денежного вознаграждения столкнулись компании из самых разных отраслей, включая госсектор, сельское хозяйство, ритейл, высшее образование, благотворительность. При этом объём расследуемых Solar JSOC CERT инцидентов с использованием шифровальщиков остался на уровне 2020–2021 годов, отмечают исследователи, подчеркивая, что в минувшем году в этой категории кибератак не было замечено инцидентов, начинавшихся с фишинговых писем.

«Это может быть связано с тем, что с начала СВО компании оперативно настроили базовое антивирусное ПО, которое защитило их от массовых вредоносных рассылок», — говорится в отчёте компании.

Для достижения цели сегодня хакерам в среднем требуется семь дней, ранее от проникновения злоумышленника в инфраструктуру до взлома и кражи денег или данных проходили месяцы.

В пять раз выросло число атак хактивистов, что связано с началом СВО в феврале 2022 года. Менее профессиональные хакеры стали объединяться под началом злоумышленников с высокой квалификацией, а различные инструменты для реализации атак всё чаще бесплатно распространяются на форумах в даркнете или в ТГ-каналах, — отмечают эксперты.

Выросла активность проправительственных APT-группировок. Их интересы не ограничиваются федеральными и региональными органами власти, а распространились на энергетические компании и СМИ. «Особенностью 2022 года является то, что расследований, связанных с проникновением в инфраструктуру через подрядные организации, стало больше, чем через заражение классическим фишинговым письмом», — отмечается в отчёте. — «В начале года злоумышленники активно атаковали наиболее незащищённых подрядчиков и через них добирались до изначальных целей. После небольшого затишья был новый всплеск подобных атак, связанный с тем, что основные цели хакеров — КИИ — значительно повысили свою защищённость и злоумышленникам пришлось вновь искать слабые места через подрядчиков».

На фоне постоянных кибератак сотрудники ИБ-служб стали внимательнее относиться к инцидентам, что позволило оперативно выявлять более профессиональных злоумышленников и их передвижение по сети, подчёркивают специалисты «Ростелеком-Солар».