В 2024 году в России зафиксирован рост количества кибератак на различные инфраструктуры. В топ-3 самых атакуемых отраслей вошли финансовые организации, компании в сфере недвижимости и ИТ-компании.
Финансовые организации — банки, страховые, кредитные организации — и имеющиеся в них подробные базы данных клиентов представляют интерес для злоумышленников. Такие организации с большей вероятностью заплатят выкуп, например, за расшифровку данных, чтобы бизнес не пострадал.
Компании в сфере недвижимости, например застройщики, не раз в 2024 году были подвергнуты кибератакам.
А ИТ-компании чаще используются для доступа в более крупные предприятия; причём взлом одной компании открывает доступ в инфраструктуру многих других. Такие атаки на эксплуатации доверия — одни из самых экономически эффективных способов компрометации.
В России почти остановился рост количества кибератак на различные инфраструктуры. Так, количество инцидентов в 2024 году превышает 10 000 случаев, что сопоставимо с количеством инцидентов в 2023 году. При этом в 2023 году прирост кибератак составил 11% по сравнению с 2022 годом, а в 2022 году наблюдался трёхкратный рост атак по сравнению с 2021 годом. Пик кибератак в 2024 году пришёлся на период середины весны — начала лета.
Наиболее популярными техниками кибератак в 2024 году стали:
- T1204 User Execution (выполнение с участием пользователя) — 44,19%;
- T1190 Exploit Public-Facing Application (эксплуатация публично доступных веб-приложений) — 18,26%;
- T1219 Remote Access Software (программное обеспечение удалённого доступа) — 9,85%;
- T1021 Remote Services (службы удалённого доступа) — 7,93%;
- T1562.001 Impair Defenses, Disable or Modify Tools (отключение и перенастройка средств защиты) — 6,50%.
В 2024 году, как и в 2023 году, среди кибератак на различные предприятия и организации лидируют инциденты, связанные с заражением узлов вредоносным программным обеспечением. Для реализации такой атаки используется техника User Execution, включающая в себя также инциденты, в ходе расследования которых были обнаружены индикаторы компрометации в защищённом периметре. Как видно из названия техники, реализация таких кибератак напрямую связана с действиями самих пользователей, которые посещают непроверенные сайты, открывают непроверенные ссылки, скачивают и устанавливают сомнительные программы и расширения браузеров. Но чаще всего подобные инциденты нивелируются автоматической работой СЗИ. В более сложных случаях требуется ручная очистка хоста от вредоносного программного обеспечения. И, конечно в любом случае необходимо провести разъяснительную беседу с сотрудниками, которые допустили заражение хоста своими неправомерными действиями.
Вторая по популярности техника — Exploit Public-Facing Application. В данных кибератаках эксплуатируются существующие уязвимости в веб-приложениях. Наиболее частыми целями атакующих являются серверы Exchange, базы знаний, CMS-системы и программы для удалённого управления серверами. Например, в 2024 году причиной многих взломов стали уязвимости в CMS Bitrix, которые позволяют вызвать форму ввода логина и пароля, даже если администратор закрыл к ней доступ. Развив такую атаку, злоумышленники получали доступ непосредственно к СУБД. Для противодействия таким кибератакам необходимо минимизировать, а лучше совсем убрать уязвимости в веб-приложениях. Причём делать это желательно на этапе разработки. Для реализации контроля кода в процессе разработки применяется специальное программное обеспечение SAST (Static Application Security Testing — статическое тестирование безопасности приложений).
Третья по популярности техника — Remote Access Software. При данной кибератаке злоумышленник устанавливает в атакуемой инфраструктуре средства удалённого доступа для закрепления. Примеры программного обеспечения, используемого в данном виде атак, — AnyDesk, Team Viewer, Ammy Admin, Radmin, TightVNC. Перечисленное программное обеспечение является самым популярным для закрепления на скомпрометированном хосте. Далее можно развить атаку, получив доступ к конфиденциальной информации. В 2024 году число инцидентов, связанных с данной техникой атаки, значительно выросло по сравнению с 2023 годом. Для противодействия им используется программное обеспечение для мониторинга удалённого доступа, а также для предотвращения потери данных (DLP).
Далее по популярности следует техника Remote Services. При её использовании эксплуатируются легитимные сетевые сервисы удалённого доступа, такие как SSH-, RDP-, VNC- и WinRM-сервисы. Как правило, злоумышленникам в начале атаки необходимо украсть или подобрать, часто методом перебора, логин и пароль легитимной учётной записи для сервиса удалённого доступа. Это классический пример горизонтального перемещения в атакуемой инфраструктуре. Для предотвращения вторжения злоумышленников в критически важные элементы инфраструктуры необходимо отделить данные элементы от всей сети. Также необходимо предотвратить кражу логинов и паролей легитимных пользователей, что требует уже работу с пользователями и обучение их кибергигиене.
Ещё одна популярная техника — Impair Defenses, Disable or Modify Tools. К ней относятся инциденты, связанные с изменением или отключением средств защиты, например антивирусных агентов, агентов EDR и других СЗИ. Чаще всего данная техника используется для отключения Windows Defender и изменения правил встроенного Firewall на Windows-узлах. Тем не менее основная часть зафиксированных в 2024 году подозрений на инциденты по данной технике носили ложноположительный характер. Для предотвращения таких кибератак необходимо проводить мониторинг изменения в реестре, а также мониторинг изменений известных функций, используемых развёрнутыми инструментами безопасности.
В связи со всё возрастающей угрозой кибератак, а также с увеличивающимися последствиями от них, повысился интерес к проведению киберучений. Компании стали увеличивать количество тренировок, уходя от «разовых» практик. Наиболее востребованным остаётся проведение киберучений для специалистов SOC (Security Operations Center): аналитиков первой линии (90%) и второй линии (80%) реагирования на инциденты информационной безопасности. Также возрос спрос на услуги тестирования DRP- и BCP-планов. Один из самых тестируемых сценариев — успешная атака вируса-шифровальщика.
Также наблюдается смещение интересов большинства компаний с классического общего пентеста в сторону целевых пентестов. Так, вместо запроса «получить доступ куда-нибудь» большинство компаний выбирают проверку возможности реализации наиболее катастрофических гипотез.
Вместе с тем компании стали чаще включать в свои планы сценарии реагирования на инциденты через поставщиков, а также ставить критичные учётные записи на мониторинг, чтобы сократить время на обнаружение и ликвидацию последствий таких атак.
Дефицит навыков в области кибербезопасности как у сотрудников, так и у команд реагирования, а также «киберусталость» рядовых пользователей являются ключевыми проблемами для киберустойчивости организации. Так, например, одна из причин успешных кибератак на инфраструктуру компаний — «слитые» корпоративные учётные данные, когда пользователи регистрируются на различных ресурсах со своей рабочей почтой. При этом они используют для регистрации тот же пароль, что и для корпоративной учётной записи, а это значительно упрощает последующий взлом корпоративных сервисов. Именно поэтому необходимо не только концентрироваться на тестировании самой инфраструктуры на проникновение, но и проводить киберучения и повышать квалификацию специалистов по информационной безопасности и команд реагирования, а также улучшать кибергигиену рядовых сотрудников.
