В 2024 г. хакеры в три раза чаще использовали скомпрометированные учетные записи

Больше трети (37%) успешных кибератак на российские компании в 2024 г. начинались с компрометации учетных данных сотрудников. Это значительно превышает показатели 2023 г., когда на подобные атаки приходилось 19% инцидентов. Очевидно, что киберпреступники успешно эксплуатируют утекшие ранее доступы. К такому выводу пришли эксперты центра исследования киберугроз Solar 4RAYS группы компаний "Солар", архитектора комплексной кибербезопасности.

Отчет построен на данных расследований, проведенных командой Solar 4RAYS в 2024 году. Исследование содержит информацию об атакованных отраслях, целях злоумышленников, их техниках и тактиках. Также в отчете представлены основные характеристики обнаруженных экспертами кибергрупировок. Всего за отчетный период было разобрано более 60 инцидентов, связанных с проникновением в ИТ-инфраструктуру различных компаний и организаций.

В количественном выражении число подобных кейсов за год увеличилось почти в три раза. Такая динамика, скорее всего, связана с тем, что в течение 2023 года случилось большое количество утечек конфиденциальных данных. По информации центра мониторинга внешних цифровых угроз Solar AURA, за 2023 год в открытый доступ попали данные почти 400 российских организаций. Среди этих утечек оказалось немало паролей.

"В минувшем году атакующие активно использовали техники Valid Accounts (легитимные скомпрометированные учетные записи), а также External Remote Services (внешние удаленные сервисы), что также подразумевают использование легитимных учетных данных для доступа к инфраструктуре жертв. В атаках, где для первоначального доступа использовались эти техники, мы наблюдали, например, брутфорс учетной записи FTPсервера с последующий загрузкой вредоносного ПО. В одном из кейсов атакующие подключались по RDP (удаленный доступ) с использованием привилегированной учетной записи, которую в дальнейшем применяли для сканирования сети и похищения учетных данных. После хакеры зашифровали часть инфраструктуры и требовали выкуп. Похищение конфиденциальных сведений или финансовая выгода - две главные цели применения данных техник", - рассказал Геннадий Сазонов, эксперт центра исследования киберугроз Solar 4RAYS ГК "Солар".

На фоне роста компрометации аккаунтов другие способы проникновения в инфраструктуру, напротив, сокращаются. Чаще всего для преодоления внешнего ИТ-периметра злоумышленники используют уязвимости веб-приложений. Однако за год доля таких инцидентов сократилась - с 56% до 46%. Часто это уязвимые корпоративные порталы, опубликованные в открытом доступе, веб-приложения, о существовании которых забыли и не контролируют, сервисы, которые работают на необновленном ПО. Также за год снизилась и доля атак, начавшихся с фишинга: с 19% до 11%. Неизменным остался только процент, который приходится на атаки через подрядчиков - 6%.

Цели злоумышленников разнообразны. Чаще всего это кибершпионаж (на него пришлось 58% киберинцидентов). А доля атак с целью хактивизма и хулиганства сократилась с 35% в 2023 году до 10% - в 2024. Категория уступила второе место атакам с финансовой мотивацией (вымогательство с помощью вирусов-шифровальщиков и майнинг криптовалют).

Подавляющее большинство атак в 2024 году было реализовано проукраинскими АРТ-группировками. Самые активные из них: Shedding Zmiy и Lifting Zmiy, с деятельностью которых была связана половина расследованных инцидентов. Как правило, их цели - это шпионаж с последующим уничтожением инфраструктуры жертвы. Часто в качестве инструмента злоумышленники использовали вирусы-шифровальщики, которые безвозвратно удаляли данные жертвы. При этом все активнее группировки целятся в ресурсы виртуализации, на которых сегодня работают многие организации.

Сохраняют свою активность и азиатские группировки, в частности Obstinate Mogwai, которая стала причиной 15% расследуемых атак в 2024 году. Для киберпреступников из Азиатского региона свойственно долгое скрытное нахождение в инфраструктуре, однако они редко завершают свои атаки деструктивными действиями.

"Каждое проникновение - это не просто инцидент, а сигнал для компаний пересмотреть свои подходы к информационной безопасности. В таких условиях организациям надо принять тот факт, что количество сложных целевых кибератак будет только увеличиваться, а значит, базовых средств защиты информации уже давно недостаточно. В частности, необходим регулярный патч-менеджмент, изучение ИБ-специалистами актуального киберландшафта, обучение сотрудников навыкам ИБ, постоянный аудит инфраструктуры и ее подключение к ИБ-мониторингу, внедрение решений EDR для защиты рабочих станций и NTA для анализа сетевого трафика. А оперативный Incident Response (реагирование на инциденты) при первых подозрениях на атаку позволит пресечь деятельность хакеров на начальной стадии", - заключил Геннадий Сазонов.

Центр исследования киберугроз Solar 4RAYS в реальном времени анализирует данные об угрозах, получаемые со всех сервисов и продуктов "Солара", с крупнейшей в России сети сенсоров и ханипотов, а также внешних источников. Полученные знания позволяют постоянно актуализировать защитные меры в собственных ИБ-решениях компании. Эксперты центра провели более 200 расследований киберинцидентов в частных и государственных организациях. Техническими подробностями и индикаторами компрометации (IoC) специалисты регулярно делятся с ИБ-сообществом в своем блоге.