"РТК-Солар": Злоумышленники активнее используют киберразведку для подготовки целевых атак

Количество целевых атак на российские компании продолжает расти. При этом хакеры все чаще проводят детальную киберразведку в отношении своих жертв, прежде чем нападать, — отмечают эксперты "РТК-Солар". В частности, растет число сетевых атак, попыток несанкционированного доступа к корпоративным системам и атак через партнеров или подрядчиков (supply chain). А большое количество сливов, произошедших за последнее время, упростило для хакеров подготовку целевых атак.

Такие выводы следуют из  отчета, подготовленного экспертами центра противодействия кибератакам Solar JSOC компании "РТК-Солар". В  фокус внимания экспертов попало 280 организаций из  разных отраслей, включая госсектор, финансы, энергетику, телеком, медиа, крупный ритейл. Статистика включает агрегированные данные об  атаках на  компании, подключенные к  сервису мониторинга Solar JSOC. Отчет не  содержит информацию о  массовых DDoS-атаках .

Всего за  I  квартал 2023 года было выявлено 290  тыс. атак, что в  полтора раза превышает аналогичный показатель прошлого года. В  сравнении с  последним кварталом 2022 года этот показатель увеличился на  3%, то  есть рост числа событий  ИБ  сохраняется, но  в  дальнейшем он  будет не  таким драматичным. Хотя очевидно, что в  обозримом будущем мы  вряд  ли вернемся к  показателям, предшествующим СВО,  — отмечается в  отчете.

Целевые атаки, которые еще с  середины 2022 года начали вытеснять массовые ковровые кибербомбардировки, становятся все более продуманными. Если раньше киберразведку хакеры применяли в  основном в  атаках на  критическую инфраструктуру, то  сейчас с  попытками изучить периметр сталкивается все больше компаний из  самых разных отраслей. Также у  продвинутых злоумышленников появились помощники в  лице вчерашних хактивистов , которые активно вовлекаются в  атаки и  помогают в  их  подготовке (например, "простукивая" периметр или реализуя брутфорс).

"Злоумышленники прощупывают периметры и  публичные сервисы на  предмет уязвимостей, а  также пытаются использовать утекшие ранее авторизационные данные для доступа к  внутренним системам. На  этом фоне острее встает проблема атак через подрядчиков. Хакеры ищут ненадежных или плохо защищенных партнеров своих потенциальных жертв, проверяют наличие незакрытых и  неучтенных доступов, чтобы проникнуть внутрь сети,  — говорит руководитель направления аналитики киберугроз компании "РТК-Солар" Дарья Кошкина.  —  Чтобы защитить себя, компаниям необходимо не  только заниматься базовой защитой периметра, но  и  самим обращаться к  услугам киберразведки. Это позволит нивелировать риски, связанные с  утекшими базами данных, скомпрометированными аккаунтами, адресами электронной почты и  т.  п. На  основе этой информации компании смогут митигировать угрозы еще до  эксплуатации найденных уязвимостей злоумышленниками".

Самым популярным инструментом злоумышленников остается вредоносное  ПО, хотя его доля в  объеме высококритических инцидентов снижается и  сейчас составляет  46%. Это связано с  тем, что за  минувший напряженный год компании укрепили ИТ-периметры и  настроили базовые средства защиты (в  частности, антивирус)  — массовые рассылки уже не  действуют так  же эффективно, как раньше. В  то  же время шифровальщики вновь вернулись в  арсенал хакеров, что говорит о  более точечных и  подготовленных ударах. Веб-атаки после взлета в  прошлом году также вернулись к  стандартным показателям и  составляют сейчас примерно четверть инцидентов с  высокой степенью критичности.