Угрозы сдвинулись вслед за повесткой

Как отмечается авторами исследования, набор критических инцидентов в начале текущего года по сравнению с последним кварталом 2021 г. существенно изменился. В конце прошлого кода 78% инцидентов были связаны с сетевыми атаками (как правило, это сканирование внешнего периметра общедоступными средствами), а 14% - с заражением вредоносным ПО. В I квартале 2022 г. на сетевые атаки пришлось 10%, а на заражение вредоносным ПО - только 3%. Атак на веб-приложения отмечено не было. Количество же инцидентов в I квартале 2022 г. выросло на 4% по сравнению с предшествующим. Вместе с тем как раз в конце 2021 г. отмечался существенный рост массовых атак со стороны низкоквалифицированных злоумышленников.

Также в исследовании отмечается, что хакеры c разным уровнем квалификации стали чаще использовать компрометацию учетных записей, что напрямую связано с попытками взлома инфраструктуры атакуемых компаний. Количество подобных атак выросло за квартал на 9%. По официальным данным, именно таким образом произведена и кибератака на видеохостинг RuTube, которая поразила 75% баз данных и инфраструктуры.

Также на 11% увеличилось число случаев несанкционированного доступа к информационным системам и сервисам. В то же время за последние месяцы на теневом рынке выросло количество заказов на получение доступа к учетным данным различных компаний. Это может указывать, что ряд организаций не озаботились проблемами безопасности на фоне обострения международной обстановки.

Однако, по оценке главы британского Центра правительственной связи Джереми Флеминга, имевшие место ранее опасения относительно возникновения полноценной кибервойны между Российской Федерацией и Украиной не оправдались, хотя "злонамеренная киберактивность все равно стала неотъемлемой частью этого конфликта". При этом Питер Флеминг обвинил группировки, заявившие о поддержке российской стороны, в атаках на другие страны с целью обострения конфликта.

"Обычно топ наиболее популярных типов атак объясняется дешевизной и простотой ряда техник, а также наличием типичных "слабых мест" на ИТ-периметрах компаний. Так, в I квартале 2022 г. мы видим значительный рост критичности веб-атак. С одной стороны, хакеры активно применяли эту технику для того, чтобы посеять панику в обществе. С другой - компании пока нечасто уделяют внимание закрытию веб-уязвимостей, что делает онлайн-ресурсы одним из наиболее слабых мест в инфраструктурах", - прокомментировала результаты исследования руководитель направления аналитики киберугроз компании "Ростелеком-Солар" Дарья Кошкина.

В пресс-службе Group-IB также обратили внимание на следующее обстоятельство: "Время восстановления инфраструктуры атакованной компании зависит от того, к чему атакующий смог получить доступ, что именно он сделал в ходе саботажа, а также от уровня подготовки специалистов, проводящих реагирование. В любом случае, в рамках восстановительных работ важно провести не только аудит состояния инфраструктуры, "зачистку" от возможных следов атаки, но и уделить особое внимание поиску следов компрометации (Compromise Assessment).

Кроме восстановления, нужно установить всю хронологию атаки и выяснить, что атакующие делали внутри сети, чтобы не допустить повторения инцидента сразу после восстановления инфраструктуры".

Также, по данным Group-IB, в каждом третьем случае некорректное проведение работ по восстановлению инфраструктуры после атаки приводит к повторной атаке.

Директор Экспертного центра безопасности Positive Technologies Алексей Новиков также обратил внимание на следующие изменения в тактике злоумышленников: "В числе особенностей атаки (имеется в виду кибератака на RuTube - прим. ComNews), которые, впрочем, в последние месяцы стали типичным поведением для злоумышленников, стоит отметить, что параллельно с решением общих задач - выведением сервиса из строя, - злоумышленники выкачивали некоторый объем внутренней информации сервиса, которая в дальнейшем используется для публичного подтверждения факта атаки (публикации документов в публичном поле) и обеспечивает повышенное массовое внимание к атаке и деятельности злоумышленников". Также Алексей Новиков, сославшись на свой опыт, заявил, что работы по расследованию данного инцидента занимают до трех недель, и до окончания этих работ невозможно оценивать картину произошедшего.