Цели атак кардинально изменились

В ходе пленарной сессии "Устойчивость в BANI-мире: преграды, стратегии и возможности" на SOC-Forum-2023 заместитель руководителя Национального координационного центра по компьютерным инцидентам (НКЦКИ) Петр Белов назвал кардинальными изменения в структуре атак: если в 2022 г. доминировали посягательства со стороны плохо организованных масс хактивистов, то в 2023 г. их сменили профессиональные представители зарубежных спецслужб. Целью атак 2023 г., как заявил представитель НКЦКИ, является получение доступа к данным (38% атак) и нарушение функционирования ИТ-инфраструктуры атакованных организаций (25%).

https://www.comnews.ru/content/230166/2023-11-15/2023-w46/1008/regulyat…

По оценке центра исследования киберугроз Solar 4RAYS ГК "Солар", на профессиональные группировки приходилось 20% от всех атак, 42% - на финансово мотивированных киберпреступников и кибермошенников, и около 30% - на киберхулиганов. Большинство кибератак пришлись на государственные организации (44%), телеком (14%), сельское хозяйство (9%), промышленность (7%), финансовый сектор (7%) и с равными долями в 4% розничная торговля, сфера услуг, образование, НКО и энергетика. Основными целями атак были кража данных и нанесение прямого ущерба инфраструктуре.

Как отметил руководитель центра исследования киберугроз Solar 4RAYS ГК "Солар" Игорь Залевский, представляя результаты исследования "Техники и тактики киберпреступников. Вчера, сегодня, завтра", в России высокую активность проявляют китайские и северокорейские группировки, их основной целью являются госструктуры и оборонные предприятия. Целями проукраинских группировок обычно являются атаки, направленные на уничтожение инфраструктуры. "Цели вчерашних хактивистов сменились: вместо DDoS и дефейса мошенники пытаются взламывать и совершать деструктивные действия в отношении инфраструктуры организаций, в том числе объектов критической информационной инфраструктуры (КИИ). Мы считаем, что в 2024 г. увеличится количество инцидентов с деструктивными последствиями, а с ростом импортозамещения хакеры начнут использовать российское ПО для проникновения через уязвимости софта", - считает руководитель отдела противодействия киберугрозам центра исследования Solar 4RAYS ГК "Солар" Владислав Лашкин. Он также обратил внимание, что для злоумышленника проще и дешевле внедрить шифровальщик или вайпер, чем организовать DDoS-атаку, с которыми российские организации успешно научились бороться.

По статистике отдела реагирования на угрозы ИБ PT ESC ПАО "Группа Позитив" (Positive Technologies), злоумышленники уже освоили атаки на пользователей систем на основе Linux, в том числе российских. Как отметил руководитель отдела реагирования на угрозы ИБ PT ESC Денис Гойденко на вопрос корреспондента ComNews, как правило, злоумышленники пользуются тем, что операционные системы устанавливаются с настройками по умолчанию, и проникновение в такую инфраструктуру хорошо отработано среди злоумышленников.

По данным Positive Technologies, на профессиональные группировки приходится около 40% атак на российские компании. Однако Денис Гойденко сделал важную оговорку, что речь идет лишь об инцидентах, которые удалось идентифицировать. По его оценке, доля атак, за которыми стоят APT-группировки или зарубежные спецслужбы, может достигать 60%. Но при этом злоумышленники крайне редко изобретают новые способы атак, тогда как число инцидентов с применением уже известных уязвимостей продолжает расти. Это говорит о том, что компании как минимум не обновляют используемое ПО до последних версий и не производят аудит периметра инфраструктуры.

https://www.comnews.ru/content/230154/2023-11-14/2023-w46/1018/rezultat…

Заместитель директора ФСТЭК Виталий Лютиков прямо связал данную ситуацию с прекращением поддержки зарубежного ПО, которое тем не менее продолжает эксплуатироваться в российских компаниях. В итоге количество уязвимостей в ИТ-инфраструктуре выросло в 2,5 раза с 2022 г.

При этом злоумышленники существенно нарастили темп атак. По данным статистики МТС RED SOC, со второй половины года среднемесячная частота атак на российские компании возросла на 28% и составила более 4000 инцидентов. С июля по октябрь зафиксировано свыше 17 тыс. кибератак - почти столько же выявлено за все первое полугодие 2023 г. Аналитики МТС RED обращают внимание, что целью кибератак во второй половине 2023 г. все чаще становились медицинские учреждения. На организации сферы здравоохранения совершено более 2,5 тыс. кибератак, в 13% случаев компании сталкивались с серьезными, высококритичными инцидентами, как правило, связанными с попытками заражения инфраструктуры медицинских организаций вредоносным ПО - шифровальщиками, троянами с функцией кражи информации и прочим.

"Причину роста кибератак на медицинские организации мы видим в том, что они, с одной стороны, обрабатывают большие объемы персональных данных граждан, с другой - часто защищены хуже, чем организации других сфер деятельности. Можно прогнозировать, что в ближайшее время именно медицинские учреждения могут стать источником новых утечек персональных данных", - считает директор центра сервисов кибербезопасности МТС RED Андрей Дугин.

"Лаборатория Касперского" также фиксирует рост инцидентов по России в таких отраслях, как образование, здравоохранение, телекоммуникации, причем речь идет о реализации высококритичных угроз. "Отрасли, которые в прошлом году мы могли характеризовать как наиболее атакуемые, в этом году сделали выводы и стали фокусироваться на кибербезопасности. В частности, мы видим, что компании все чаще проводят пентесты, чтобы проверить эффективность своей защиты. Количество инцидентов в этих отраслях по-прежнему велико, но это уже не те случаи, которые могут привести к остановке бизнес-процессов или существенной потере данных. Независимо от сферы деятельности, любым компаниям важно уделять должное внимание кибербезопасности на фоне усложняющегося ландшафта угроз. Если внутренних ресурсов в этой области недостаточно, передача функций ИБ на аутсорсинг может выступить в качестве эффективной альтернативы", - рекомендует руководитель центра мониторинга кибербезопасности "Лаборатории Касперского" Сергей Солдатов.

Руководитель отдела консалтинга и аудита Angara Security Александр Хонин видит обратной стороной роста атак повышение значимости ИБ в компаниях, поскольку речь может идти о самом существовании бизнеса: "Зависимость бизнеса от данных очень велика. Фактически в некоторых отраслях отсутствие доступа к данным означает невозможность работы: как минимум - простой, как максимум - потерю бизнеса. И это не преувеличение: такие случаи не единичны как в мире, так и в России. Соответственно, любая предотвращенная атака - предотвращенный простой на время восстановления данных из резервной копии. Учитывая, что злоумышленники часто уничтожают и бекапы, то от ИБ зависит само существование бизнеса. При этом атака, связанная с уничтожением данных, для злоумышленников обходится проще и дешевле, чем DDoS-атака, а ее эффект многократно сильнее".