В Positive Technologies выделили три активных группировки хакеров
В России за последний квартал 2023 года и три квартала 2024 года чаще всего объектами кибератак становились промышленные предприятия, госучреждения и IT-компании. Причинами успешности кибератак оказались устаревшее ПО, используемое в организациях, а также отсутствие двухфакторной аутентификации и недостаточная сегментация корпоративной сети.
Об этом специалисты отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT ESC IR) рассказали на SOC-форуме. Они представили статистику расследования киберинцидентов и ретроспективный анализ по итогам года.
Команда PT ESC выделила три группировки киберпреступников: Hellhounds — как одну из самых продвинутых с точки зрения техник, ExCobalt — как самую активную, а XDSpy — как наиболее долгоживущую группу (она атакует компании в России с 2011 года).
Как отметил руководитель отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies Денис Гойденко, количество атак через подрядчиков за год выросло до 15%, среди этих подрядчиков многие предоставляют услуги десяткам клиентов.
«Несмотря на то, что доля таких атак пока небольшая, реальный и потенциальный ущерб от взлома доверенных, но незащищенных партнеров приобретает лавинообразный характер. Если говорить о способах получения первоначального доступа, самым распространенным остается эксплуатация уязвимостей в веб-приложениях», — рассказал он.
Гойденко указал на то, что за последний год на первое место вышли сайты под управлением CMS «1C-Битрикс», 33% от всех атак, где в качестве исходного вектора проникновения использовались уязвимые веб-приложения. Доля исходных векторов, связанных с почтовым сервером Microsoft Exchange, снизилась с 50% до 17%.
Как и раньше злоумышленники чаще всего атаковали узлы под управлением Windows, но и доля узлов под управлением Linux довольно высока (28%), рассказала старший аналитик исследовательской группы Positive Technologies Яна Авезова. Всего в 39% компаний эксперты выявили следы присутствия 17 известных APT-группировок. Их идентифицируют на основании используемых инструментов и ВПО, сетевой инфраструктуры, а также хакерских тактик и техник.
Ранее эксперты Positive Technologies сообщили, что в первой половине 2024 года организации из финансовой сферы попали в топ-5 по количеству зафиксированных инцидентов, связанных с информационной безопасностью. По сравнению с аналогичным периодом прошлого года доля кибератак на них с применением методов социальной инженерии увеличилась более чем в два раза.