Общественный организм, чье функционирование прямо связано с бесперебойной работой информационных систем, может быть заражен, парализован и уничтожен в считанные дни.
В 2023 г. скорость развития кибератак драматически выросла: от проникновения в инфраструктуру до достижения целей хакерам требуется 7 суток. Пару лет назад на подготовку кибератаки уходило несколько месяцев. Тревожные выводы следуют из отчета, подготовленного центром расследования инцидентов Solar JSOC CERT компании «РТК-Солар». Проанализировано 40 успешных атак, связанных с проникновением в IT-инфраструктуру крупнейших российских организаций из госсектора, промышленности, энергетики, ритейла, телекома, СМИ и финансов.
Мрачный тренд эксперты связывают с ростом количества атак по политическим мотивам. Мотивированных непрофессиональных хакеров объединяют злоумышленники с высокой квалификацией. Инструменты для реализации атак (ВПО, эксплойты и т.п.) бесплатно распространяются на форумах в даркнете или в ТГ-каналах. При этом киберзащита многих российских организаций остается на низком уровне.
Три мишени на жертве
Расследования «РТК-Солар» показали, что киберпреступники преследуют три разные цели: шифрование данных для получения выкупа, кибершпионаж и хактивизм. Последний стал основным трендом прошлого года – количество подобных кейсов выросло в 5 раз.
Для проникновения в инфраструктуру в 54% кейсов применяются уязвимости в интернет-сервисах. Самый яркий пример – это ProxyLogon (критическая уязвимость 2021 года в Microsoft Exchange Server). Несмотря на широкое распространение данного почтового сервиса, многие компании не спешат исправлять недостаток. В итоге злоумышленники могут не только быстро получить доступ к переписке сотрудников, но и, проникнув в IT-инфраструктуру, развить атаку уже в локальной сети. В расследованиях Solar JSOC CERT встречались взломы таких популярных сервисов, как Apache, Oracle WebLogic Server, Bitrix. Как правило, эту технику использовали хактивисты и хакеры, шифрующие инфраструктуру.
Профессиональные APT-группировки используют более сложные способы получения первичного доступа. Впервые атаки через подрядчиков происходят чаще, чем заражение через фишинг.
На фоне возрастающей угрозы крупные компании усилили киберзащиту, в том числе и от рассылки вредоносов через почту, поэтому профессиональные злоумышленники находят точки входа в подрядных организациях. Последние хуже защищены, и через них можно попасть в инфраструктуру основой жертвы.
Цель – каждый из нас
«За последний год мы увидели немало тревожных трендов. Во-первых, внимание киберпреступников теперь привлекает вся российская ИТ-инфраструктура, а не отдельные ее сегменты, как раньше. Мы видим, как выросла активность прогосударственных APT-группировок. Их интересы давно не ограничиваются федеральными и региональными органами власти. Мы встречаем их в инфраструктурах энергетических компаний и даже СМИ. Нельзя забывать про ускорение развития атак и повышение квалификации хакеров. Все чаще профессиональные злоумышленники объединяют под своим началом хактивистов. Последние учатся не просто организовывать DDoS или дефейс, а нацелены на продолжительное присутствие в IТ-инфраструктуре и получение доступов через связанные между собой организации.
Все это говорит о том, что защита от кибератак сегодня стала приоритетом для всех сфер и отраслей», – считает руководитель центра расследования киберинцидентов Solar JSOC CERT «РТК-Солар» Игорь Залевский.