Киберпреступники стали более изощренными

Российская компания по стратегическому управлению цифровыми рисками BI.Zone (ООО "БИЗон") на пресс-конференции в Москве представила исследование и аналитику российского ландшафта киберугроз за 2023 г.

"Исследование могу назвать комплексным, потому что оно затрагивает российский ландшафт в совокупности, а не в разрезе отдельных эпизодов, либо фрагментов. Мы уделяем внимание именно локальному ландшафту. В мире сотни различных группировок и тысячи используемых ими инструментов для достижения целей. И если компания будет пытаться защищаться здесь и сейчас, выстраивать систему мониторинга, которая обеспечит видимость всех техник, атакующих инструментов, то это потребует огромных усилий и инвестиций для выстраивания системы защиты. Параллельно с выстраиванием защиты, ландшафт не будет стоять на месте, он продолжит непрерывно развиваться. Поэтому очень важно правильно расставлять приоритеты и уделять внимание угрозам, которые актуальны для нас здесь и сейчас", - рассказал директор департамента мониторинга, реагирования и исследования киберугроз BI.Zone Теймур Хеирхабаров.

Он рассказал, какие отрасли чаще всего становились целью злоумышленников: "В 2023 г. хакеры в России чаще всего атаковали компании сферы ретейла (15%). На втором месте идут промышленность и энергетика, финансы и страхование (по 12%), на третьем месте - компании из транспортной отрасли (10%). Эту статистику мы получили в результате обработки данных, проходящих через наши продукты и сервисы. Из 580 тыс. так называемых алертов от различных систем обнаружения атак аналитики центра отреагировали более чем на 2000 инцидентов, 100 из которых мы классифицировали как критичные. Всего в 2023 г. мы отслеживали 50 группировок".

Руководитель отела аналитики киберугроз BI.Zone Олег Скулкин разделил группировки по их мотивациям: "Самая популярная мотивация - финансовая. Для таких хакеров важно получить вознаграждение. Мы их именуем волками. Доля таких преступников среди группировок равна 76%. Следующий тип мотивации - шпионаж. Обычно это прогосударственные хакеры. На их долю в 2023 г. приходится 15% группировок. Их мы именуем оборотнями. Последний кластер, который в связи с определенными геополитическими событиями тоже стал активным, - это хактивисты. На их долю пришлось 9%. Однако мы не отслеживаем, каким странам принадлежат эти хакеры. Дело в том, что тут исследователя очень легко запутать. Злоумышленники могут арендовать сервер в одной стране, найти разработчика программного обеспечения - в другой и т.д. В целом неважно, какой стране принадлежит злоумышленник, важно понимать, как именно он действует, чтобы можно было защититься".

Также Олег Скулкин назвал главные цели каждой группы киберпреступников: "Хактивисты начали заниматься целевыми атаками на подрядчиков организаций, используя при этом легитимные учетные записи и обходя средства защиты. Если говорить про финансово мотивированные преступления, то мы отслеживаем более 50 различных кластеров активности. Кто-то, например, шифрует сеть и просит деньги за расшифровку. В принципе, ничего нового, но аппетиты злоумышленников сильно выросли. Например, один из кластеров просил у жертвы 450 млн руб. Минимальная их планка - $1 млн. Если предложенная сумма меньше, то они категорически не соглашались предоставлять программное обеспечение, которое позволит восстановить работоспособность инфраструктуры. И если мы говорим о прогосударственных хакерах, то их цель - коммерческие организации - например, ретейлеры. Злоумышленники тоже выгружали данные, но мотивацией был не столько шпионаж, сколько получение потенциальных данных и их дальнейшая перепродажа. Традиционно некоторые кластеры занимались получением финансовой выгоды непосредственно от организации. Например, компрометировали системы, у которых был доступ к онлайн-банкингу, и на подконтрольные им счета, получив доступ к таким системам, выводили деньги".

Руководитель по борьбе с киберугрозами BI.Zone Михаил Прохоренко рассказал о наиболее популярных способах проникновения злоумышленников в инфраструктуру компаний: "На первом месте оказалась эксплуатация общедоступных приложений. Основные тому причины: уязвимости в популярном конструкторе сайтов Bitrix и уязвимости Microsoft Exchange. Второе и третье места занимают использование легитимных учетных записей и атаки через подрядчиков. Эти два способа злоумышленники зачастую используют в совокупности. И это, действительно, тренд 2023 г. Раньше такого масштаба мы не наблюдали. И если раньше хакеры получали доступ в компании и их же атаковали, то в 2023 г. они развивали атаки на другие организации, которые являются клиентами этих компаний. Таким образом, ущерб становился кратно больше. Более того, хакеры стали использовать легитимные инструменты. Мы собрали 10 наиболее популярных инструментов, и оказалось, что шесть из них относятся к легитимным, то есть к инструментам, которые используют администраторы или другие сотрудники компании в повседневной деятельности".