Эксперты PT Expert Security Center рассказали о результатах расследований киберинцидентов в минувшем году. Больше половины атак было совершено квалифицированными злоумышленниками, а 20% случаев составили атаки типа supply chain и Trusted relationship — это метод кибератаки, при которой злоумышленник использует доверие людей или систем друг к другу для получения доступа к конфиденциальной информации или ресурсам. Например, злоумышленник может использовать поддельный веб-сайт, чтобы получить учетные данные пользователя, или использовать поддельный адрес электронной почты или сообщение, чтобы заставить пользователя передать конфиденциальную информацию.
» data-html=»true» data-original-title=»Trusted relationship»>trusted relationship, расследование которых требует высокой квалификации специалистов по ИБ.
В 2022 году сотрудники экспертного центра безопасности Positive Technologies — ведущий разработчик решений для кибербезопасности
» data-html=»true» data-original-title=»Positive Technologies»>Positive Technologies (PT Expert Security Center, PT ESC)
провели более 50 расследований. Пик количества инцидентов пришелся на апрель. В PT ESC отметили, что результативность действий злоумышленников осталась на прежнем уровне: количество инцидентов росло пропорционально количеству атак.
«Уровень подготовки злоумышленников по степени сложности зафиксированных нами атак самый разный: от школьников до проправительственных APT-группировок, — говорит Алексей Новиков, директор экспертного центра безопасности Positive Technologies. — Больше половины атак было совершено квалифицированными злоумышленниками, а 20% случаев составили атаки типа supply chain и trusted relationship, которые сложно расследовать. Мы наблюдаем интересную тенденцию: злоумышленники не изобретают новые способы атак, но тем не менее число инцидентов с применением уже известных методов продолжает расти».
По данным Positive Technologies, за большинством атак, совершенных в отношении российских предприятий в 2022 году, стояли политически мотивированные злоумышленники — хактивисты; встречались как хакеры-одиночки, так и спонтанно организованные группы, состоявшие преимущественно из разрозненных энтузиастов, которым для атаки достаточно иметь ноутбук с подключением к интернету.
В минувшем году продолжили активность профессиональные APT-группировки, в частности APT31 , Cloud Atlas и Space Pirates . По итогам расследований, проведенных сотрудниками PT ESC, отраслевые интересы группировок, атаковавших российские организации, распределились между государственными предприятиями (30% случаев), IT-компаниями (16%), финансовым, энергетическим и промышленным сектором (по 10% случаев на каждый). Кроме того, претерпел изменения ландшафт кибергруппировок. «Ранее новые высококвалифицированные преступные объединения возникали достаточно редко, поэтому мы могли быстро атрибутировать ту или иную атаку к уже знакомым APT-группировкам по инструментам, тактикам и техникам, применяемым при нападении, — отмечает Алексей Новиков. — В прошлом году было обнаружено большое количество ранее неизвестных кибергрупп. Любопытно, что некоторые из них деанонимизировали себя в социальных сетях, раскрывая свою причастность к совершенным атакам». Чаще всего целями атак группировок становились хищение и «слив» данных в интернет ради нанесения репутационного ущерба жертвам. Большая часть новообразованных групп никакой выгоды не преследовала, взломы они совершали только ради хайпа.
В числе уязвимостей, которые наиболее активно использовались для проникновения в инфраструктуру компаний, эксперты PT ESC отметили бреши в серверах Microsoft Exchange, Log4Shell ( CVE-2021-44228 ) — уязвимость нулевого дня в Log4j , популярной среде ведения журналов Java , связанная с выполнением произвольного кода. Раскрытие уязвимости вызвало бурную реакцию экспертов по кибербезопасности. Большинство экспертов, занимающихся кибербезопасностью, считают, что эксплойт был «самой большой и самой критической уязвимостью из когда-либо существовавших».