Результаты расследований Positive Technologies: каждая вторая атака привела к нарушению бизнес-процессов

В 39% случаев эксперты обнаружили следы активности 17 известных APT-группировок

Специалисты отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT ESC IR) представили на SOC-форуме статистику по итогам проектов по расследованию киберинцидентов и ретроспективному анализу по итогам года. Чаще всего за последний квартал 2023 года и прошедшие три квартала 2024 года к PT ESC IR обращались промышленные предприятия, госучреждения и IT-компании. Основными причинами успешности кибератак стали устаревшее ПО, используемое в организациях, а также отсутствие двухфакторной аутентификации и недостаточная сегментация корпоративной сети.

В 39% компаний эксперты выявили следы присутствия 17 известных APT-группировок, идентифицируемых на основании используемых инструментов и ВПО, сетевой инфраструктуры, а также хакерских тактик и техник. Как правило, APT-группировки используют уникальное ВПО для удаленного доступа в инфраструктуру, сбора и кражи данных. Большая часть выявленных группировок имеет высокую квалификацию и способна быстро достигать поставленных целей.

Среди всех группировок, обнаруженных за период исследования, команда PT ESC выделила три: Hellhounds — как одну из самых продвинутых с точки зрения техник, ExCobalt — как самую активную, а XDSpy — как наиболее долгоживущую группу (она атакует компании в России с 2011 года).

В 35% компаний были выявлены инциденты, которые относятся к категории Cybercrime. В эту категорию объединены атаки, направленные преимущественно на совершение деструктивных действий (шифрование, уничтожение). В таких атаках, как правило, применяются шифровальщики, легитимное ПО для шифрования информации и вайперы для удаления данных. Эти программы злоумышленники также могут использовать для уничтожения своих следов, чтобы максимально усложнить расследование инцидента.

Эксперты отмечают существенный рост востребованности отечественными компаниями работ по расследованию инцидентов. За последние два года их количество увеличилось в три раза. Команда PT ESC IR справляется с таким потоком с помощью автоматизации сбора и анализа информации, используя собственный инструмент — PT Dumper, который хорошо зарекомендовал себя на практике.

В целях предотвращения кибератак специалисты рекомендуют соблюдать актуальные общепринятые практики кибербезопасности и использовать современные средства защиты, такие как решения для мониторинга событий ИБ и выявления инцидентов (MaxPatrol SIEM), системы поведенческого анализа сетевого трафика (PT NAD), межсетевые экраны для глубокой фильтрации трафика (PT NGFW), средства защиты веб-приложений (PT Application Firewall), передовые песочницы для обнаружения сложного и неизвестного ВПО (PT Sandbox), а также системы защиты конечных точек от сложных и целевых атак (MaxPatrol EDR).