APT-группировки, действовавшие в регионе, совершали сложные и продолжительные кибероперации, стремясь украсть данные, узнать какую-либо информацию или саботировать работу организаций. Почти все киберпреступные сообщества, изученные экспертами, хотя бы раз атаковали госучреждения. При этом 69% группировок целились в энергетический сектор — это свидетельствует об их заинтересованности в нарушении работы систем критической информационной инфраструктуры (КИИ).
Госсектор, согласно результатам анализа, стал самой атакуемой отраслью: на него пришлось 24% от общего числа кибератак на организации. Учреждения этой сферы хранят и обрабатывают огромные массивы конфиденциальных данных, которые могут быть полезны злоумышленникам. В первой половине 2024 года на теневых площадках 16% всех предложений с информацией из государственных компаний пришлось именно на страны Ближнего Востока.
На втором месте среди самых атакуемых отраслей — промышленность (17%), для которой актуальны в том числе киберугрозы, связанные с использованием вайперов. Это вредоносное ПО позволяет уничтожить данные, например, на скомпрометированных устройствах АСУ ТП и вызвать серьезные сбои в работе критически важных объектов. Так, в атаках на компании Израиля применялся вайпер BiBi, который делал данные целевых систем недоступными или непригодными для использования. В целом ВПО осталось наиболее популярным инструментом для атак на организации региона.
Злоумышленники также активно атаковали учреждения с помощью методов социальной инженерии (54%), используя в том числе технологии искусственного интеллекта. Благодаря развитию генеративных систем ИИ объем вредоносного контента увеличился, а число фишинговых атак, совершенных через электронную почту, выросло во второй половине 2023 года по сравнению с тем же периодом 2022-го на 222%.
Эксперты Positive Technologies выяснили, что основным последствием успешных кибератак на организации Ближнего Востока стали утечки данных: их доля в III квартале 2023 года составляла 35%, а во второй половине 2024 года достигла 49%. При этом средний ущерб от кибератак на организации региона, как отмечается в отчете, почти в два раза превышает аналогичный показатель по миру.
Учитывая повышенную активность киберпреступников в регионе, эксперты рекомендуют компаниям использовать передовую методику обеспечения киберустойчивости — концепцию результативной кибербезопасности. Она направлена на построение комплексной автоматизированной системы защиты от недопустимых событий — последствий кибератак, которые могут сделать невозможным достижение операционных и стратегических целей компании. Подход подразумевает использование современных средств защиты, среди них:
- системы класса SIEM (security information and event management) для непрерывного отслеживания событий ИБ и оперативного выявления кибератак;
- специализированные продукты для анализа трафика АСУ ТП и обнаружения подозрительной активности — актуально для промышленных компаний;
- EDR-системы (endpoint detection and response), позволяющие защитить конечные устройства от сложных и целевых атак;
- передовые песочницы для обнаружения сложного и неизвестного вредоносного ПО;
- продукты класса NTA (network traffic analysis) для проактивного поиска киберугроз в сети;
- VM-системы (vulnerability management) для автоматизированного управления ИТ-активами, оперативного выявления актуальных уязвимостей и контроля их устранения.
Кроме того, концепция результативной кибербезопасности предусматривает непрерывный анализ защищенности инфраструктуры, в том числе с помощью программ багбаунти, а также обучение сотрудников.
- В отчете под Ближним Востоком понимаются следующие страны: Бахрейн, Египет, Израиль, Иордания, Ирак, Иран, Йемен, Катар, Кипр, Кувейт, Ливан, ОАЭ, Оман, Палестина, Саудовская Аравия и Сирия. Исследование охватывает период с III квартала 2023 года по II квартал 2024-го.
- Хактивисты — злоумышленники, которые используют кибератаки для привлечения внимания к социальным и политическим проблемам