Positive Technologies: больше половины успешных атак с использованием вредоносного ПО начинаются с фишинга

Компания Positive Technologies, лидер в области результативной кибербезопасности, представила исследование актуальных киберугроз за I квартал 2024 года. Вредоносное ПО осталось ключевым оружием киберпреступников, при этом аналитики зафиксировали рост доли использования программ для удаленного управления. Чаще всего злоумышленники распространяли ВПО через электронную почту: 51% успешных кибератак на организации начинались с фишинговых писем. 

В I квартале количество инцидентов увеличилось на 19% по сравнению с аналогичным периодом предыдущего года. При этом 78% атак были направлены против организаций. Лидерами по количеству успешных кибератак стали государственные учреждения (15%), ИТ-компании (9%) и промышленность (8%).

Ключевым методом атак на компании стало использование ВПО: доля таких случаев среди успешных кибератак составила 68%. В числе наиболее распространенных типов зловредов — шифровальщики (43%), ПО для удаленного управления (32%) и шпионские программы (21%). Число кибератак с использованием шпионских программ и шифровальщиков сократилось относительно IV квартала на 4 п.п. и 11 п.п. соответственно. При этом аналитики отмечают, что за первые три месяца 2024 года количество атак с применением ВПО для удаленного управления увеличилось на 10 п.п. по сравнению с предыдущим кварталом.

Более чем в половине атак злоумышленники распространяли зловреды через электронную почту. Так, экспертный центр безопасности Positive Technologies (PT Expert Security Center) обнаружил серию атак кибергруппировки Lazy Koala, жертвами которой стали организации из России и стран СНГ. Злоумышленники с помощью фишинговых писем убеждали получателей открыть вложения и запустить файлы в браузере. В результате на устройства попадало вредоносное ПО, с помощью которого киберпреступники крали учетные записи сотрудников. 

Кибератаки чаще всего приводили к утечкам конфиденциальной информации (54%) и нарушению основной деятельности организаций (33%). В атаках, направленных на получение данных, злоумышленники в большинстве случаев стремились завладеть персональной информацией (37%), коммерческой тайной (22%) и учетными записями (17%). Например, в январе исследователи обнаружили крупнейшую базу данных, которая содержит 26 млрд записей, принадлежащих пользователям популярных российских и зарубежных социальных сетей, а также сервисов, таких как Adobe, Dropbox и Canva. 

Эксперты отмечают, что в условиях растущего числа утечек информации и неспособности существующих на рынке средств защиты обеспечить результативную кибербезопасность назревает потребность в решениях класса data security platform (DSP). Такие системы позволяют управлять различными типами данных независимо от их структурированности и местонахождения. Вместе с тем для защиты инфраструктуры специалисты советуют применять межсетевые экраны уровня приложений (PT Application Firewall или его облачную версию PT Cloud Application Firewall), а также песочницы, например PT Sandbox: первые снизят риск проникновения во внутренний периметр компаний, а вторые позволят своевременно обнаружить вредоносное ПО. Для точного определения действий атакующих внутри сети на ранних этапах атаки, проведения ретроспективного анализа и расследования инцидентов, рекомендуется использовать систему поведенческого анализа трафика, например, PT NAD. Для повышения защищенности инфраструктуры эксперты рекомендуют использовать системы управления уязвимостями, например MaxPatrol VM, а также запускать программы багбаунти — например, на платформе Standoff Bug Bounty. Продукты для защиты контейнерных сред, такие как PT Container Security помогут выявить и предотвратить атаки на системы компании, запущенные в контейнерах. Кроме того, даже если в компании защищены почтовые серверы, рекомендуется использовать сервисы по анализу результативности настроенной защиты, такие как PT Knockin.