Positive Technologies: главная угроза в госсекторе — шифровальщики, однако их популярность падает

Эксперты Positive Technologies, лидера в области результативной кибербезопасности, проанализировали ландшафт киберугроз в государственном секторе. Исследование¹, охватившее период с 2022 года по первую половину 2024-го, было представлено на Восточном экономическом форуме. По данным отчета, шифровальщики остаются самым распространенным типом ВПО, применяемого в атаках. Вместе с тем специалисты отмечают положительный тренд на снижение их популярности в госсекторе: в первые шесть месяцев этого года доля успешных инцидентов с использованием вымогателей уменьшилась на 4% относительно общего показателя за 2023 год и на 14% по сравнению с 2022-м.

Госучреждения, которые, как правило, не соглашаются выкупать украденные данные, все равно находятся под ударом, предупреждают в Positive Technologies. Злоумышленники атакуют их не столько ради финансовой выгоды, сколько с целью нарушить работу государственных систем, украсть или уничтожить конфиденциальные данные. Кроме того, эксперты связывают такой выбор жертв с большим количеством сотрудников, которые активно используют электронную почту и другие средства коммуникации в работе: возникает множество точек входа в инфраструктуру ведомств.

Самое частое последствие успешных атак — нарушение основной деятельности организации (48% инцидентов), на втором месте — утечка конфиденциальной информации (41%). Аналитики компании фиксируют также непрерывный рост этого показателя: в 2022 году утечки составляли 37%, в 2023-м — 41%, а в первом полугодии 2024-го — уже 48%.

Главные мишени для проникновения в сеть госструктур — компьютеры, серверы и сетевое оборудование: по оценке Positive Technologies, на них было направлено 80% успешных атак. Почти в половине инцидентов (47%), рассмотренных в исследовании, злоумышленники применяли социальную инженерию и полагались на человеческий фактор, чтобы ввести жертв в заблуждение. Помимо этого, в каждой второй успешной атаке (56%) применялись вредоносные программы. Эксперты подчеркивают, что популярность этого метода неуклонно растет: 48% инцидентов — в 2022 году, 57% случаев — в 2023-м и 68% — в первой половине 2024-го. Прежде всего, эта динамика обусловлена простотой и эффективностью применения ВПО. Кроме того, существует активный теневой рынок, где можно арендовать или купить готовое ВПО, а также заказать его индивидуальную разработку.

Государственный сектор — самый атакуемый APT-группировками. В целенаправленных атаках преобладает вредоносное ПО (83% инцидентов), преимущественно трояны удаленного доступа (65% случаев) и шпионские программы (35% случаев). Также злоумышленники покупают или обменивают учетные данные для доступа к скомпрометированным устройствам в дарквебе. Анализ теневых площадок показал, что в каждом шестом объявлении предлагается доступ к инфраструктуре скомпрометированных госорганизаций. Стоимость может варьироваться от 20 до нескольких тысяч долларов за доступы с высокими привилегиями. При этом в трети случаев цена не указывалась: это означает, что стороны договаривались о ней в частном порядке. Эффективно противодействовать сложным киберугрозам компаниям позволит автопилот в сфере результативной кибербезопасности MaxPatrol O2. Метапродукт, на счету которого успешное обнаружение атак организованных хакерских группировок мирового уровня, уже используется несколькими госведомствами.

По мнению экспертов Positive Technologies, важность построения результативной кибербезопасности в госсекторе диктуется опасными последствиями кибератак: нападение на одно ведомство может повлиять не только на него, но и на другие структуры, на все государство и его граждан. Например, кража персональных данных пользователей в результате атаки на одно госучреждение может повлечь за собой незаконный доступ как к государственным ресурсам других организаций, так и к коммерческим сервисам.

Помимо России, в отчете выделены другие регионы с высокой активностью атак на сектор госуправления. Наибольший интерес для злоумышленников представляют страны Азии (33%), Африки (12%) и Северной Америки (12%). В частности, госучреждения Азии привлекательны по ряду причин. В последние годы азиатские страны стали лидерами в области технологических инноваций. Цифровая трансформация затронула и госсферу, однако ее кибербезопасность еще не обеспечивается на должном уровне. Кроме того, в киберпространстве отражается и межгосударственная экономическая конкуренция: именно она оказывается предпосылкой тщательно спланированных целенаправленных атак на госструктуры. Так, почти половина всех успешных кибернападений (48%) за изученный период были целевыми, и чаще всего они приводили к утечкам данных (62% случаев). Атаки проводят как высококвалифицированные APT-группы, так и хактивисты. Главным образом им удается похищать персональные данные (33%) и коммерческую тайну (30%).

1. При исследовании теневого рынка было проанализировано 213 источников, среди которых телеграм-каналы и форумы в дарквебе с общим количеством пользователей более 38 млн и общим числом сообщений более 155 млн. В выборку попали крупнейшие площадки на разных языках с разнообразной тематической направленностью. Для анализа рынка доступов были рассмотрены объявления, опубликованные в 2023–2024 годах.