Positive Technologies
Новости

Результаты расследований Positive Technologies: каждая вторая атака привела к нарушению бизнес-процессов

В 39% случаев эксперты обнаружили следы активности 17 известных APT-группировок

Специалисты отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT ESC IR) представили на SOC Forum статистику по итогам проектов по расследованию киберинцидентов и ретроспективному анализу по итогам года. Чаще всего за последний квартал 2023 года и прошедшие три квартала 2024 года к PT ESC IR обращались промышленные предприятия, госучреждения и IT-компании. Основными причинами успешности кибератак стали устаревшее ПО, используемое в организациях, а также отсутствие двухфакторной аутентификации и недостаточная сегментация корпоративной сети.

В 39% компаний эксперты выявили следы присутствия 17 известных APT-группировок, идентифицируемых на основании используемых инструментов и ВПО, сетевой инфраструктуры, а также хакерских тактик и техник. Как правило, APT-группировки используют уникальное ВПО для удаленного доступа в инфраструктуру, сбора и кражи данных. Большая часть выявленных группировок имеет высокую квалификацию и способна быстро достигать поставленных целей.

Среди всех группировок, обнаруженных за период исследования, команда PT ESC выделила три: Hellhounds — как одну из самых продвинутых с точки зрения техник, ExCobalt — как самую активную, а XDSpy — как наиболее долгоживущую группу (она атакует компании в России с 2011 года).

«Количество атак через подрядчиков за год увеличилось до 15%; среди этих подрядчиков многие предоставляют услуги десяткам клиентов. Несмотря на то, что доля таких атак пока небольшая, реальный и потенциальный ущерб от взлома доверенных, но незащищенных партнеров приобретает лавинообразный характер. Если говорить о способах получения первоначального доступа, самым распространенным остается эксплуатация уязвимостей в веб-приложениях. За последний год на первое место вышли сайты под управлением CMS...

Денис Гойденко
Денис ГойденкоРуководитель отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies

В 35% компаний были выявлены инциденты, которые относятся к категории Cybercrime. В эту категорию объединены атаки, направленные преимущественно на совершение деструктивных действий (шифрование, уничтожение). В таких атаках, как правило, применяются шифровальщики, легитимное ПО для шифрования информации и вайперы для удаления данных. Эти программы злоумышленники также могут использовать для уничтожения своих следов, чтобы максимально усложнить расследование инцидента.

«По сравнению с 2021–2023 годами доля проектов, в которых инцидент нарушил внутренние бизнес-процессы, выросла с 32% до 50%. Мы предполагаем, что это связано с увеличением интенсивности атак со стороны хактивистов и финансово мотивированных злоумышленников. В 19% проектов были обнаружены следы разведывательной активности и шпионажа, за которыми, как правило, стоят APT-группировки. В 12% случаев злоумышленники пытались выгрузить конфиденциальную информацию, не желая при этом надолго оставаться ...

Яна Авезова
Яна АвезоваСтарший аналитик исследовательской группы Positive Technologies

Эксперты отмечают существенный рост востребованности отечественными компаниями работ по расследованию инцидентов. За последние два года их количество увеличилось в три раза. Команда PT ESC IR справляется с таким потоком с помощью автоматизации сбора и анализа информации, используя собственный инструмент — PT Dumper, который хорошо зарекомендовал себя на практике.

В целях предотвращения кибератак специалисты рекомендуют соблюдать актуальные общепринятые практики кибербезопасности и использовать современные средства защиты, такие как решения для мониторинга событий ИБ и выявления инцидентов (MaxPatrol SIEM), системы поведенческого анализа сетевого трафика (PT NAD), межсетевые экраны для глубокой фильтрации трафика (PT NGFW), средства защиты веб-приложений (PT Application Firewall), передовые песочницы для обнаружения сложного и неизвестного ВПО (PT Sandbox), а также системы защиты конечных точек от сложных и целевых атак (MaxPatrol EDR).

Может быть интересно: