Компания Positive Technologies (PT) рассказала о результатах расследований киберинцидентов в 2022 году. По их утверждениям, больше половины атак было совершено квалифицированными злоумышленниками. Кроме того, 20% атак составляли атаки типа supply chain и trusted relationship.
В 2022 году сотрудники экспертного центра безопасности PT провели более 50 расследований. Пик инцидентов пришёлся на апрель. Эксперты отмечают результативность действий злоумышленников на прежнем уровне. Также они говорят, что количество инцидентов росло пропорционально количеству атак.
Алексей Новиков
Директор экспертного центра безопасности Positive Technologies
«Уровень подготовки злоумышленников по степени сложности зафиксированных нами атак самый разный: от школьников до проправительственных APT-группировок. Больше половины атак было совершено квалифицированными злоумышленниками, а 20% случаев составили атаки типа supply chain и trusted relationship, которые сложно расследовать. Мы наблюдаем интересную тенденцию: злоумышленники не изобретают новые способы атак, но тем не менее число инцидентов с применением уже известных методов продолжает расти».
Positive Technologies считает, что за большинством атак, совершенных на российские предприятия в 2022 году, стояли политически мотивированные злоумышленники или, как ещё их называют, хактивисты. Причём в расследованиях встречались как хакеры-одиночки, так и спонтанно организованные группы, состоявшие из разрозненных энтузиастов. Таким для атаки достаточно было иметь ноутбук с подключённым интернетом.
Помимо хактивистов в прошлом году продолжили активность профессиональные APT-группировки, в том числе APT31, Cloud Atlas и Space Pirates. По итогам расследований PT отраслевые интересы группировок, атаковавших российские организации, распределились между государственными предприятиями (30% случаев), IT-компаниями (16%), финансовым, энергетическим и промышленным сектором (по 10% случаев на каждый).
Как заявил директор экспертного центра безопасности PT Алексей Новиков, ранее новые высококвалифицированные преступные объединения возникали достаточно редко, поэтому эксперты быстро атрибутировали ту или иную атаку к уже знакомым APT-группировкам по инструментам, тактикам и техникам, применяемым при нападении. В прошлом году было обнаружено большое количество ранее неизвестных кибергрупп. Любопытно, что некоторые из них деанонимизировали себя в социальных сетях, раскрывая свою причастность к совершенным атакам.
Чаще всего целями атак таких группировок становились хищение и публикации данных в интернет ради нанесения репутационного ущерба жертвам. Большая часть этих групп не преследовала выгоды, взломы они совершали только ради ажиотажа.
В числе уязвимостей, наиболее активно использовавшихся для проникновения в инфраструктуру компаний, эксперты PT отметили бреши в серверах Microsoft Exchange, Log4Shell, ProxyNotShell и ProxyShell. В новых техниках киберпреступников появились атаки через свободно распространяемое ПО.
По данным специалистов экспертного центра PT, в атаках с применением вредоносного ПО самыми эффективными были инфостилеры, шифровальщики и вайперы. Вредоносы позволяли злоумышленникам быстро получить доступ в инфраструктуру жертвы, не тратя время на поиск уязвимостей нулевого дня, и похитить данные.
Прогноз на 2023 год от экспертов ИБ-компании такой: стоит ожидать развития хактивизма в отношении российских организаций, включая известные кибергруппировки. Также не исключается создание новых APT-групп, как и появление новых уязвимостей нулевого дня, а также активизация так называемых «спящих» инцидентов. Когда взлом был, и, возможно, его уже обнаружили и закрыли брешь, но информация была украдена, а также оставлен бэкдор. Эксперты предполагают увеличение количества атак на поставщиков решений для аутентификации и рост теневого рынка киберуслуг в мессенджерах.
