Компания Innostage провела исследование киберугроз, с которыми столкнулись российские компании в 2023 году. Специалисты компании представили аналитику по DDoS‑атакам, утечкам персональных данных по всей России и анализ российских компаний инструментами киберразведки по открытым данным (OSINT), рассказали информационной службе Хабра в пресс‑службе ИБ‑компании.
Согласно исследованию, хакеры продолжать фокусироваться на среднем и малом бизнесе. В 2023 году 43% утечек произошло у среднего бизнеса, 38% — у малого, 19% — у крупного.
Количество атак на отечественных разработчиков ПО и их партнёров в 2023 году выросло в 1,5 раза. Тренд атак на крупные и защищённые компаний через цепочки поставок ПО, услуги и сервисы подрядных организаций был популярен в 2023 году.
Ключевой площадкой для публикации фрагментов украденных данных и сообщений о реализованных инцидентах и основным средством коммуникации хакеров в 2023 году был и остаётся Telegram.
В 2023 году для привлечения внимания и саморекламы хактивисты публиковали сообщения об утечках в открытых источниках перед государственными праздниками и важными государственными датами. Сами взломы проводились за одну‑две недели до момента публичного оповещения о кибератаках.
По данным исследования, в 2023 году сократились случаи размещения полных файлов утечек в общедоступных источниках. В озвученном году украденные сведения публиковали частями для затруднения оценки ущерба и количества скомпрометированных ресурсов.
Аналитики группы OSINT Innostage проанализировали 2 тысячи инцидентов и классифицировали их по нескольким видам. 45% проанализированных инцидентов связано с утечкой конфиденциальных данных, упоминания которых были обнаружены на публичных форумах и репозиториях. В случае 2% инцидентов специалисты группы OSINT обнаружили данные компаний в «глубоком интернете» (DeepWeb), доступ к которому можно получить только при помощи особых программ, сохраняющих анонимность пользователя и шифрующих трафик.
27% инцидентов связаны с фишинговыми доменами, фактами выявления страниц, содержимое или доменное имя которых имитирует домены атакуемой компании, а 24% инцидентов — это не инциденты, а подозрения на них, связанные с уязвимостями и ошибками на внешнем сетевом периметре. Кроме ошибок администраторов, вредоносной активности и компрометации сервисов в выборке присутствуют условно легитимные изменения, направленые на подтверждение со стороны заказчика. Среди других видов выявленных инцидентов были публикации сведений о трендовых угрозах и ZeroDay, подмена страниц сайтов (дефейс), раскрытие данных об инфраструктуре.
В рамках исследования было выявлено в России 4,1 тысячи доменов и 23,8 тысячи уникальных IP, подвергшихся единичным или серийным DDoS‑атакам. В опубликованных персональных данных найдено 45 млн уникальных почтовых адресов. За 2023 год количество записей в утечках выросло на 14%.
