В минувшем году российские компании столкнулись с трехкратным увеличением кибератак, начавшихся с компрометации учетных данных сотрудников. К такому выводу пришли эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар», архитектора комплексной кибербезопасности.
Согласно отчету, основанному на данных более 60 расследований инцидентов, 37% успешных кибератак в 2024 году начались с использования украденных учетных данных. В 2023 году этот показатель составлял 19%. Как сообщается, в 2023 году в открытый доступ попали данные почти 400 российских организаций, включая множество паролей.
Эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар» Геннадий Сазонов отметил, что в 2023 году злоумышленники активно использовали техники Valid Accounts (легитимные скомпрометированные учетные записи) и External Remote Services (внешние удаленные сервисы). По его словам, это подразумевает использование легитимных учетных данных для доступа к инфраструктуре жертв.
В качестве примеров Сазонов привел брутфорс учетной записи FTP-сервера с последующей загрузкой вредоносного ПО и подключение по RDP (удаленный доступ) с использованием привилегированной учетной записи для сканирования сети и похищения учетных данных. В последнем случае хакеры зашифровали часть инфраструктуры и потребовали выкуп.
На фоне роста компрометации аккаунтов другие способы проникновения в инфраструктуру сократились. Доля атак, начавшихся с уязвимостей веб-приложений, снизилась с 56% до 46%, а доля фишинговых атак — с 19% до 11%. Неизменным остался процент атак через подрядчиков — 6%.
Основной целью злоумышленников остается кибершпионаж (58% инцидентов). Доля атак с целью хактивизма и хулиганства сократилась с 35% до 10%, уступив второе место атакам с финансовой мотивацией.
Подавляющее большинство атак в 2024 году было реализовано проукраинскими АРТ-группировками, которые часто использовали вирусы-шифровальщики для уничтожения данных. Также сохраняют активность азиатские группировки, отличающиеся длительным скрытным пребыванием в инфраструктуре.
Геннадий Сазонов подчеркнул необходимость пересмотра подходов к информационной безопасности в связи с ростом числа сложных целевых кибератак. Он рекомендовал компаниям регулярно проводить патч-менеджмент, обучать сотрудников навыкам ИБ, проводить аудит инфраструктуры и подключать ее к ИБ-мониторингу, а также внедрять решения EDR и NTA.