Light mode

Ландшафт киберугроз: как за два года изменились атаки на российские компании

  • #Атаки

О чем статья

Рассказываем, как за два года изменился характер атак на российские организации, что приводит к росту количества уязвимостей в отечественном ПО и чего не хватает компаниям для повышения уровня защищенности. 

В 2022 г. российские компании столкнулись с волной кибератак: ухудшение геополитической ситуации повлияло на ландшафт киберугроз всей страны. В 2023 г. количество инцидентов уменьшилось, однако затем снова начало расти. За первые три квартала 2024 г. число успешных атак на российские организации практически сравнялось с показателями за весь 2022 г. (см. рис. 1).

Рисунок 1. Число успешных кибератак в 2022–2024 гг..svg
Рисунок 1. Число успешных кибератак в 2022–2024 гг. 

За два года заметно выросло число целевых атак на объекты КИИ. Яркий пример — атаки группировки Core Werewolf на организации ВПК. При этом злоумышленники все чаще прибегают к фишингу: рассылают письма с вредоносными вложениями, маскирующимися под приказы, резюме, методические указания и официальные документы регуляторов. Так, в конце 2023 г. PT ESC IR обнаружила письмо с фишингового домена fstec[.]support, направленное российской компании якобы от имени ФСТЭК. К нему письму прилагался самораспаковывающийся архив с клиентом ПО для удаленного доступа UltraVNC

Отметим, что в 2024 г. практически в каждой четвертой (23%) успешной атаке хакеры эксплуатировали уязвимости сервисов на внешнем периметре. Результаты проектов по расследованию инцидентов и ретроспективному анализу 2023–2024 гг. подтверждают, что самой частой (44%) точкой входа в инфраструктуру были именно уязвимые веб-приложения (еще в 13% случаев злоумышленники использовали другие внешние сервисы: VPN, RDP и SSH). При этом проблема может усугубиться: пентесты 2023 г. показали, что в 81% случаев компании уязвимы к технике Exploit Public-Facing Application, которую можно использовать для получения первичного доступа.

Результаты нашего исследования показали, что 80% российских организаций укрепляют ИТ-инфраструктуру выборочно и не подходят к подобным проектам системно

Уязвимости в российских приложениях

В 2024 г. эксперты PT SWARM обнаружили в российском ПО почти в три раза больше уязвимостей, чем в 2023-м. 20% из них критически опасны и могут привести к реализации недопустимых событий (см. рис. 2). 

Рисунок 2. Уровень опасности уязвимостей в российском ПО

Мы ожидаем, что на фоне активного импортозамещения количество уязвимостей в отечественных продуктах продолжит расти

Киберпреступники активно адаптируются к изменениям ИТ-ландшафта российских организаций. Так, в 2024 г. злоумышленники эксплуатировали уязвимости «1С-Битрикс» в 33% атак на веб-приложения (об одном из таких кейсов команда PT ESC рассказала в своем Telegram-канале), а в 2021–2023 годах эта доля составляла всего 13%.

Опасение вызывает и наличие в организациях shadow IT. Подобные активы не получают регулярных обновлений безопасности и могут содержать незакрытые уязвимости. В 70% пентестов 2023 г. мы обнаружили критически опасные уязвимости, связанные с устаревшим ПО. Кроме того, в рамках исследования сетевого трафика российских компаний мы выявили, что в ТОП-10 самых часто эксплуатируемых уязвимостей входят старые CVE 2017 и 2022 г.

Атаки с использованием шпионского ПО

В 2024 г. применение ВПО оставалось одним из главных методов атак на российские организации. Но в отличие от общемировой тенденции на использование шифровальщиков, в атаках на отечественные организации чаще применяется шпионское ПО и инструменты для удаленного управления. На фоне геополитических конфликтов доля использования шпионского ПО в России выросла с 10% в 2022 г. до 49% в 2024 г. 

Рисунок 4. Типы ВПО в атаках на российские компании и в мире в 2024 г..svg
Рисунок 3. Типы ВПО в атаках на российские компании и в мире в 2024 г.
Рисунок 4. Популярные семейства ВПО, обнаруженные с помощью PT Sandbox в рамках нашего исследования

Большей части ВПО, которое использовалось в атаках на российские компании в 2024 г., необходимо связываться с командным сервером управления. Это нужно для контроля атаки, загрузки новых модулей и передачи похищенных данных. Большая часть APT-группировок, атакующих страны СНГ, применяют для C&C-коммуникаций технику Application Layer Protocol. Во внешней сети APT-группировки используют разные ресурсы для управления ВПО и связи с ним: 

  • Space Pirates применяет классические C2-серверы;
  • Lazy Coala использует ВПО с эксфильтрацией данных через Telegram-ботов;
  • APT 31 направляет инструкции своему ВПО через облачное хранилище Dropbox.

Практически в каждой третьей атаке на российские организации в 2024 г. злоумышленники использовали трояны для удаленного управления. RAT дает хакерам возможность долго вести разведку, собирать данные и контролировать действия пользователей. Так, эксперты PT Expert Security Center зафиксировали фишинговые рассылки с трояном XWorm, нацеленные на российские промышленные предприятия, банки, сферу здравоохранения и разработчиков ПО

Последствия 

Практически каждая вторая успешная атака (45%) на российские организации в 2024 г. привела к утечке конфиденциальной информации. Данные российских компаний пользуются спросом на теневом рынке: в первом полугодии 2024 г. по количеству объявлений на форумах лидировала Россия с долей в 10%, за ней в порядке убывания следовали США, Индия, Китай и Индонезия. При этом, несмотря на снижение общего числа утечек, есть тенденция к росту их объема. 

Рисунок 5. Последствия атак на российские организации (Q1–Q3 2024 г.)
  • В первой половине 2024 г. в результате фишинговой атаки на SoftMall были раскрыты данные ИБ-аудита нескольких крупных контрагентов.
  • Жертвой утечки дважды стал интернет-магазин «Магнолия». Злоумышленники получили доступ к личным данным 253 тыс. клиентов: ФИО, адресам, номерам телефонов, хешированным паролям и др.
  • В октябре 2024 г. в открытом доступе оказалась база клиентов «Бургер Кинга», насчитывающая более пяти с половиной миллионов записей.
Рисунок 6. Методы атак, последствием которых стали утечки данных (Q1–Q3 2024 г.)

С 2022 г. практически каждая третья успешная атака в России приводит к нарушению основной деятельности организации. К примеру, из-за кибератаки на Национальную систему платежных карт несколько часов наблюдались сбои в оплате по СБП. А в мае 2024 г. вымогатели вызвали сбой в работе СДЭК: приложение и сайт «упали», невозможно было принимать и выдавать отправления. 

Рисунок 7. Динамика доли утечек информации и нарушения основной деятельности в результате успешных кибератак на российские организации

Несанкционированное раскрытие важных для организации, ее клиентов или контрагентов сведений может являться одним из недопустимых событий (НС) и, как правило, ведет к реализации других НС. 

Мы дěлаем Positive Research → для ИБ-экспертов, бизнеса и всех, кто интересуется ✽ {кибербезопасностью}