О чем статья
Рассказываем, как за два года изменился характер атак на российские организации, что приводит к росту количества уязвимостей в отечественном ПО и чего не хватает компаниям для повышения уровня защищенности.
В 2022 г. российские компании столкнулись с волной кибератак: ухудшение геополитической ситуации повлияло на ландшафт киберугроз всей страны. В 2023 г. количество инцидентов уменьшилось, однако затем снова начало расти. За первые три квартала 2024 г. число успешных атак на российские организации практически сравнялось с показателями за весь 2022 г. (см. рис. 1).
За два года заметно выросло число целевых атак на объекты КИИ. Яркий пример — атаки группировки Core Werewolf на организации ВПК. При этом злоумышленники все чаще прибегают к фишингу: рассылают письма с вредоносными вложениями, маскирующимися под приказы, резюме, методические указания и официальные документы регуляторов. Так, в конце 2023 г. PT ESC IR обнаружила письмо с фишингового домена fstec[.]support, направленное российской компании якобы от имени ФСТЭК. К нему письму прилагался самораспаковывающийся архив с клиентом ПО для удаленного доступа UltraVNC
Отметим, что в 2024 г. практически в каждой четвертой (23%) успешной атаке хакеры эксплуатировали уязвимости сервисов на внешнем периметре. Результаты проектов по расследованию инцидентов и ретроспективному анализу 2023–2024 гг. подтверждают, что самой частой (44%) точкой входа в инфраструктуру были именно уязвимые веб-приложения (еще в 13% случаев злоумышленники использовали другие внешние сервисы: VPN, RDP и SSH). При этом проблема может усугубиться: пентесты 2023 г. показали, что в 81% случаев компании уязвимы к технике Exploit Public-Facing Application, которую можно использовать для получения первичного доступа.
Результаты нашего исследования показали, что 80% российских организаций укрепляют ИТ-инфраструктуру выборочно и не подходят к подобным проектам системно
Уязвимости в российских приложениях
В 2024 г. эксперты PT SWARM обнаружили в российском ПО почти в три раза больше уязвимостей, чем в 2023-м. 20% из них критически опасны и могут привести к реализации недопустимых событий (см. рис. 2).
Мы ожидаем, что на фоне активного импортозамещения количество уязвимостей в отечественных продуктах продолжит расти
Киберпреступники активно адаптируются к изменениям ИТ-ландшафта российских организаций. Так, в 2024 г. злоумышленники эксплуатировали уязвимости «1С-Битрикс» в 33% атак на веб-приложения (об одном из таких кейсов команда PT ESC рассказала в своем Telegram-канале), а в 2021–2023 годах эта доля составляла всего 13%.
Опасение вызывает и наличие в организациях shadow IT. Подобные активы не получают регулярных обновлений безопасности и могут содержать незакрытые уязвимости. В 70% пентестов 2023 г. мы обнаружили критически опасные уязвимости, связанные с устаревшим ПО. Кроме того, в рамках исследования сетевого трафика российских компаний мы выявили, что в ТОП-10 самых часто эксплуатируемых уязвимостей входят старые CVE 2017 и 2022 г.
Атаки с использованием шпионского ПО
В 2024 г. применение ВПО оставалось одним из главных методов атак на российские организации. Но в отличие от общемировой тенденции на использование шифровальщиков, в атаках на отечественные организации чаще применяется шпионское ПО и инструменты для удаленного управления. На фоне геополитических конфликтов доля использования шпионского ПО в России выросла с 10% в 2022 г. до 49% в 2024 г.
Большей части ВПО, которое использовалось в атаках на российские компании в 2024 г., необходимо связываться с командным сервером управления. Это нужно для контроля атаки, загрузки новых модулей и передачи похищенных данных. Большая часть APT-группировок, атакующих страны СНГ, применяют для C&C-коммуникаций технику Application Layer Protocol. Во внешней сети APT-группировки используют разные ресурсы для управления ВПО и связи с ним:
- Space Pirates применяет классические C2-серверы;
- Lazy Coala использует ВПО с эксфильтрацией данных через Telegram-ботов;
- APT 31 направляет инструкции своему ВПО через облачное хранилище Dropbox.
Практически в каждой третьей атаке на российские организации в 2024 г. злоумышленники использовали трояны для удаленного управления. RAT дает хакерам возможность долго вести разведку, собирать данные и контролировать действия пользователей. Так, эксперты PT Expert Security Center зафиксировали фишинговые рассылки с трояном XWorm, нацеленные на российские промышленные предприятия, банки, сферу здравоохранения и разработчиков ПО
Последствия
Практически каждая вторая успешная атака (45%) на российские организации в 2024 г. привела к утечке конфиденциальной информации. Данные российских компаний пользуются спросом на теневом рынке: в первом полугодии 2024 г. по количеству объявлений на форумах лидировала Россия с долей в 10%, за ней в порядке убывания следовали США, Индия, Китай и Индонезия. При этом, несмотря на снижение общего числа утечек, есть тенденция к росту их объема.
- В первой половине 2024 г. в результате фишинговой атаки на SoftMall были раскрыты данные ИБ-аудита нескольких крупных контрагентов.
- Жертвой утечки дважды стал интернет-магазин «Магнолия». Злоумышленники получили доступ к личным данным 253 тыс. клиентов: ФИО, адресам, номерам телефонов, хешированным паролям и др.
- В октябре 2024 г. в открытом доступе оказалась база клиентов «Бургер Кинга», насчитывающая более пяти с половиной миллионов записей.
С 2022 г. практически каждая третья успешная атака в России приводит к нарушению основной деятельности организации. К примеру, из-за кибератаки на Национальную систему платежных карт несколько часов наблюдались сбои в оплате по СБП. А в мае 2024 г. вымогатели вызвали сбой в работе СДЭК: приложение и сайт «упали», невозможно было принимать и выдавать отправления.
Несанкционированное раскрытие важных для организации, ее клиентов или контрагентов сведений может являться одним из недопустимых событий (НС) и, как правило, ведет к реализации других НС.
