40% инцидентов связаны с деятельностью известных APT-группировок

«Атрибуция злоумышленников, ответственных за кибератаку, — это сложный процесс, который не всегда завершается успешно, — комментирует Денис Гойденко, руководитель отдела реагирования на угрозы ИБ PT ESC. — За последние три года наши эксперты выявили инциденты с участием 15 APT-группировок, известных и идентифицируемых на основании используемого инструментария, сетевой инфраструктуры и TTP. Как правило, APT-группировки используют уникальное ВПО, которое отвечает за обеспечение доступа злоумышленников в инфраструктуру компании после осуществления первичной компрометации. Тем не менее как APT-группами, так и более низкоквалифицированными злоумышленниками используется вспомогательное ПО, в подавляющем большинстве случаев публично доступное в интернете».

Чаще всего атакам APT-группировок подвергались государственные учреждения (33%) и промышленный сектор (28%). Третье место разделили финансовые организации (7%), СМИ (7%) и IT-компании (7%).

В 25% выполненных проектов по ретроспективному анализу инфраструктур компаний были выявлены следы деятельности APT-группировок, зачастую находившихся в инфраструктурах компаний-жертв (от полугода до года) на момент анализа и не выдававших своего присутствия. По данным исследования, среднее время с момента компрометации инфраструктуры злоумышленниками и до их остановки (или локализации) составило 45 дней, самое долгое их активное пребывание в сети составило пять лет.

В результате всех выявленных инцидентов пострадавшие компании чаще всего сталкивались с нарушениями внутренних бизнес-процессов (32%), с кибершпионажем — достаточно длительным пребыванием злоумышленников в инфраструктуре жертвы, как правило, с конечной целью непрерывной выгрузки конфиденциальной информации (32%), а также с непосредственно выгрузкой конфиденциальной информации (29%). Тренд с выгрузкой конфиденциальных сведений компании-жертвы перед запуском ВПО эксперты фиксируют с 2020 года. Такой шаг позволяет преступникам запрашивать выкуп как за восстановление доступа к инфраструктуре, так и за неразглашение украденных сведений.

В качестве исходного вектора проникновения злоумышленники чаще всего (63%) эксплуатировали уязвимости в используемых жертвой и публично доступных веб-приложениях. В частности, среди таких веб-приложений стоит выделить почтовый сервер Microsoft Exchange (50% среди всех атак, в которых в качестве исходного вектора проникновения были уязвимые веб-приложения), веб-сервер Bitrix (13%) и продукты компании Atlassian (7%), например Confluence и Jira. На втором месте по частоте успешного использования — фишинговые письма.

В ходе проведенного исследования аналитики зафиксировали интересную тенденцию: злоумышленники не так часто изобретают новые способы атак, но тем не менее число инцидентов с применением уже известных уязвимостей продолжает расти. Это говорит о том, что компании как минимум не обновляют используемое ПО до последних версий и не производят аудит периметра инфраструктуры.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!