Использование утекших данных стало основной тактикой при взломе компаний

Компания RED Security провела исследование тактик взлома компаний, наиболее часто использовавшихся злоумышленниками с начала года. Результаты исследования показали, что для получения первоначального доступа в инфраструктуру хакеры чаще всего использовали утекшие данные корпоративных учетных записей, в большинстве случаев принадлежащие рядовым сотрудникам организаций. Применение этого вектора атаки встречалось в 35% процентов случаев – на 12 п.п, чаще, чем за аналогичный период прошлого года. Это свидетельствует о том, что базы скомпрометированных корпоративных учетных записей, широко доступные в даркнете, содержат достаточный объем информации для атак на крупнейшие российские компании, чем стали активнее пользоваться атакующие.

Аналитики отмечают, что популярность данной техники связана с и ее эффективностью. Так, в большинстве российских организаций процессы управления учетными записями недостаточно развиты или вовсе отсутствуют, вследствие чего недействительные учетные записи не всегда оперативно блокируются. Это приводит к тому, что даже устаревшие данные, оказавшиеся в базах утечек, могут дать злоумышленнику первичный доступ в инфраструктуру организации.

Фишинг занял второе место по популярности (30%), тогда как на протяжении предыдущих нескольких он оставался доминирующей техникой, используемой для первичного проникновения. Чаще всего хакеры прибегали к методу вредоносных вложений к рассылкам. Исследователи также отмечают, что фишинг становится более качественным и таргетированным, что достигается с помощью искусственного интеллекта. По данным RED Security SOC, объем фишинговых писем с признаками применения ИИ вырос на 53% по сравнению с аналогичным периодом прошлого года.  

На третьем месте по популярности (20%) оказалась техника – эксплуатация уязвимостей и некорректных конфигураций в доступных из интернета приложениях и конечных точках сети. Это связано с тем, что, по оценке экспертов RED Security, процесс аудита защищенности ИТ-периметра и устранения уязвимостей реализован только в 40% крупных компаний. Из них только 32% проводят его чаще, чем раз в год.

"Для защиты от самых распространенных техник первоначального проникновения злоумышленников в инфраструктуру мы рекомендуем использовать многофакторную аутентификацию, уделять внимание процессам повышения киберграмотности персонала и применять принцип Zero Trust – предоставлять наименьшие необходимые права рабочим станциям сотрудников. Кроме того, почтовые шлюзы с модулями «песочницы» или безопасные прокси для доступа в интернет, а также расширенное покрытие мониторингом рабочих станций и серверов на ИТ-периметре позволит своевременно выявить атаку и остановить злоумышленников", - прокомментировал Владимир Зуев, технический руководитель центра мониторинга и реагирования на кибератаки RED Security SOC компании RED Security.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!