По данным центра исследования киберугроз Solar 4RAYS ГК «Солар», в первом полугодии 2024 года большинство успешных кибератак на российские компании было осуществлено профессиональными хакерами: кибернаемниками и различными группировками.
Для первичного проникновения в инфраструктуру жертв злоумышленники чаще всего используют скомпрометированные учетные записи сотрудников компаний и уязвимости в корпоративных веб-приложениях.
В первом полугодии 2024 года доля атак, осуществленных кибернаемниками, выросла до 44%, тогда как в 2023 году она составляла всего 10%. Заказчиками этих атак часто выступают иностранные государственные структуры.
Эксперты Solar 4RAYS отмечают, что инструментарий злоумышленников становится все более сложным и разнообразным. В первом полугодии 2024 года было зафиксировано использование 122 различных техник атаки, тогда как в 2023 году — всего 92.
«Инструментарий злоумышленников становится сложнее и разнообразнее. <…> Это еще раз доказывает, что основная цель злоумышленников — длительное скрытное нахождение в инфраструктуре и шпионаж. В таких условиях организациям надо принять тот факт, что количество сложных целевых кибератак будет только увеличиваться, а, значит, базовых средств защиты информации уже давно недостаточно. В частности, необходим регулярный патч-менеджмент, изучение ИБ-специалистами актуального киберландшафта, обучение сотрудников навыкам ИБ, регулярный аудит инфраструктуры и ее подключение к ИБ-мониторингу, внедрение решений EDR для защиты рабочих станций и NTA для анализа сетевого трафика. А оперативный Incident Response (реагирование на инциденты) при первых подозрениях на атаку позволит пресечь деятельность хакеров на начальной стадии»
Геннадий Сазонов, инженер группы расследования инцидентов Solar 4RAYS ГК «Солар»
Основной целью большинства атак является кибершпионаж. После сбора необходимой информации некоторые хакеры уничтожают инфраструктуру компании, например, с помощью шифрования данных. В большинстве случаев злоумышленники находились в инфраструктуре жертвы не более недели, однако были зафиксированы и атаки, связанные с длительным пребыванием в сети — более двух лет.