Среди продвинутых группировок наиболее активны хакеры из Азии – ГК «Солар» представила тренды киберугроз

18+

Топ-10 самых атакуемых отраслей в#nbsp;2023 году, всплеск кибератак со#nbsp;стороны азиатских хакеров и#nbsp;рост числа инцидентов с#nbsp;разрушительными последствиями для организаций РФ#nbsp;— эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» рассказали на#nbsp;SOC-Forum 2023 о#nbsp;главных трендах в#nbsp;ИБ и#nbsp;поделились прогнозами на#nbsp;следующий год. Также была запущена экспертная площадка для ИБ-специалистов, на#nbsp;которой будет публиковаться актуальная аналитика по#nbsp;крупнейшей в#nbsp;РФ базе знаний о#nbsp;киберугрозах, практические советы по#nbsp;защите и#nbsp;реагированию и#nbsp;другой полезный для отрасли контент.

APT-группировки: кибершпионы из#nbsp;азиатского региона

Наиболее серьезную киберугрозу для российских организаций представляют профессиональные APT-группировки (Advanced persistent threat, постоянная угроза повышенной сложности). Согласно аналитике центра исследования киберугроз Solar 4RAYS, в#nbsp;2022—2023#nbsp;гг. доля APT-атак составила 20% от#nbsp;всех расследуемых инцидентов. Опасность их#nbsp;заключается в#nbsp;том, что определить точки проникновения хакеров в#nbsp;инфраструктуру компании без специализированной экспертизы практически невозможно: злоумышленники либо слишком хорошо заметают следы, либо находятся в#nbsp;инфраструктуре уже настолько долго, что найти их#nbsp;не#nbsp;представляется возможным. Главная цель группировок данного типа#nbsp;— кибершпионаж и#nbsp;кража данных, а#nbsp;основными их#nbsp;жертвами являются телеком-отрасль и#nbsp;госсектор.

По#nbsp;данным телеметрии с#nbsp;крупнейшей в#nbsp;РФ сети сенсоров и#nbsp;ханипотов «Ростелекома», среди продвинутых группировок наиболее активными на#nbsp;территории#nbsp;РФ оказались хакеры из#nbsp;азиатского региона. В#nbsp;первую очередь это китайские группировки. Так, в#nbsp;сентябре 2023 года они запустили очередную кампанию с#nbsp;целью кибершпионажа#nbsp;— ежедневно вредоносным#nbsp;ПО заражалось от#nbsp;20 до#nbsp;40 систем российских организаций#nbsp;— и#nbsp;только спустя месяц злоумышленники были замечены вендорами средств защиты, после чего наметился спад их#nbsp;активности.

Также весьма активно действует на#nbsp;территории#nbsp;РФ северокорейская группировка Lazarus. За#nbsp;последние 2 года эксперты Solar 4RAYS расследовали несколько связанных с#nbsp;ней инцидентов. Среди жертв были, в#nbsp;частности, государственные органы власти. При этом анализ данных сенсоров показал, что на#nbsp;начало ноября хакеры Lazarus все еще имеют доступы к#nbsp;ряду российских систем.

Выявить за#nbsp;шквалом атак непосредственно украинские группировки довольно непросто, так как в#nbsp;их#nbsp;интересах действует огромное число политически мотивированных злоумышленников из#nbsp;разных регионов, отмечают эксперты. Тем не#nbsp;менее, в#nbsp;ряде случаев по#nbsp;косвенным признакам удавалось идентифицировать именно украинских хакеров. Например, они проводили вредоносные рассылки, используя дописанный ими открытый framework Pupy RAT, а#nbsp;недавно им#nbsp;удалось атаковать одного из#nbsp;телеком-операторов, что привело к#nbsp;разрушению части его инфраструктуры.

«Благодаря телеметрии с#nbsp;сети „Ростелекома“, а#nbsp;также с#nbsp;сервисов центра противодействия кибератакам Solar JSOC и#nbsp;платформы Solar MSS мы#nbsp;своевременно не#nbsp;только обнаруживаем уже случившиеся взломы, но#nbsp;и#nbsp;получаем информацию о#nbsp;готовящихся инцидентах и#nbsp;исследуем деятельность хакеров разного уровня, включая APT-группировки, в#nbsp;масштабе страны. Мы#nbsp;прогнозируем, что в#nbsp;2024 году продвинутые группировки cохранят объемы своих кампаний, а#nbsp;тренд на#nbsp;взлом подрядчиков займет лидирующее место»,#nbsp;— сообщил Игорь Залевский, руководитель центра исследования киберугроз Solar 4RAYS#nbsp;ГК «Солар».

Деструктив вместо денег и#nbsp;будущие «лазейки» для хакеров

В#nbsp;ходе SOC-Forum 2023 эксперты#nbsp;ГК «Солар» назвали ТОП-10 наиболее пострадавших от#nbsp;хакеров отраслей за#nbsp;2022−2023#nbsp;гг. Большинство кибератак пришлось на#nbsp;государственные организации (44%) и#nbsp;телеком (14%), а#nbsp;также сельское хозяйство (9%)#nbsp;— последнее можно объяснить близостью отрасли к#nbsp;государству. Также в#nbsp;рейтинг попали промышленность (7%), финансовый сектор (7%), и#nbsp;с#nbsp;равными долями в#nbsp;4% ритейл, сфера услуг, образование, НКО и#nbsp;энергетика.

Большая часть расследуемых инцидентов связана с#nbsp;кибермошенниками (42,5%)#nbsp;— они обычно зарабатывают на#nbsp;взломах за#nbsp;счет шифрования, кражи и#nbsp;перепродажи данных. Второе место занимают киберхулиганы (30%), которые пытаются привлечь внимание через минимальное воздействие на#nbsp;ИТ-инфраструктуру, например#nbsp;— DDoS-атаки и#nbsp;дефейс сайтов. На#nbsp;третьем месте#nbsp;— профессиональные APT-группировки (20%).

В#nbsp;2022 году в#nbsp;связи с#nbsp;политической обстановкой киберхулиганы активизировались, но#nbsp;в#nbsp;2023 году число инцидентов, которые потребовали привлечения экспертов по#nbsp;расследованию, снизилось в#nbsp;3 раза. Дело в#nbsp;том, что многочисленные массовые атаки научили компании и#nbsp;ИБ-отрасль лучше на#nbsp;них реагировать, а#nbsp;сами злоумышленники переключились на#nbsp;более серьезные цели.

При этом число атак, организованных кибермошенниками, продолжает расти и#nbsp;в#nbsp;текущем году в#nbsp;сравнении с#nbsp;2022 годом увеличилось на#nbsp;30%. С#nbsp;наступлением 2023 года хакеров этого типа почти перестала интересовать монетизация, и#nbsp;вместо продажи данных в#nbsp;даркнете они начали публиковать их#nbsp;бесплатно или безвозвратно шифровать с#nbsp;целью нанесения большего ущерба пострадавшей стороне.

«Цели вчерашних хактивистов сменились: вместо DDoS и#nbsp;дефейса мошенники пытаются взламывать и#nbsp;совершать деструктивные действия в#nbsp;отношении инфраструктуры организаций, в#nbsp;том числе объектов критической информационной инфраструктуры (КИИ). Мы#nbsp;считаем, что в#nbsp;2024 году увеличится количество инцидентов с#nbsp;деструктивными последствиями, а#nbsp;с#nbsp;ростом импортозамещения хакеры начнут использовать российское#nbsp;ПО для проникновения через уязвимости софта»,#nbsp;— прокомментировал Владислав Лашкин, руководитель отдела противодействия киберугрозам центра исследования Solar 4RAYS, ГК «Солар».

Блог в#nbsp;помощь киберэкспертам

За#nbsp;годы работы в#nbsp;компании сформировалась крупнейшая база знаний о#nbsp;киберугрозах и#nbsp;обширная экспертиза по#nbsp;расследованию продвинутых атак федерального уровня. Все это стало основой для создания экспертной площадки (блога), которая была представлена в#nbsp;рамках SOC-Forum. В#nbsp;блоге специалисты Solar 4RAYS будут делиться с#nbsp;ИБ-сообществом аналитикой об#nbsp;актуальных киберугрозах, результатами расследований инцидентов, полезными инструментами для реагирования на#nbsp;кибератаки и#nbsp;другими практическими материалами.

«Ранее мы#nbsp;использовали полученные данные об#nbsp;инцидентах для обогащения контента сервисов мониторинга и#nbsp;реагирования на#nbsp;киберугрозы Solar JSOC, а#nbsp;также экосистемы управляемых сервисов кибербезопасности Solar MSS, и#nbsp;немного информации публиковали на#nbsp;специализированных ресурсах. Однако сегодня очевидно, что эти данные могут быть полезны большому числу российских компаний для организации своей киберзащиты, поэтому мы#nbsp;запустили блог, где будем делиться с#nbsp;ИБ-сообществом полезным контентом, включая разбор кейсов, советы по#nbsp;защите и#nbsp;реагированию и#nbsp;аналитику атак по#nbsp;данным крупнейшей в#nbsp;РФ базы знаний о#nbsp;киберугрозах»,#nbsp;— пояснил Игорь Залевский.

О#nbsp;ГК «Солар»

Группа компаний «Солар»#nbsp;— ведущий поставщик решений кибербезопасности в#nbsp;России, архитектор комплексной кибербезопасности. Ключевые направления деятельности#nbsp;— аутсорсинг ИБ, разработка собственных продуктов, обучение ИБ-специалистов, аналитика и#nbsp;исследование киберинцидентов.



С#nbsp;2015 года предоставляет ИБ-решения организациям от#nbsp;малого бизнеса до#nbsp;крупнейших предприятий ключевых отраслей. Под защитой «Солара»#nbsp;— более 850 крупнейших компаний России. Продукты и#nbsp;сервисы «Солара» объединены в#nbsp;домены экспертизы: Безопасная разработка программного обеспечения, Управление доступом, Защита корпоративных данных, Детектирование угроз и#nbsp;хакерских атак. Домены экспертизы закрывают все потребности заказчиков и#nbsp;включают собственные разработки, решения партнеров, услуги по#nbsp;созданию стратегии и#nbsp;архитектуры ИБ, консалтинг, обучение персонала.



Компания предлагает сервисы первого и#nbsp;крупнейшего в#nbsp;России коммерческого SOC#nbsp;— Solar JSOC, экосистему управляемых сервисов ИБ#nbsp;— Solar MSS. Линейка собственных продуктов включает DLP-решение Solar Dozor, шлюз веб-безопасности Solar webProxy, межсетевой экран нового поколения Solar NGFW, IdM-систему Solar inRights, PAM-систему Solar SafeInspect, анализатор кода Solar appScreener и#nbsp;другие.



ГК «Солар» развивает платформу для практической отработки навыков защиты от#nbsp;киберугроз «Солар Кибермир». Работа центра исследования киберугроз Solar 4RAYS нацелена на#nbsp;изучение тактик киберпреступников. Полученные аналитические данные обогащают разработки Центра технологий кибербезопасности.



Группа компаний «Солар» инвестирует в#nbsp;развитие отрасли кибербезопасности и#nbsp;помогает решать проблему кадрового дефицита. Совместно с#nbsp;Минцифры в#nbsp;рамках национального проекта «Цифровая экономика» реализует всероссийскую программу кибергигиены, направленную на#nbsp;повышение цифровой грамотности населения.



Штат компании#nbsp;— более 1 800 специалистов. Подразделения «Солара» расположены в#nbsp;Москве, Санкт-Петербурге, Нижнем Новгороде, Самаре, Ростове-на-Дону, Томске, Хабаровске и#nbsp;Ижевске. Технологии компании и#nbsp;наличие распределенных по#nbsp;всей стране центров компетенций позволяют ей#nbsp;работать в#nbsp;режиме 24/7.