Positive Technologies
Новости

Результаты расследований Positive Technologies: 40% инцидентов связаны с деятельностью известных APT-группировок

Самое долгое активное пребывание злоумышленников в инфраструктуре длилось пять лет

Специалисты экспертного центра безопасности Positive Technologies представили на SOC-форуме итоги расследований киберинцидентов в 2021–2023 годах1. За последние два года число расследований увеличилось более чем в два раза, а 40% всех расследованных инцидентов были совершены известными APT-группировками. Чаще всего атакам подвергались государственные учреждения (34%) и отрасли промышленности (30%).

По данным отчета, за последние два года количество проектов по расследованию киберинцидентов, выполненных командой реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC), значительно увеличилось. Только за 2022 год прирост расследований составил 50%. За три квартала 2023 года, в сравнении с показателями за весь 2022 год, количество проектов выросло на 76%. Эксперты предполагают, что такой скачок спровоцирован увеличением количества инцидентов ИБ вследствие последних геополитических и экономических событий.

В результате анализа проектов по расследованию инцидентов и работ по ретроспективному анализу инфраструктур компаний было установлено, что 40% инцидентов связаны с деятельностью публично известных APT-группировок.

«Атрибуция злоумышленников, ответственных за кибератаку, — это сложный процесс, который не всегда завершается успешно, — комментирует Денис Гойденко, руководитель отдела реагирования на угрозы ИБ PT ESC. — За последние три года наши эксперты выявили инциденты с участием 15 APT-группировок, известных и идентифицируемых на основании используемого инструментария, сетевой инфраструктуры и TTP. Как правило, APT-группировки используют уникальное ВПО, которое отвечает за обеспечение доступа злоумышленников в инфраструктуру компании после осуществления первичной компрометации. Тем не менее как APT-группами, так и более низкоквалифицированными злоумышленниками используется вспомогательное ПО, в подавляющем большинстве случаев публично доступное в интернете».

Чаще всего атакам APT-группировок подвергались государственные учреждения (34%) и промышленный сектор (30%). Третье место заняли IT-компании (7%).

В 25% выполненных проектов по ретроспективному анализу инфраструктур компаний были выявлены следы деятельности APT-группировок, зачастую находившихся в инфраструктурах компаний-жертв (от полугода до года) на момент анализа и не выдававших своего присутствия. По данным исследования, среднее время с момента компрометации инфраструктуры злоумышленниками и до их остановки (или локализации) составило 45 дней, самое долгое их активное пребывание в сети составило пять лет.

В результате всех выявленных инцидентов пострадавшие компании чаще всего сталкивались с нарушениями внутренних бизнес-процессов (32%), с кибершпионажем — достаточно длительным пребыванием злоумышленников в инфраструктуре жертвы, как правило, с конечной целью непрерывной выгрузки конфиденциальной информации (32%), а также с непосредственно выгрузкой конфиденциальной информации (26%). Тренд с выгрузкой конфиденциальных сведений компании-жертвы перед запуском ВПО эксперты фиксируют с 2020 года. Такой шаг позволяет преступникам запрашивать выкуп как за восстановление доступа к инфраструктуре, так и за неразглашение украденных сведений.

В качестве исходного вектора проникновения злоумышленники чаще всего (63%) эксплуатировали уязвимости в используемых жертвой и публично доступных веб-приложениях. В частности, среди таких веб-приложений стоит выделить почтовый сервер Microsoft Exchange (50% среди всех атак, в которых в качестве исходного вектора проникновения были уязвимые веб-приложения), веб-сервер Bitrix (13%) и продукты компании Atlassian (7%), например Confluence и Jira. На втором месте по частоте успешного использования — фишинговые письма.

В ходе проведенного исследования аналитики зафиксировали интересную тенденцию: злоумышленники не так часто изобретают новые способы атак, но тем не менее число инцидентов с применением уже известных уязвимостей продолжает расти. Это говорит о том, что компании как минимум не обновляют используемое ПО до последних версий и не производят аудит периметра инфраструктуры.

В качестве мер защиты эксперты Positive Technologies рекомендуют компаниям использовать последние версии ПО и ОС; выстраивать процессы, связанные с управлением уязвимостями, что поможет поддерживать инфраструктуру в актуальном состоянии; создавать резервные копии для всех узлов домена и хранить их на изолированном от основной сети узле; регулярно проводить аудит периметра инфраструктуры как на наличие уязвимостей, так и на наличие общедоступных сервисов.

Для борьбы с киберугрозами исследователи рекомендуют использовать современные средства безопасности, такие как решения мониторинга событий ИБ и выявления инцидентов (MaxPatrol SIEM), системы защиты конечных точек от сложных и целевых атак (MaxPatrol EDR), продукты для обнаружения уязвимостей и эффективного управления ими (MaxPatrol VM), а также риск-ориентированную песочницу, которая подстраивается под каждую компанию индивидуально и обнаруживает сложное вредоносное ПО в файлах и трафике (PT Sandbox). Для получения комплексной защиты с минимальным привлечением человеческих ресурсов можно использовать автопилот для результативной кибербезопасности (MaxPatrol O2).

  1. В рамках этого исследования эксперты проанализировали информацию, полученную по результатам более 100 проектов по расследованию инцидентов, а также ретроспективному анализу инфраструктуры, которые проводились с I квартала 2021 года по III квартал 2023 года в различных компаниях на территории России и стран СНГ. Среднее время расследования от начала до написания отчета составляет 21 день.