PT Dephaze: думает как хакер, действует как пентестер
Узнай все о новом продукте Positive Technologies для автоматического тестирования на проникновение
Ирина Зиновкина
Руководитель направления аналитических исследований Positive Technologies
В 2022 году случился всплеск атак на российские организации ввиду ухудшения геополитической ситуации, что повлияло на ландшафт киберугроз всей страны. За первые три квартала 2024 года количество успешных атак практически сравнялось с показателями за весь 2022 год. Российские организации, по нашим данным, атакуются десятками кибершпионских, хактивистских и финансово мотивированных группировок.
Кроме того, с 2022 года российские организации столкнулись с ростом числа высококвалифицированных целевых атак. Киберпреступность и атаки на критическую инфраструктуру стали одними из главных факторов в современных геополитических конфликтах. Так, целью группировки Core Werewolf являются российские организации военно-промышленного комплекса, объекты КИИ. Злоумышленники рассылают фишинговые письма с вредоносными вложениями, маскирующимися под различные документы —приказы, резюме, методические указания, даже под официальные документы регуляторов. К примеру, в конце 2023 года во время расследования одного инцидента команда отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT ESC IR) обнаружила письмо с фишингового домена fstec[.]support якобы от имени ФСТЭК. В качестве вложения к письмам прилагается самораспаковывающийся архив с клиентом ПО для удаленного доступа UltraVNC.
Эксплуатация уязвимостей приложений и сервисов на внешнем периметре сети является одним из основных методов кибератак на российские организации: по итогам трех кварталов 2024 года уязвимости были проэксплуатированы практически в каждой четвертой (23%) успешной атаке. По результатам проектов по расследованию инцидентов и ретроспективному анализу в 2023–2024 годах, самой частой (44%) точкой входа в инфраструктуру были уязвимые веб-приложения на сетевом периметре. Еще в 13% расследований злоумышленники использовали другие доступные извне сервисы, такие как VPN, RDP и SSH. Эксплуатацию уязвимых приложений активно применяют и APT-группировки, атакующие организации в России и странах СНГ. Потенциально масштабы эксплуатации уязвимостей могут вырасти еще больше, поскольку в 81% проведенных нами в 2023 году пентестов компании оказывались уязвимы к технике Exploit Public-Facing Application (Недостатки в общедоступном приложении) для получения первоначального доступа.
С 1 января 2025 года организациям запрещается использовать средства защиты информации, созданные в недружественных иностранных государствах. При этом в 2024 году эксперты PT SWARM (PT Security Weakness Advanced Research and Modeling) обнаружили почти в три раза больше уязвимостей в российском ПО, чем в 2023 году. Мы ожидаем, что на фоне продолжающегося импортозамещения и выхода на рынок нового российского ПО количество уязвимостей в отечественных продуктах продолжит расти. При этом каждая пятая найденная уязвимость имеет критический уровень опасности, что может привести к реализации недопустимых событий в организациях всех отраслей.
Киберпреступники активно адаптируются к изменениям IT-ландшафта российских организаций. Так, по результатам расследований инцидентов, к 2024 году доля эксплуатации уязвимостей российской CMS-системы «1С-Битрикс» выросла до трети от всех случаев атак на веб-приложения (33%), став основным исходным вектором атак через такие приложения. Для сравнения, в 2021–2023 годах доля эксплуатации уязвимостей этой системы составляла всего 13%. Подобные уязвимости могут позволить злоумышленникам выполнять команды ОС и развить атаку вплоть до получения возможности обращаться к СУБД и просматривать информацию в базе данных. Об одном из примеров эксплуатации уязвимости «1С-Битрикс» рассказывала команда экспертного центра безопасности Positive Technologies в своем телеграм-канале.
Опасение также вызывает и наличие в организациях shadow IT. Теневые части внутренней сети не получают регулярных обновлений безопасности, а значит, могут долгое время содержать незакрытые уязвимости. Проблему подтверждает и наше исследование сетевого трафика российских компаний за 2023–2024 годы: в топ-10 часто эксплуатируемых уязвимостей входят старые CVE 2017 года, а самые последние — 2022 года. Кроме того, по результатам проведенных в 2023 году пентестов, в 70% проектах по внешнему тестированию были найдены критически опасные уязвимости, связанные с использованием устаревшего ПО.
Использование вредоносного ПО остается одним из основных методов атак на российские организации: пик его роста пришелся на 2023 год, однако по результатам первых трех кварталов 2024 года мы можем отметить, что данный показатель растет.
В отличие от общемировой тенденции, где основным типом ВПО в успешных атаках являются шифровальщики, в России в топе находятся шпионское ПО и ВПО для удаленного управления. Именно шпионское ПО злоумышленники чаще всего используют в атаках на российские организации (на фоне геополитических конфликтов). Также стоит отметить, что доля его использования выросла с 10% в 2022 году до 49% в 2024.
Данные из публичных источников подтверждаются результатами анализа вредоносного ПО продуктом PT Sandbox на территории России. На основании полученных данных были выявлены наиболее часто встречающиеся семейства ВПО. Здесь обнаружена региональная специфика: вопреки общемировым показателям, в изученных атаках чаще встречаются представители шпионского ВПО (в частности, семейств FormBook и Agent Tesla), а шифровальщики используются значительно реже.
Большей части ВПО, встречающегося в атаках на российские компании в 2024 году, необходимо связываться с командным сервером управления для загрузки новых модулей, управления продолжением атаки, передачи похищенных данных киберпреступнику. Большая часть APT-группировок, атакующих страны СНГ, применяют для C&C- коммуникаций технику Application Layer Protocol (взаимодействие по протоколам прикладного уровня модели OSI с целью маскировки вредоносного трафика под обычный и предотвращения обнаружения или сетевой фильтрации). Во внешней сети APT-группировки могли использовать различные ресурсы для управления ВПО и связи с ним. Так, активно атаковавшая российские организации в 2023 году группировка Space Pirates использует классические C2-серверы. При этом обнаруженная специалистами PT ESC группировка Lazy Coala, атаковавшая в начале 2024 года государственные учреждения в странах СНГ, использовала ВПО с эксфильтрацией данных через телеграм-ботов. Вредоносное ПО группировки APT 31, нацеленное на российские государственные организации и IT-компании в конце июля 2024 года, получало инструкции через облачное хранилище Dropbox.
Практически в каждой третьей атаке на российские организации за три квартала 2024 года злоумышленники использовали трояны для удаленного управления. RAT предоставляет злоумышленникам возможность поддерживать постоянный доступ к скомпрометированным устройствам: вести длительную разведку, собирать данные и держать под контролем действия пользователей. Недавно экспертами PT Expert Security Center были зафиксированы фишинговые рассылки в виде счет-фактуры, которые были нацелены на промышленные предприятия, банки, сферу здравоохранения и разработчиков программного обеспечения в России и которые в итоге приводили к заражению вредоносом XWorm. При этом стоит отметить, что злоумышленники постоянно развивают свой арсенал, добавляя в него новые функции: исследователями из Netskope Threat Labs была обнаружена обновленная версия излюбленного преступниками ВПО для удаленного управления XWorm, которое среди прочего теперь может собирать снимки экрана, модифицировать файлы hosts, проводить DDoS-атаки и осуществлять другие действия. Кроме того, хакеры добавляют в RAT плагины для кражи конфиденциальной информации, например, из браузеров, криптовалютных кошельков.
Утечкой конфиденциальной информации закончилась практически половина успешных атак на российские организации за первые три квартала 2024 года. Данные российских организаций также пользуются спросом на теневом рынке: по результатам нашего исследования об утечках конфиденциальных данных за первое полугодие 2024 года, в рейтинге отдельных стран по количеству объявлений на теневых форумах пятерку лидеров возглавляет Россия с долей в 10%, за ней в порядке убывания следуют США, Индия, Китай и Индонезия. В этом же исследовании мы отметили, что несмотря на снижение доли утечек (в частности, персональных данных), есть тенденция к росту их объема.
Несанкционированное раскрытие очень важных для организации, ее клиентов и контрагентов сведений может являться одним из недопустимых событий (НС) и, как правило, ведет к реализации других НС, таких как финансовые потери, прерывание бизнес-процессов или работоспособности отдельных систем, последующие атаки на контрагентов и частных лиц. В первой половине 2024 года жертвой успешной фишинговой атаки стала российская компания SoftMall, в результате чего были раскрыты отчеты аудита информационной безопасности нескольких крупных контрагентов. В SoftMall подтвердили информацию об инциденте и разместили официальное сообщение на сайте компании. А в завершении первой половины года, в конце июня, жертвой утечки информации дважды стал интернет-магазин сети супермаркетов «Магнолия». В обоих случаях хакеры получили доступ к дампам баз данных, которые в общей сумме содержали личные данные 253 тыс. клиентов, включая Ф. И. О., адреса доставки, номера телефонов, электронные адреса, состав заказов, хешированные пароли и купоны на скидки клиентов «Магнолии».
Важно учитывать, что даже одна утечка может включать миллионы жертв. Например, в октябре 2024 года в открытом доступе оказалась база клиентов «Бургер Кинга», насчитывающая более пяти с половиной миллионов записей. В исследовании утечек конфиденциальных данных из организаций за первое полугодие 2024 года мы определяли основные методы атак, которые приводили к похищению данных.
Большинство утечек данных из российских организаций произошло вследствие использования вредоносного программного обеспечения, о котором мы говорили ранее.
С 2022 года с нарушением основной деятельности российские организации стабильно сталкиваются практически в каждой третьей успешной атаке. Так, из-за кибератаки на Национальную систему платежных карт несколько часов наблюдались сбои в оплате по СБП. А в мае 2024 года вымогатели вызвали сбой в работе СДЭК: не работали приложение и сайт, а также невозможно было принять и выдать отправления.
Ввиду сложной политической обстановки атаки на государственные, промышленные, транспортные организации могут иметь более разрушительные последствия, которые могут сказаться среди прочего на критически важных государственных услугах.
Эти данные подтверждаются и результатами расследований: по сравнению с 2021–2023 годами выросла доля проектов, в которых инцидент привел к нарушению внутренних бизнес-процессов. Если в прошлом отчетном периоде их доля составляла 32%, то на сегодняшний день она выросла до 50%. Предположительно, это связано с увеличением интенсивности атак со стороны хактивистов и финансово мотивированных злоумышленников, которые, как правило, требуют выкуп за восстановление инфраструктуры.
Большинство компаний в России укрепляют IT-инфраструктуру выборочно: к примеру, результаты нашего исследования показали, что 80% российских организаций не занимаются ее полноценным укреплением. При этом, как мы видим, российские организации остаются популярной мишенью для киберпреступников. Для повышения устойчивости бизнеса к кибератакам необходимо придерживаться методологии результативной кибербезопасности и выстроить грамотную работу по защите бизнеса. Для обеспечения киберзащиты компаниям необходимо начать с анализа основных рисков и формирования списка недопустимых событий, которые могут нанести существенный ущерб компании, сценариев их реализации и перечня целевых систем. Если говорить про кибертрансформацию, то в первую очередь необходимо начать с защиты периметра. Сделать это можно с помощью продуктов класса next-generation firewall (NGFW). Без качественного NGFW, который способен обеспечивать отказоустойчивость, невозможно выстроить непрерывность и надежность бизнеса. Отдельно стоит сказать, что российским компаниям необходимо переходить именно на отечественные решения, которые помогут защитить внешний периметр компании от эксплуатации уязвимостей веб-приложений, а также от нелегитимного использования доступных извне сервисов.