Среди продвинутых группировок наиболее активны хакеры из Азии – ГК «Солар» представила тренды киберугроз

Подробности

Опубликовано 15.11.2023 10:39

Топ-10 самых атакуемых отраслей в 2023 году, всплеск кибератак со стороны азиатских хакеров и рост числа инцидентов с разрушительными последствиями для организаций РФ – эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» (дочерняя компания «Ростелекома») рассказали на SOC-Forum 2023 о главных трендах в ИБ и поделились прогнозами на следующий год. Также была запущена экспертная площадка для ИБ-специалистов, на которой будет публиковаться актуальная аналитика по крупнейшей в РФ базе знаний о киберугрозах, практические советы по защите и реагированию и другой полезный для отрасли контент.

APT-группировки: кибершпионы из азиатского региона

Наиболее серьезную киберугрозу для российских организаций представляют профессиональные APT-группировки (Advanced persistent threat, постоянная угроза повышенной сложности). Согласно аналитике центра исследования киберугроз Solar 4RAYS, в 2022-2023 гг. доля APT-атак составила 20 % от всех расследуемых инцидентов. Опасность их заключается в том, что определить точки проникновения хакеров в инфраструктуру компании без специализированной экспертизы практически невозможно: злоумышленники либо слишком хорошо заметают следы, либо находятся в инфраструктуре уже настолько долго, что найти их не представляется возможным. Главная цель группировок данного типа – кибершпионаж и кража данных, а основными их жертвами являются телеком-отрасль и госсектор.

По данным телеметрии с крупнейшей в РФ сети сенсоров и ханипотов «Ростелекома», среди продвинутых группировок наиболее активными на территории РФ оказались хакеры из азиатского региона. В первую очередь это китайские группировки. Так, в сентябре 2023 года они запустили очередную кампанию с целью кибершпионажа – ежедневно вредоносным ПО заражалось от 20 до 40 систем российских организаций – и только спустя месяц злоумышленники были замечены вендорами средств защиты, после чего наметился спад их активности.

Также весьма активно действует на территории РФ северокорейская группировка Lazarus. За последние 2 года эксперты Solar 4RAYS расследовали несколько связанных с ней инцидентов. Среди жертв были, в частности, государственные органы власти. При этом анализ данных сенсоров показал, что на начало ноября хакеры Lazarus все еще имеют доступы к ряду российских систем.

Выявить за шквалом атак непосредственно украинские группировки довольно непросто, так как в их интересах действует огромное число политически мотивированных злоумышленников из разных регионов, отмечают эксперты. Тем не менее, в ряде случаев по косвенным признакам удавалось идентифицировать именно украинских хакеров. Например, они проводили вредоносные рассылки, используя дописанный ими открытый frameworkPupyRAT, а недавно им удалось атаковать одного из телеком-операторов, что привело к разрушению части его инфраструктуры.

«Благодаря телеметрии с сети «Ростелекома», а также с сервисов центра противодействия кибератакам SolarJSOC и платформы SolarMSS мы своевременно не только обнаруживаем уже случившиеся взломы, но и получаем информацию о готовящихся инцидентах и исследуем деятельность хакеров разного уровня, включая APT-группировки, в масштабе страны. Мы прогнозируем, что в 2024 году продвинутые группировки cохранят объемы своих кампаний, а тренд на взлом подрядчиков займет лидирующее место», – сообщил Игорь Залевский, руководитель центра исследования киберугроз Solar 4RAYS ГК «Солар».

Деструктив вместо денег и будущие «лазейки» для хакеров

В ходе SOC-Forum 2023 эксперты ГК «Солар» назвали ТОП-10 наиболее пострадавших от хакеров отраслей за 2022-2023 гг. Большинство кибератак пришлось на государственные организации (44%) и телеком (14%), а также сельское хозяйство (9%) – последнее можно объяснить близостью отрасли к государству. Также в рейтинг попали промышленность (7%), финансовый сектор (7%), и с равными долями в 4% ритейл, сфера услуг, образование, НКО и энергетика.

Большая часть расследуемых инцидентов связана с кибермошенниками (42,5%) – они обычно зарабатывают на взломах за счет шифрования, кражи и перепродажи данных. Второе место занимают киберхулиганы (30%), которые пытаются привлечь внимание через минимальное воздействие на ИТ-инфраструктуру, например – DDoS-атаки и дефейс сайтов. На третьем месте – профессиональные APT-группировки (20%).

В 2022 году в связи с политической обстановкой киберхулиганы активизировались, но в 2023 году число инцидентов, которые потребовали привлечения экспертов по расследованию, снизилось в 3 раза. Дело в том, что многочисленные массовые атаки научили компании и ИБ-отрасль лучше на них реагировать, а сами злоумышленники переключились на более серьезные цели.

При этом число атак, организованных кибермошенниками, продолжает расти и в текущем году в сравнении с 2022 годом увеличилось на 30%. С наступлением 2023 года хакеров этого типа почти перестала интересовать монетизация, и вместо продажи данных в даркнете они начали публиковать их бесплатно или безвозвратно шифровать с целью нанесения большего ущерба пострадавшей стороне.

«Цели вчерашних хактивистов сменились: вместо DDoS и дефейса мошенники пытаются взламывать и совершать деструктивные действия в отношении инфраструктуры организаций, в том числе объектов критической информационной инфраструктуры (КИИ). Мы считаем, что в 2024 году увеличится количество инцидентов с деструктивными последствиями, а с ростом импортозамещения хакеры начнут использовать российское ПО для проникновения через уязвимости софта», – прокомментировал Владислав Лашкин, руководитель отдела противодействия киберугрозам центра исследования Solar 4RAYS, ГК «Солар».

Блог в помощь киберэкспертам

За годы работы в компании сформировалась крупнейшая база знаний о киберугрозах и обширная экспертиза по расследованию продвинутых атак федерального уровня. Все это стало основой для создания экспертной площадки (блога), которая была представлена в рамках SOC-Forum. В блоге специалисты Solar 4RAYS будут делиться с ИБ-сообществом аналитикой об актуальных киберугрозах, результатами расследований инцидентов, полезными инструментами для реагирования на кибератаки и другими практическими материалами.

«Ранее мы использовали полученные данные об инцидентах для обогащения контента сервисов мониторинга и реагирования на киберугрозы SolarJSOC, а также экосистемы управляемых сервисов кибербезопасности SolarMSS, и немного информации публиковали на специализированных ресурсах. Однако сегодня очевидно, что эти данные могут быть полезны большому числу российских компаний для организации своей киберзащиты, поэтому мы запустили блог, где будем делиться с ИБ-сообществом полезным контентом, включая разбор кейсов, советы по защите и реагированию и аналитику атак по данным крупнейшей в РФ базы знаний о киберугрозах», – пояснил Игорь Залевский.

***

Группа компаний «Солар» — ведущий поставщик решений кибербезопасности в России, архитектор комплексной кибербезопасности. Ключевые направления деятельности — аутсорсинг ИБ, разработка собственных продуктов, обучение ИБ-специалистов, аналитика и исследование киберинцидентов.

С 2015 года предоставляет ИБ-решения организациям от малого бизнеса до крупнейших предприятий ключевых отраслей. Под защитой «Солара» – более 850 крупнейших компаний России. Продукты и сервисы «Солара» объединены в домены экспертизы: Безопасная разработка программного обеспечения, Управление доступом, Защита корпоративных данных, Детектирование угроз и хакерских атак. Домены экспертизы закрывают все потребности заказчиков и включают собственные разработки, решения партнеров, услуги по созданию стратегии и архитектуры ИБ, консалтинг, обучение персонала.

Компания предлагает сервисы первого и крупнейшего в России коммерческого SOC — Solar JSOC, экосистему управляемых сервисов ИБ — Solar MSS. Линейка собственных продуктов включает DLP-решение Solar Dozor, шлюз веб-безопасности Solar webProxy, межсетевой экран нового поколения Solar NGFW, IdM-систему Solar inRights, PAM-систему Solar SafeInspect, анализатор кода Solar appScreener и другие.

ГК «Солар» развивает платформу для практической отработки навыков защиты от киберугроз «Солар Кибермир». Работа центра исследования киберугроз Solar 4RAYS нацелена на изучение тактик киберпреступников. Полученные аналитические данные обогащают разработки Центра технологий кибербезопасности.

Группа компаний «Солар» инвестирует в развитие отрасли кибербезопасности и помогает решать проблему кадрового дефицита. Совместно с Минцифры в рамках национального проекта «Цифровая экономика» реализует всероссийскую программу кибергигиены, направленную на повышение цифровой грамотности населения.

Штат компании — более 1 800 специалистов. Подразделения «Солара» расположены в Москве, Санкт-Петербурге, Нижнем Новгороде, Самаре, Ростове-на-Дону, Томске, Хабаровске и Ижевске. Технологии компании и наличие распределенных по всей стране центров компетенций позволяют ей работать в режиме 24/7.

 * * *

ПАО «Ростелеком» — крупнейший в России интегрированный провайдер цифровых услуг и решений, который присутствует во всех сегментах рынка и охватывает миллионы домохозяйств, государственных и частных организаций.

Компания занимает лидирующие позиции на рынке услуг высокоскоростного доступа в интернет и платного телевидения. Количество клиентов услуг доступа в интернет с использованием оптических технологий превышает 11,3 млн, платного ТВ— 11,2 млн пользователей. «Ростелеком» является крупным игроком на рынке мобильной связи, обслуживающим 48 млн абонентов и лидирующим по индексу NPS (Net Promoter Score) — готовности пользователей рекомендовать услуги компании.

Совместное предприятие «Ростелекома» и НМГ развивает видеосервис Wink, который входит в топ-3 крупнейших онлайн-кинотеатров России по количеству подписчиков (11,5 млн).

«Ростелеком» является лидером рынка телекоммуникационных услуг для органов государственной власти России и корпоративных пользователей всех уровней. Компания — признанный технологический лидер в инновационных решениях в области электронного правительства, кибербезопасности, дата-центров и облачных вычислений, биометрии, здравоохранения, образования, жилищно-коммунальных услуг.

Компания — признанный технологический лидер в инновационных решениях в области электронного правительства, кибербезопасности, дата-центров и облачных вычислений, биометрии, здравоохранения, образования и жилищно-коммунальных услуг.