Группа компаний (ГК) «Солар» представила топ-10 самых атакуемых отраслей в 2023 году. В своём исследовании ИБ‑компания рассказала о всплеске кибератак со стороны азиатских хакеров и росте числа инцидентов с разрушительными последствиями для организаций РФ. Об этом эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» рассказали на SOC‑Forum 2023, поделились прогнозами на 2024 год и представили запуск экспертной площадки для ИБ‑специалистов. На ней будет публиковаться актуальная аналитика по крупнейшей в РФ базе знаний о киберугрозах, практические советы по защите и реагированию и другой полезный для отрасли контент. Информационная служба Хабра находится сейчас на SOC‑Forum 2023.
Серьёзную киберугрозу для российских организаций представляют профессиональные APT‑группировки. По аналитическим исследованиям центра исследования киберугроз Solar 4RAYS, в 2022–2023 года доля APT‑атак составила 20% от всех расследуемых инцидентов. Главная цель группировок этого типа — это кибершпионаж и кража данных, основными их жертвами стали телеком‑отрасль и госсектор.
По данным телеметрии с сети сенсоров и ханипотов «Ростелекома», среди APT‑группировок активными на территории РФ оказались хакеры из азиатского региона. В сентябре 2023 года киберпреступники запустили очередную кампанию с целью кибершпионажа. В рамках кампании ежедневно вредоносным ПО заражалось от 20 до 40 систем российских организаций. Только через месяц злоумышленники были замечены вендорами средств защиты, после чего наметился спад их активности.
Активно на территории РФ действует группировка Lazarus. За последние 2 года эксперты Solar 4RAYS расследовали несколько связанных с ней инцидентов. Среди жертв были и государственные органы власти. Анализ данных сенсоров показал, что на начало ноября хакеры Lazarus всё ещё имеют доступы к ряду российских систем.
По словам экспертов, за шквалом атак выявить группировки из СНГ довольно непросто. В интересах этих группировок действуют политически мотивированные злоумышленники из разных регионов. Однако в ряде случаев по косвенным признакам удавалось идентифицировать этих хакеров. Например, они проводили вредоносные рассылки, используя дописанный ими открытый framework Pupy RAT, а недавно им удалось атаковать одного из телеком‑операторов, что привело к разрушению части его инфраструктуры.
В рамках предоставления исследования на SOC‑Forum 2023 эксперты ГК «Солар» назвали топ-10 наиболее пострадавших от хакеров отраслей за 2022–2023 года.
44% кибератак пришлось на государственные организации и 14% на телеком, 9% — сельское хозяйство, 7% — промышленность, 7% — финансовый сектор и с равными долями в 4% ретейл, сфера услуг, образование, НКО и энергетика.
42,5% расследуемых инцидентов связана с кибермошенниками (занимаются взломами за счёт шифрования, кражами и перепродажей данных), 30% инцидентов — киберхулиганы (хактивисты), 20% — профессиональные APT‑группировки.
В 2022 году в связи с политической обстановкой хактивисты активизировались, но последствия атак носили минимальный ущерб и больше носили характер привлечения внимания. При этом количество атак, организованных кибермошенниками, продолжает расти и в 2023 году по сравнению с 2022 увеличилось на 30%. В 2023 году некоторых хакеров перестала интересовать монетизация украденных данных, и они начали публиковать данные бесплатно или безвозвратно их шифровать с целью нанесения ущерба пострадавшей стороне.
Владислав Лашкин
Руководитель отдела противодействия киберугрозам центра исследования Solar 4RAYS, ГК «Солар»
«Цели вчерашних хактивистов сменились: вместо DDoS и дефейса мошенники пытаются взламывать и совершать деструктивные действия в отношении инфраструктуры организаций, в том числе объектов критической информационной инфраструктуры (КИИ). Мы считаем, что в 2024 году увеличится количество инцидентов с деструктивными последствиями, а с ростом импортозамещения хакеры начнут использовать российское ПО для проникновения через уязвимости софта».
На SOC-Forum 2023 ГК «Солар» заявили о создании экспертной площадки. В рамках этой площадки специалисты Solar 4RAYS будут делиться с ИБ-сообществом аналитикой об актуальных киберугрозах, результатами расследований инцидентов, полезными инструментами для реагирования на кибератаки и другими практическими материалами.
