Больше трети (37%) успешных кибератак на российские компании в 2024 году начинались с компрометации учётных данных сотрудников, это значительно превышает показатели 2023 года, когда на подобные атаки приходилось 19% инцидентов; очевидно, что киберпреступники успешно эксплуатируют утекшие ранее доступы — к такому выводу пришли эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар».
Отчёт построен на данных расследований, проведённых командой Solar 4RAYS в 2024 году. Исследование содержит информацию об атакованных отраслях, целях злоумышленников, их техниках и тактиках. Также в отчёте представлены основные характеристики обнаруженных экспертами кибергрупировок. Всего за отчётный период было разобрано более 60 инцидентов, связанных с проникновением в IT-инфраструктуру различных компаний и организаций.
В количественном выражении число подобных кейсов за год увеличилось почти в три раза. Такая динамика, скорее всего, связана с тем, что в течение 2023 года случилось большое количество утечек конфиденциальных данных. По информации центра мониторинга внешних цифровых угроз Solar AURA, за 2023 год в открытый доступ попали данные почти 400 российских организаций. Среди этих утечек оказалось немало паролей.
На фоне роста компрометации аккаунтов другие способы проникновения в инфраструктуру, напротив, сокращаются. Чаще всего для преодоления внешнего IT-периметра злоумышленники используют уязвимости веб-приложений. Однако за год доля таких инцидентов сократилась — с 56% до 46%. Часто это уязвимые корпоративные порталы, опубликованные в открытом доступе, веб-приложения, о существовании которых забыли и не контролируют, сервисы, которые работают на необновлённом ПО. Также за год снизилась и доля атак, начавшихся с фишинга: с 19% до 11%. Неизменным остался только процент, который приходится на атаки через подрядчиков, — 6%.
Цели злоумышленников разнообразны. Чаще всего это кибершпионаж (на него пришлось 58% киберинцидентов). А доля атак с целью хактивизма и хулиганства сократилась с 35% в 2023 году до 10% в 2024. Категория уступила второе место атакам с финансовой мотивацией (вымогательство с помощью вирусов-шифровальщиков и майнинг криптовалют).
Подавляющее большинство атак в 2024 году было реализовано проукраинскими АРТ-группировками. Самые активные из них — Shedding Zmiy и Lifting Zmiy, с деятельностью которых была связана половина расследованных инцидентов. Как правило, их цели — это шпионаж с последующим уничтожением инфраструктуры жертвы. Часто в качестве инструмента злоумышленники использовали вирусы-шифровальщики, которые безвозвратно удаляли данные жертвы. При этом всё активнее группировки целятся в ресурсы виртуализации, на которых сегодня работают многие организации.
Сохраняют свою активность и азиатские группировки, в частности, Obstinate Mogwai, которая стала причиной 15% расследуемых атак в 2024 году. Для киберпреступников из Азиатского региона свойственно долгое скрытное нахождение в инфраструктуре, однако они редко завершают свои атаки деструктивными действиями.
