Отчет BI.ZONE по угрозам за первое полугодие
Компания BI.ZONE представила аналитический отчет по угрозам и киберинцидентам за первое полугодие 2024 г. Согласно отчету, резкий рост числа киберинцидентов, который специалисты BI.ZONE TDR наблюдали в 2022 г. и в начале 2023-го, несколько замедлился, а доля высококритичных киберинцидентов незначительно уменьшилась.
Больше всего инцидентов было зафиксировано в промышленности, ИТ-отрасли и финансовой сфере, однако в подавляющем большинстве случаев злоумышленники были остановлены прежде, чем успели нанести ущерб. Как и в 2023 г., нередки атаки через подрядчиков, а фишинг и использование легитимных учетных записей остаются в топе наиболее популярных методов для получения первичного доступа к инфраструктуре.
Под киберинцидентами в отчете понимаются злонамеренные или несанкционированные действия по отношению к ИТ-инфраструктуре компании, связанные с нарушением или угрозой нарушения безопасности ее элементов, например, шифрования ИТ-инфраструктур, уничтожения и кражи конфиденциальной информации. Если в ходе атаки злоумышленникам удалось скомпрометировать хотя бы один элемент ИТ-инфраструктуры и повлиять на его работу (или они с высокой вероятностью могут это сделать), такое событие классифицируется как высококритичный инцидент.
В первом полугодии 2024 г. специалисты BI.ZONE TDR зафиксировали почти на 40% больше киберинцидентов, чем год назад. Однако такие изменения связаны не с активизацией злоумышленников, а с увеличением числа клиентов сервиса и конечных точек (серверов и рабочих станций), которые находятся под мониторингом BI.ZONE TDR. По состоянию на конец июня 2024 г. их было более 250 тыс., примерно на 30% больше, чем годом ранее. Как отмечают в BI.ZONE TDR, все больше организаций внедряют у себя мониторинг событий кибербезопасности, а значит, в поле зрения специалистов попадает больше киберугроз, а число регистрируемых киберинцидентов планомерно растет с увеличением количества клиентов сервиса.
Наибольшее число киберинцидентов (38%) аналитики зафиксировали в промышленности и энергетике (за аналогичный период прошлого года – 37%). По данным портала киберразведки BI.ZONE Threat Intelligence, шпионаж является основной целью для 35% кибергруппировок, атакующих промышленные предприятия.
На долю ИТ-отрасли пришлось 27% всех киберинцидентов, выявленных в первом полугодии, рост год к году составил всего 1%. Сравнительно большое количество обнаруживаемых кибератак эксперты объясняют спецификой отрасли: ИТ-компании имеют более сложную и изменчивую цифровую инфраструктуру, в связи с чем поверхность атаки становится шире.
15% киберинцидентов были связаны с финансовой сферой и страхованием (к концу июня 2023 г. – 10%). Выросла и доля кибергруппировок, атакующих финансовый сектор: в 2023 г. атаки на финансовые организации совершали 16% кластеров, а в первом полугодии 2024 г. – уже 25%. При этом подавляющее большинство кибератак, обнаруживаемых в финансовых и страховых компаниях, не приводят к киберинцидентам, поскольку отрасль предъявляет повышенные требования к кибербезопасности и большинство атак удается остановить на начальном этапе.
В первом полугодии зафиксировано 39 высококритичных киберинцидентов, а годом ранее – 26. При этом в 2024 г. к высококритичным инцидентам привели только 0,6% всех зафиксированных атак, а годом ранее – 0,7%.
Для проникновения в ИТ-инфраструктуру злоумышленники чаще всего используют фишинг или эксплуатируют уязвимости во внешних сервисах. Атаки через подрядчиков встречаются реже, хотя в последние несколько лет их стало больше из-за высокого спроса на услуги по сопровождению и техподдержке ПО и оборудования. Тем не менее это более серьезная угроза для компаний, чем фишинг или эксплуатация уязвимостей, поскольку действия злоумышленников сложнее распознать и остановить на ранней стадии. Именно поэтому, а также из-за незащищенности самих подрядчиков такие атаки стали трендом прошлого года.
Кроме того, киберпреступники активно используют для атак легитимные учетные записи, данные которых крадут с помощью программ-стилеров.
Из инструментов наиболее популярны у злоумышленников средства для построения сетевых туннелей ngrok и Stunnel, а также утилиты удаленного доступа, такие как PhantomRAT и Sliver (последний является условно легитимным инструментом, который изначально создавался для тестирования на проникновение). В топ-5 популярных инструментов для атак также входит Gsocket – программа удаленного доступа с открытым исходным кодом.