Отчет «Лаборатории Касперского» о ландшафте киберугроз
«Лаборатория Касперского» представила отчет «Ландшафт угроз для России и СНГ» за 2023 г. и I квартал 2024-го. Команда Kaspersky Cyber Threat Intelligence описала в нем актуальные угрозы и средства снижения киберрисков, составила перечень тактик, техник и процедур атак.
Согласно выводам отчета, в последние полтора года угроза хактивизма продолжила усиливаться. Атакующие обращают внимание на организации со слабой защитой, без привязки к конкретной отрасли, используя любые доступные инструменты в открытой сети. Не снижают активности и группы, цель которых – шпионаж и финансовая выгода, например, шифровальщики.
Злоумышленники предпочитают не менять сценарии и атакуют наименее подготовленные с точки зрения кибербезопасности организации, в том числе эксплуатируют хорошо известные и распространенные уязвимости в продуктах, которыми пользуются многие организации.
Что касается уязвимостей в атаках на корпоративную сеть, более половины активно эксплуатируемых CVE были зарегистрированы в конце прошлого десятилетия. Самой распространенной в 2023 г. и I квартале текущего года стала критическая уязвимость CVE-2021-44228 (Log4Shell) в библиотеке Apache Log4j, которая позволяет удаленно выполнять код. На втором месте – уязвимость CVE-2019-0708 (BlueKeep) в Microsoft Windows и Microsoft Windows Server. Помимо удаленного выполнения кода, она позволяет раскрывать конфиденциальную информацию, повышать привилегии и подменять пользовательский интерфейс. В тройку наиболее часто используемых также вошла уязвимость CVE-2020-7247 в почтовом сервере OpenSMTPD, с помощью которой можно удаленно выполнять код и повышать привилегии.
Для атак на корпоративные устройства в России и СНГ злоумышленники чаще всего используют уязвимости в архиваторах 7-Zip и WinRAR, а также в браузере Google Chrome. В отчетном периоде при атаках на организации в России и СНГ атакующие эксплуатировали бреши в 7-Zip (CVE-2023-31102/CVE-2023-40481 и CVE-2022-29072). В число самых распространенных также вошли уязвимости в WinRAR (CVE-2023-38831) и Google Chrome (CVE-2023-1822/CVE-2023-1812/ CVE-2023-1813 и др.). Большинство самых активно используемых брешей (9 из 10) позволяют выполнять вредоносный код. При этом почти все они были зарегистрированы в 2023 г.
Злоумышленники используют уязвимости в том числе для атак с использованием программ-шифровальщиков. В 2024 г. они остаются одной из главных угроз для организаций по всему миру: число таких атак находится на стабильно высоком уровне, растет совокупный размер выкупа, при этом компании сталкиваются со сложностью дешифровки.
В тройку самых распространенных типов программ-вымогателей в I квартале 2024 г. вошли троянцы Dcryptor, Lockbit и Conti. В аналогичном периоде в прошлом году тройка выглядела следующим образом: Phobos, Lockbit и Conti.
Как подчеркивают в «Лаборатории Касперского», правильно выстроенные процессы ИБ и анализ тактик, техник и процедур атакующих остаются надежным средством противодействия киберугрозам. В частности, чтобы предотвратить использование уязвимостей для атак на организации, важно выстроить процесс их устранения, или Patch Management. Также необходимо использовать комплексные защитные решения, позволяющие оперативно выявить угрозы и их устранять, и уделять внимание повышению цифровой грамотности сотрудников.