Критичные киберинциденты в отчете Solar JSOC

Согласно данным квартального отчета центра противодействия кибератакам Solar JSOC ГК «Солар», в первом полугодии число киберинцидентов с критичными последствиями для компаний выросло в разы. За год значительно возросла критичность инцидентов, т. е. уровень ущерба, который они могут нанести организации. Если в 1-м полугодии 2023 г. доля высококритичных инцидентов составила 2%, то в 1-м полугодии 2024 г. этот показатель вырос до 7%. Такая динамика может говорить о постоянном усложнении техник и тактик злоумышленников и более точечных кибератаках, которые учитывают особенности инфраструктуры конкретной организации.

Исследование компьютерных атак на российские компании подготовлено на основе анализа данных мониторинга инфраструктур около 300 организаций из разных отраслей экономики. Отчетный период включает 1-е полугодие и отдельно II квартал 2024 г.

Резкий всплеск доли высококритичных инцидентов (до 9%) произошел еще в I квартале 2024 г. и был, вероятно, связан с мартовскими выборами президента РФ. Однако и во II квартале этот показатель составил 4%, что все же выше средних показателей прошлых периодов на 1–2 п.п.

Чаще всего причиной инцидентов в I полугодии становился несанкционированный доступ к информационным системам и сервисам (46%). Тренд наметился в I квартале – вместо традиционных 5–6% с НСД оказались связаны почти 50% всех инцидентов, зафиксированных Solar JSOC. Во II квартале на НСД пришлось 44% высококритичных инцидентов.

На втором месте (с долей в 42% в 1-м полугодии) находится заражение вредоносным ПО. Этот инструмент злоумышленники используют как для массовых атак, так и для целевых ударов по ключевым объектам инфраструктуры. По данным расследований команды центра исследования киберугроз Solar 4RAYS, профессиональные киберпреступники за последние два года значительно усложнили используемый софт, активнее применяют самописное ПО и совершенствуют свои техники и тактики.

В целом в 1-м полугодии 2024 г. мониторинг Solar JSOC зафиксировал 676 тысяч инцидентов разной степени критичности. Это на 10% превышает показатели аналогичного периода предыдущего года. Чаще всего причиной инцидентов становились попытки заражения вредоносным ПО, эксплуатации уязвимостей и несанкционированный доступ к системам и сервисам. В то же время достаточное число атак было выявлено с помощью срабатывания сигнатур сенсоров SOC (NTA, EDR). Последнее еще раз указывает на то, что кибератаки становятся продуманнее, и для выявления вредоносных действий уже не хватает стандартных средств защиты и мониторинга.