Реклама в «Ъ» www.kommersant.ru/ad
Реклама в «Ъ» www.kommersant.ru/ad
Коммерсантъ FM
Предыдущая страница
Следующая страница

В 2024 году хакеры в три раза чаще использовали скомпрометированные учетные записи

Больше трети (37%) успешных кибератак на российские компании в 2024 году начиналось с компрометации учетных данных сотрудников. Это значительно превышает показатели 2023 года, когда на подобные атаки приходилось 19% инцидентов.

Очевидно, что киберпреступники успешно эксплуатируют утекшие ранее доступы. К такому выводу пришли эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар», архитектора комплексной кибербезопасности. Отчет построен на данных расследований, проведенных командой Solar 4RAYS в 2024 году.

В количественном выражении число подобных кейсов за год увеличилось почти в три раза. Такая динамика, скорее всего, связана с тем, что в течение 2023 года произошло большое количество утечек конфиденциальных данных.

«В минувшем году атакующие активно использовали техники Valid Accounts (легитимные скомпрометированные учетные записи) и External Remote Services (внешние удаленные сервисы), что также подразумевает использование легитимных учетных данных для доступа к инфраструктуре жертв. В атаках, где для первоначального доступа использовались эти техники, мы наблюдали, например, брутфорс учетной записи FTP-сервера с последующей загрузкой вредоносного ПО. В одном из кейсов атакующие подключались по RDP (удаленный доступ) с использованием привилегированной учетной записи, которую в дальнейшем применяли для сканирования сети и похищения учетных данных. Затем хакеры шифровали часть инфраструктуры и требовали выкуп. Похищение конфиденциальных сведений или финансовая выгода — две главные цели применения данных техник»,— рассказал Геннадий Сазонов, эксперт центра исследования киберугроз Solar 4RAYS ГК «Солар».

На фоне роста компрометации аккаунтов другие способы проникновения в инфраструктуру, напротив, сокращаются. Чаще всего для преодоления внешнего ИТ-периметра злоумышленники по-прежнему используют уязвимости веб-приложений. Однако за год доля таких инцидентов сократилась с 56 до 46%. Также за год снизилась и доля атак, начавшихся с фишинга: с 19 до 11%. Неизменной осталась только доля, которая приходится на атаки через подрядчиков: 6%.

Цели злоумышленников разнообразны. Чаще всего это кибершпионаж (на него пришлось 58% киберинцидентов). А доля атак с целью хактивизма и хулиганства сократилась с 35% в 2023году до 10% в 2024-м. Категория уступила второе место атакам с финансовой мотивацией (вымогательство с помощью вирусов-шифровальщиков и майнинг криптовалют).

Подавляющее большинство атак в 2024 году было реализовано проукраинскими АРТ-группировками. Самые активные из них — Shedding Zmiy и Lifting Zmiy, с деятельностью которых была связана половина расследованных инцидентов. Как правило, их цели — это шпионаж с последующим уничтожением инфраструктуры жертвы. Часто в качестве инструмента злоумышленники использовали вирусы-шифровальщики, которые безвозвратно удаляли данные жертвы. При этом все активнее группировки целятся в ресурсы виртуализации, на которых сегодня работают многие организации.

ГК «Солар»

Реклама

Новости компаний Все