Компании «Ростелеком-Солар» опубликовала данные о хакерской активности в 1 квартале 2022 года, которая по структуре сильно отличалась от последнего квартала прошлого года. Хотя общее количество событий ИБ разной степени критичности в январе-марте 2022 г. всего на 4% превысило показатель 4 квартала 2021 г., тем не менее абсолютное большинство (77%) критических киберинцидентов в 1 квартале 2022 года было связано с атаками на онлайн-ресурсы российских организаций, а в предыдущем периоде 78% критических инцидентов было связано с сетевыми атаками (как правило, это сканирование внешнего периметра общедоступными средствами), а 14% – с заражением ВПО. В 1 квартале 2022 года на сетевые атаки пришлось уже 10%, а на заражение ВПО – только 3%. Налицо очень резкое изменение хакерской активности, которое связано с событиями конца февраля и начала марта.
Активность хактивистов
Как отмечают эксперты «Ростелеком-Солар» в 4 квартале предыдущего года критических веб-атак зафиксировано вообще не было. Резкий всплеск подобных инцидентов начался только с конца февраля. При этом целью хакеров был скорее не взлом веб-приложений для хищения ценных данных, а дестабилизация работы сайтов или подмена главной страницы сайта (дефейс). Примечательно, что в этот же период выросло число массовых инцидентов, что указывает на рост активности со стороны низкоквалифицированных злоумышленников — так называемых хактивистов.
«Обычно топ наиболее популярных типов атак объясняется дешевизной и простотой ряда техник, а также наличием типичных “слабых мест” на ИТ-периметрах компаний, — пояснила ситуацию с критическими инцидентами руководитель направления аналитики киберугроз компании «Ростелеком-Солар» Дарья Кошкина. — Так, в 1 квартале 2022 года мы видим значительный рост критичности веб-атак. С одной стороны, хакеры активно применяли эту технику для того, чтобы посеять панику в обществе. С другой, компании пока нечасто уделяют внимание закрытию веб-уязвимостей, что делает онлайн-ресурсы одним из наиболее слабых мест в инфраструктурах».
При этом хакеры с разной квалификацией стали чаще использовать компрометацию учетных записей, что напрямую связано с попытками взлома инфраструктур атакуемых компаний. Количество подобных атак выросло за квартал на 9%. Также на 11% увеличилось число случаев несанкционированного доступа к информационным системам и сервисам. В то же время за последние месяцы на теневом рынке выросло количество заказов на получение доступа к учетным данным различных компаний. Это может указывать на то, что ряд организаций не озаботились внутренней политикой безопасности на фоне обострения международной обстановки. А профессиональным хакерам необходимы плацдармы для совершения атак на как на внутренние ресурсы крупных компаний, так и на атаки через посредников и партнеров.
Тихий омут киберопераций
Конечно, хактивисты опасны для веб-инфраструктуры, однако от непрофессиональных взломщиков, которые традиционно пользуются инструментами с открытыми исходными кодами, можно достаточно эффективно бороться стандартными инструментами информационной безопасности — анти-DDoS решениями, межсетевыми экранами уровня веб-приложений и системами обнаружения вторжений. Серьезного вреда внутренним корпоративным ресурсам такие атаки нанести не способны.
Однако более опасными противниками являются кибервойска различных стран, которые могут и не использовать вредоносных инструментов для проникновения в корпоративные сети. Более эффективным методом компрометации нужной жертвы является использование легитимных учетных данных, которые можно перехватить с помощью целенаправленного фишинга, либо подобрать методом грубой силы. Поэтому увеличение числа случаев торговли учетными данными и несанкционированного доступа является более опасной тенденцией для корпоративного сектора. Рекомендуется использовать для удаленного доступ эффективные методы строгой аутентификации или даже специализированного шифрования. Службам ИБ стоит также озаботиться антивирусной проверкой удаленных рабочих мест и сообщений электронной почты, а также тщательным контролем поведения пользователей с целью выявления их аномального поведения. Не стоит также пренебрегать внедрением методологии сетевого доступа с нулевым доверием — ZTNA.
