«Ростелеком-Солар»: с III квартала на смену массовым приходят продвинутые целевые атаки

При этом в I и II кварталах 2022 г. лидирующую позицию занимали сетевые и веб-атаки, а на долю ВПО приходилось не более 14% инцидентов. Такое изменение указывает на то, что в первой половине года хакеры «прощупывали» инфраструктуры, реализуя массовые атаки, а сейчас сконцентрировались на более сложных и точечных ударах.

В целом количество инцидентов, зафиксированных экспертами «РТК-солар», остается стабильно высоким – более 214 тыс. Это чуть ниже показателей II квартала 2022 г., но все равно значительно превышает статистику начала года. К тому же по своему содержанию атаки стали более опасными. ВПО доставляется на компьютеры жертвы в основном через фишинговые рассылки, а четверть критичных инцидентов связана с применением вирусов-шифровальщиков.

Еще 27% критичных инцидентов связано с эксплуатацией уязвимостей. Этот тренд наметился еще весной 2022 г. после ухода зарубежных вендоров с российского рынка. В итоге многие компании не смогли вовремя установить патчи для закрытия уязвимостей и обновить сигнатуры на различных СЗИ. А так как переход на отечественное ПО займет далеко не один месяц, хакеры еще долго будут искать уязвимости в ИТ-инфраструктурах своих жертв.

Веб-атаки, доля которых в общем объеме критичных инцидентов до II квартале 2022 г. достигла 90%, практически исчезли из арсенала хакеров. В июле-сентябре 2022 г. с вебом было связано менее 1% таких атак.

Подобное изменение ИБ-ландшафта вполне ожидаемо. В I квартале взломы сайтов во многом осуществлялись ради мгновенной реакции со стороны общественности, появления резонансных инфоповодов и создания массовой паники. Такой подход в принципе не может существовать долго, поэтому тактики злоумышленников начали перестраиваться уже летом, а сейчас их фокус сменился окончательно. Текущие цели показывают позиционную тактику – проникновение, закрепление и нанесение ущерба.

 

Дарья Кошкина,

руководитель направления аналитики киберугроз компании «Ростелеком-Солар».

Можно предположить, что тенденция, связанная с дальнейшим дифференцированием подходов к проникновению и закреплению в инфраструктуре, будет нарастать, как и использование тактик атак «не в лоб», а, например, через подрядчиков. Успешность таких атак во многом будет зависеть от своевременности принимаемых компаниями мер в части ИБ и скорости импортозамещения.