Абсолютное большинство (92%) кибератак, совершенных высокопрофессиональными злоумышленниками в 2021 году, было направлено на объекты критической информационной инфраструктуры (КИИ).
Чаще всего внимание хакеров с высокой квалификацией – кибернаемников и проправительственных группировок – привлекали госорганизации, предприятия энергетики, промышленности и ВПК. Такие цифры озвучил на SOC-Форуме 2021 вице-президент «Ростелекома» по кибербезопасности, генеральный директор «Ростелеком-Солар» Игорь Ляпунов.
Всего, согласно исследованию «Ростелеком-Солар», в 2021 году было зафиксировано свыше 300 атак, реализованных профессиональными злоумышленниками, что на треть превышает показатели прошлого года. Большая часть атак была реализована группировками со средней квалификацией – киберкриминалом. Такие хакеры используют кастомизированные инструменты, доступное ВПО и уязвимости, социальный инжиниринг, а их основной целью является прямая монетизация атаки с помощью шифрования, майнинга или вывода денежных средств.
На высокопрофессиональные группировки пришлось 18% атак, совершенных в отчетный период. Такие киберпреступники используют сложные инструменты: самописное ПО, 0-day-уязвимости, ранее внедренные «закладки». Как правило, они нацелены на заказные работы, кибершпионаж, хактивизм, полный захват инфраструктуры, а их жертвами становятся крупный бизнес и объекты КИИ.
«Такие атаки почти всегда являются таргетированными, поэтому сначала злоумышленники внимательно изучают атакуемую организацию. Причем кибернаемники и проправительственные группировки проводят разведку не только в отношении ИТ-периметра жертвы, но и в отношении ее подрядчиков, – отметил директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» Владимир Дрюков. – Эти группировки хорошо знакомы с логикой работы базовых средств защиты информации, что позволяет им долгое время оставаться незамеченными. А ущерб от их действий может исчисляться сотнями миллионов рублей. Если же речь идет о КИИ, то возникают также риски, связанные с влиянием на экономику страны в целом, безопасность граждан и политическую ситуацию».
Ключевые техники, используемые профессиональными хакерами для взлома периметра, за год изменились незначительно. Фишинг по-прежнему занимает лидирующую позицию среди техник злоумышленников среднего уровня (60% атак), что объясняется его дешевизной и массовостью.
В 50% атак хакеры с высокой квалификацией эксплуатируют веб-уязвимости. Это связано с тем, что веб-приложения объектов КИИ и органов госвласти (например, корпоративные порталы или веб-почта) до сих пор слабо защищены и имеют огромное количество ошибок. Кроме того, высокопрофессиональные злоумышленники чаще, чем киберкриминал, прибегают к атакам через подрядчика, рост числа которых наблюдается уже не первый год. Фишинг же, напротив, применяется ими только в 2% случаев. К наиболее популярным техникам взлома в 2021 году также добавилась эксплуатация уязвимостей в MS Exchange, которые были опубликованы в конце 2020 года.
Как и годом ранее, для закрепления внутри сети киберпреступники чаще всего использовали механизмы автозагрузки и системные службы. А для развития подавляющего числа атак – удаленные сервисы RDP, SMB, SSH. В частности, это связано с массовым переходом на дистанционный режим работы: компании стали активнее использовать эти протоколы, позволяющие организовать удаленный доступ к файлам и устройствам.