Угрозы сдвинулись вслед за повесткой

Как отмечается авторами исследования, набор критических инцидентов в начале текущего года по сравнению с последним кварталом 2021 года существенно изменился. В конце прошлого кода 78% инцидентов были связано с сетевыми атаками (как правило, это сканирование внешнего периметра общедоступными средствами), а 14% – с заражением вредоносным ПО. В 1 квартале 2022 года на сетевые атаки пришлось 10%, а на заражение вредоносным ПО – только 3%. Атак на веб-приложения отмечено не было. Количественно же количество инцидентов в 1 квартале 2022 года выросло на 4% по сравнению с предшествующим. Вместе с тем, как раз в конце 2021 года отмечался существенный рост массовых атак со стороны низкоквалифицированных злоумышленников. Также в исследовании отмечается, что хакеры c разным уровнем квалификации стали чаще использовать компрометацию учетных записей, что напрямую связано с попытками взлома инфраструктур атакуемых компаний. Количество подобных атак выросло за квартал на 9%. По официальным данным, именно таким образом была произведена и кибератака на видеохостинг RuTube, которая поразила 75% баз данных и инфраструктуры. Также на 11% увеличилось число случаев несанкционированного доступа к информационным системам и сервисам. В то же время за последние месяцы на теневом рынке выросло количество заказов на получение доступа к учетным данным различных компаний. Это может указывать на то, что ряд организаций не озаботились проблемами безопасности на фоне обострения международной обстановки. Однако, по оценке главы британского Центра правительственной связи Джереми Флеминга, имевшие место ранее опасения относительно возникновения полноценной кибервойны между Российской Федерацией и Украиной не оправдались, хотя "злонамеренная киберактивность все равно стала неотъемлемой частью этого конфликта". При этом Питер Флеминг обвинил группировки, заявившие о поддержке российской стороны, в атаках на другие страны с целью обострения конфликта. "Обычно топ наиболее популярных типов атак объясняется дешевизной и простотой ряда техник, а также наличием типичных "слабых мест" на ИТ-периметрах компаний. Так, в 1 квартале 2022 года мы видим значительный рост критичности веб-атак. С одной стороны, хакеры активно применяли эту технику для того, чтобы посеять панику в обществе. С другой, компании пока нечасто уделяют внимание закрытию веб-уязвимостей, что делает онлайн-ресурсы одним из наиболее слабых мест в инфраструктурах", – прокомментировала результаты исследования руководитель направления аналитики киберугроз компании "Ростелеком-Солар" Дарья Кошкина. В пресс-службе Group-IB также обратили внимание на следующее обстоятельство: "Время восстановление инфраструктуры атакованной компании зависит от того, к чему атакующий смог получить доступ, что именно он сделал в ходе саботажа, а также от уровня подготовки специалистов, проводящих реагирование. В любом случае, в рамках восстановительных работ важно провести не только аудит состояния инфраструктуры, "зачистку" от возможных следов атаки, но и уделить особое внимание поиску следов компрометации (Compromise Assessment). Кроме восстановления, нужно установить всю хронологию атаки и выяснить что атакующие делали внутри сети, чтобы не допустить повторения инцидента сразу после восстановления инфраструктуры". Также, по данным Group-IB, в каждом третьем случае некорректное проведение работ по восстановлению инфраструктуры после атаки, приводит к повторной атаке. Директор Экспертного центра безопасности Positive Technologies Алексей Новиков также обратил внимание на следующие изменения в тактике злоумышленников: "В числе особенностей атаки (имеется в виду кибератака на RuTube, прим. ComNews), которые, впрочем, в последние месяцы стали типичным поведением для злоумышленников, стоит отметить то, что параллельно с решением общих задач (выведением сервиса из строя), злоумышленники выкачивали некоторый объем внутренней информации сервиса, которая в дальнейшем используется для публичного подтверждения факта атаки (публикации документов в публичном поле) и обеспечивает повышенное массовое внимание к атаке и деятельности злоумышленников". Также Алексей Новиков, сославшись на свой опыт, заявил о том, что работы по расследованию данного инцидента занимают до трех недель, и до окончания этих работ невозможно оценивать картину произошедшего. Ссылка на источник