«Ростелеком-Солар»: всего за 7 дней киберпреступники достигают цели

Кибератаки захлестнули весь мир. Похоже, хакерам по плечу любая задача и уровень их «мастерства» все время растет: от проникновения в инфраструктуру и до достижения целей им в среднем требуется 7 дней, а не несколько месяцев, как это было еще совсем недавно, каких-то пару лет назад. К таким выводам пришли в центре расследования инцидентов Solar JSOC CERT компании «Ростелеком-Солар».

Новый тренд эксперты уже связали с ростом числа атак по политическим мотивам, а также их усложнением. Сегодня хакеры объединяются в сообщества, где более слабые в профессиональном смысле подчиняются злоумышленникам с высокой квалификацией. Различные инструменты для реализации атак (ВПО, эксплойты и т.п.) можно бесплатно найти на форумах в даркнете и даже в ТГ-каналах. А к своей киберзащите многие организации относятся легкомысленно, вероятно, жалея денег на высококлассных специалистов.

Группа Solar JSOC CERT компании «Ростелеком-Солар» представила аналитику на основе расследований, проводимых в течение года – с марта 2022 по март 2023 года. Оценили 40 успешных атак, связанных с проникновением в ИТ-инфраструктуру крупнейших российских организаций госсектора, промышленности, энергетики, ритейла, телекома, СМИ, финансов.

По мнению экспертов, киберпреступники преследуют три основных цели: шифрование данных для получения выкупа, кибершпионаж и хактивизм. Именно последнее «направление» стало самым популярным – число таких кейсов подскочило в пять раз. В качестве жертв для большего хайпа выбирают медийных персонажей: из госсектора, СМИ, финансов, телекома и других отраслей.

Чтобы проникнуть в инфраструктуру жертвы, в половине случаев кейсов (54%) искали и находили уязвимости в сервисах, доступных из интернета. Самый распространенный пример – это ProxyLogon (критическая уязвимость 2021 года в Microsoft Exchange Server). Интересно, что многие компании не спешат исправлять недостатки в этом получившем широкое распространение почтовом сервисе. Как итог – злоумышленники легко получают доступ не только к переписке сотрудников, но и развивают атаку в локальной сети, проникнув в ИТ-инфраструктуру.

Также в расследованиях Solar JSOC CERT встречались взломы таких популярных сервисов, как Apache, Oracle WebLogic Server, Bitrix.

На фоне возрастающей угрозы крупные компании усилили киберзащиту. Профессиональные взломщики пошли другим путем: стали искать точки входа в подрядных организациях. Последние защищены хуже, поэтому попасть в инфраструктуру намеченной жертвы можно через них.

«За последний год мы увидели немало тревожных трендов. Во-первых, внимание киберпреступников теперь привлекает вся российская ИТ-инфраструктура, а не отдельные ее сегменты, как раньше. Мы видим, как выросла активность прогосударственных APT-группировок. Их интересы уже давно не ограничиваются федеральными и региональными органами власти. Мы встречаем их в инфраструктурах энергетических компаний и даже СМИ. Нельзя забывать про ускорение развития атак и повышение квалификации хакеров. Все чаще профессиональные злоумышленники объединяют под своим началом хактивистов. Последние учатся не просто организовывать DDoS или дефейс, а нацелены уже на продолжительное присутствие в ИТ- инфраструктуре и даже получение доступов через связанные между собой организации. Все это говорит о том, что защита от кибератак становится приоритетом для всех сфер и отраслей», – прокомментировал ситуацию Игорь Залевский, руководитель центра расследования киберинцидентов Solar JSOC CERT компании «РТК-Солар».