BI.ZONE рассказала об киберугрозах и киберинцидентах за первое полугодие 2024

BI.ZONE представила аналитический отчёт по угрозам и киберинцидентам за первое полугодие 2024. По этому отчёту, резкий рост числа киберинцидентов, наблюдаемых компанией в 2022 и в начале 2023 года, несколько замедлился, а доля высококритичных киберинцидентов незначительно уменьшилась. 38% инцидентов было зафиксировано в промышленности, 27% — в IT‑отрасли и 15% — в финансовой сфере. Однако в подавляющем большинстве случаев злоумышленников удаётся остановить прежде, чем они успевают нанести ущерб.

BI.ZONE рассказала об киберугрозах и киберинцидентах за первое полугодие 2024

Как и в 2023 году, нередко встречаются атаки через подрядчиков, а фишинг и использование легитимных учётных записей остаются в топе наиболее популярных методов для получения первичного доступа к инфраструктуре.В отчёте собраны и обобщены данные о киберинцидентах, зафиксированных специалистами сервиса по мониторингу и реагированию на инциденты компании BI.ZONE.

В рамках отчёта указано, что рост числа киберинцидентов замедлился после резкого скачка в 2022 году – начале 2023 года. В первом полугодии 2024 года специалистами ИБ-компании было зафиксировано на 40% больше киберинцидентов, чем в том же периоде 2023 года. Такие изменения связаны с увеличением числа клиентов сервиса и конечных точек (серверов и рабочих станций), которые находятся под мониторингом компании BI.ZONE. По состоянию на конец июня 2024 года их число составило более 250 тысяч, что примерно на 30% больше, чем в том же периоде 2023 года.

Как уже говорилось, больше всего киберинцидентов зафиксировано в промышленности, IT и финансовой отрасли. При этом подавляющее большинство кибератак, обнаруживаемых в финансовых и страховых компаниях, не приводят к киберинцидентам. Это связано с тем, что отрасль традиционно предъявляет повышенные требования к кибербезопасности, поэтому большинство атак удаётся остановить на начальном этапе, до того, как злоумышленники успевают нанести какой‑либо ущерб или закрепиться в инфраструктуре.

В первом полугодии 2024 года аналитики BI.ZONE зафиксировали 39 высококритичных киберинцидентов, а в 2023 году было обнаружено 26. Однако рост абсолютных показателей в данном случае нерепрезентативен: в 2024 году к высококритичным инцидентам привели только 0,6% всех зафиксированных атак, а в 2023 году — 0,7%.

Одним из факторов, обусловивших снижение доли высококритичных киберинцидентов, могло стать более широкое применение специализированных решений по защите конечных точек класса endpoint detection and response (EDR). Их доля на российском рынке за последние два года увеличилась в 1,5–2 раза. Эти решения позволяют обнаруживать сложные угрозы на конечных точках, а также реагировать на них оперативно, до того, как атакующие проникают вглубь инфраструктуры и достигают своих целей.

BI.ZONE представила аналитический отчет по угрозам и киберинцидентам за первое полугодие 2024По отчёту говориться, что для проникновения в IT‑инфраструктуру злоумышленники чаще всего используют фишинг, а также эксплуатируют уязвимости во внешних сервисах. Атаки через подрядчиков встречаются реже, хотя в последние несколько лет их стало больше из‑за стабильно высокого спроса на услуги по сопровождению и техподдержке ПО и оборудования, заказной разработке и тестированию программных продуктов.

Тем не менее, атаки на подрядчиков представляют более серьёзную угрозу для компаний, чем фишинг или эксплуатация уязвимостей, поскольку действия злоумышленников в таких случаях сложнее распознать и остановить на ранней стадии. Именно по этой причине, а также из‑за незащищённости самих подрядчиков такие атаки стали трендом прошлого года. В 2024 году с атаками через подрядчиков по‑прежнему связано большинство киберинцидентов несмотря на то, что таких атак значительно меньше, чем например фишинга.

Кроме того, для атак на компании киберпреступники активно используют легитимные учётные записи, данные которых крадут с помощью программ‑стилеров. Из инструментов наибольшей популярностью у злоумышленников пользуются средства для построения сетевых туннелей ngrok и Stunnel, а также утилиты удалённого доступа, такие как PhantomRAT и Sliver. В отличие от трояна удалённого доступа PhantomRAT, Sliver является условно легитимным инструментом, который изначально создавался для тестирования на проникновение.

В топ-5 наиболее популярных инструментов для атак также входит Gsocket — программа удалённого доступа с открытым исходным кодом. Преступники стали активно применять Gsocket в 2023 году, чтобы выполнять в удалённой системе произвольные команды и копировать файлы в обход межсетевых экранов.

Источник: habr.com