В 2024 году более трети (37%) успешных кибератак на российские компании начались с компрометации учетных данных сотрудников. Это показало исследование центра исследования киберугроз Solar 4RAYS группы компаний «Солар», в котором отмечается значительный рост по сравнению с 2023 годом, когда на такие атаки приходилось лишь 19% инцидентов.
Отчет основан на данных расследований более 60 инцидентов, связанных с проникновением в IT-инфраструктуру различных компаний и организаций. По мнению экспертов, такая динамика связана с многочисленными утечками конфиденциальных данных в 2023 году, когда в открытый доступ попали данные почти 400 российских организаций.
Третий объём инцидентов с компрометацией учетных данных подтверждает, что киберпреступники успешно используют ранее скомпрометированные доступы. Эксперты отмечают, что часто атакующие применяют техники, связанные с легитимен использованными учетными записями и внешними удаленными сервисами. Эти техники позволяют атакующим проникать в инфраструктуру жертв, используя брутфорс учетных записей или ошибки в безопасности.
Динамика киберугроз также показывает, что другие виды взлома, такие как использование уязвимостей веб-приложений, начинают сокращаться — с 56% до 46% за год. Атаки с фишингом снизились с 19% до 11%. Тем не менее, процент атак через подрядчиков остался неизменным — 6%.
Цели злоумышленников варьируются: наибольшее количество инцидентов связано с кибершпионажем, который составил 58% всех атак. Мотивы хакеров также изменились, с сокращением атак, связанных с хактивизмом: с 35% в 2023 году до 10% в 2024. На первый план вышли финансовые мотивы, включая вымогательство и майнинг криптовалют.
П подавляющее большинство атак в этом году происхождением связано с проукраинскими АРТ-группировками, такими как Shedding Zmiy и Lifting Zmiy. Эти группировки фокусируются на шпионаже и разрушении архитектуры жертв. Азиатские группировки, например Obstinate Mogwai, также продолжают сохранять активность, отличаясь скрытным подходом к атакам.
Геннадий Сазонов, эксперт Solar 4RAYS, подчеркивает, что каждое проникновение должно служить сигналом для компаний пересмотреть свои подходы к информационной безопасности. Он призывает к регулярному патч-менеджменту, обучению сотрудников и внедрению эффективных систем защиты, чтобы справиться с растущими угрозами кибербезопасности.