За год скорость взлома хакерами крупных компаний увеличилась на 30 %, отмечают эксперты по кибербезопасности. Речь идет о считанных днях, а в некоторых случаях - о часах.
Об основных причинах такой эффективной экономии времени, расскажем в этой статье.
Время - деньги
Скорость проникновения хакеров в IT-инфраструктуру российских компаний заметно увеличилась. Об этом сообщили опрошенные поставщики решений по кибербезопасности.
Если сравнивать с началом 2023 года, рост составляет около 30 %. Однако в ряде случае она может доходить до 72 часов, сообщает “Коммерсантъ”.
Так злоумышленникам удается сократить время между первоначальным проникновением, перемещением по инфраструктуре жертвы и непосредственным взломом. Кроме того, скорость закрепления хакеров в инфраструктуре также заметно увеличилась: теперь время закрепления может составлять около часа против трех часов год назад.
Несмотря на то, что компании усиливают киберзащиту, бороться со злоумышленниками становится все сложнее. Под угрозой находятся госсектор и промышленность. Последняя, в свою очередь, с начала года опережает по числу атак финансовый сектор.
Почему так происходит?
Эксперты компании F.A.C.C.T. считают, что скорость взломов IT-систем крупных компаний, возросла в первую очередь из-за того, что злоумышленникам в прошлом году удалось скомпрометировать большое количество различных IT-интеграторов и компаний, осуществляющих разработку программного обеспечения. В их инфраструктурах злоумышленники добыли значительное количество аутентификационных данных для подключений к их клиентам.
Также на руку злоумышленникам играют брокеры первоначального доступа, продающие аутентификационные данные на теневых форумах. Таким образом, используя добытые или купленные аутентификационные данные, злоумышленники получили возможность входить на внутренний периметр жертв при помощи легитимных аутентификационных данных ничего не взламывая.
Кроме того, о состоявшихся атаках многие интеграторы могут и не подозревать, поскольку они не способны это выявить из-за отсутствия современных средств защиты, а некоторые, к сожалению, порой не спешат уведомлять своих клиентов по причине "репутационных рисков".
Специалисты компании F.A.C.C.T. выделили ряд объективных причин, по которым наблюдается тенденция снижения времени, которое тратят злоумышленники на взлом IT-систем крупных компаний:
- Увеличивается общее количество атак, вместе с этим увеличивается и количество атак, в которых злоумышленники имеют цель максимально просто извлечь финансовую выгоду, используя простые и эффективные техники. Информация о крупных партнерских программах вымогателей, их заработках, приводит к нездоровой популяризации такого "бизнеса", что приводит к увеличению числа желающих стать новыми "пентестерами".
- Текущая геополитическая обстановка: между политически мотивированными группами (хактивистами) существует коллаборация и обмен опытом, что существенно повышает общие компетенции атакующих, соответственно и растет эффективность атак.
- Развитие малварных сервисов. Это приводит к распределению ролей между злоумышленниками и их специализации. Многие процессы атак распараллеливаются, растет теневой бизнес продажи доступов, растет и качество и выбор инструментов, которые используют злоумышленники в своих атаках.
А вот период развития в инфраструктуре жертвы зависит от других факторов. Здесь время, необходимое на реализацию атаки, зависит от масштаба инфраструктуры и ее сложности, квалификации злоумышленников, а также их целей.
В прошлом году состоялось значительное количество атак, которые позволили многим неопытным атакующим отточить свои навыки, определиться с набором инструментов и выработать эффективные сценарии ее развития. Тенденция на уменьшение времени реализации целей атаки это подтверждает и далее, период развития атаки, по мнению специалистов, будет сокращаться.
Какие цели преследуют хакеры?
В прошлом году было замечено большое количество атак, связанных с утечками данных. Они реализовывались в большей степени эксплуатацией уязвимостей публичных сервисов. Если цель атаки - совершить утечку данных подобным способом, то она реализуются довольно быстро, однако утечкой уже никого не удивишь и большого резонанса не создашь, все "привыкли". Из рисков - только репутационный урон.
В этом году специалисты наблюдают уменьшение атак, связанных с утечкой данных, и одновременно с этим увеличение атак с использованием вредоносных программ, шифрующих данные. Подобные программы используются в качестве оружия для безвозвратного уничтожения данных или в качестве инструмента вымогательства за расшифровку. Такие атаки являются наиболее резонансными, поскольку наносят не только репутационный урон, но и большой финансовый.
Антирекорды
Если говорить об атаках кибердиверсантов и бандах вымогателей, то те группы, которые проводят эксфильтрацию данных, тратят больше времени на развитие атаки. Это связано с тем, что во время нахождения на периметре жертвы они сначала изучают данные, которые предстоит украсть, а затем стараются выгрузить их, не обнаружив себя.
Данный процесс может занимать довольно продолжительное время. В атаках, которые мы наблюдаем сейчас, как правило, эксфильтрация не проводится и соответственно на ее развитие может уйти лишь несколько дней, поскольку необходимо лишь изучить инфраструктуру и реализовать деструктивные действия.
Эксперты компании F.A.C.C.T. выявили рекордсмена по времени развития атаки с использованием программы-вымогателя. Обладателем такого антирекорда является группа HsHarada. Данная группа атакует малый и средний бизнес, а период времени реализации целей атаки может составлять до 3-х часов.
Для того, чтобы быть в курсе актуальных новостей в мире информационной безопасности, подписывайтесь на наш канал "Кибербез по фактам". Мы знаем о киберпреступности всё. Рассказываем самое интересное.
