Более половины (53,6%) инцидентов, которые в 2021 году расследовала «Лаборатория Касперского», начинались с эксплуатации уязвимостей.
Доля таких атак выросла с 2020 года более чем на 20 процентных пунктов*. Вероятно, это связано с тем, что в прошлом году было обнаружено множество уязвимостей в Microsoft Exchange Server. Распространённость этого ПО и публичная доступность эксплойтов для этих брешей привела к большому числу инцидентов с их применением.
При разработке вредоносной кампании злоумышленники в первую очередь ищут легко достижимые цели. Это, например, общедоступные серверы с хорошо известными уязвимостями, слабыми паролями или скомпрометированными аккаунтами. Именно из-за таких векторов атак год от года растёт число инцидентов высокой степени критичности. Тем не менее доли атак, которые начинались через аккаунты, скомпрометированные методом перебора паролей, и рассылку вредоносных электронных писем, снизились в 2021 году с 31,6% до 17,9% и с 23,7% до 14,3% соответственно.
Наиболее распространённая проблема для компаний в последние три года — программы-вымогатели. Именно потеря доступа к документам в результате их зашифровки стала в 2021 году основной причиной обращений в отдел расследования инцидентов «Лаборатории Касперского». Доля таких обращений выросла с 34% в 2019 году до 51,9% в 2021 году. В более чем половине случаев (62,5%) атакующие выжидали больше месяца после внедрения вымогателя, прежде чем зашифровать данные.
Злоумышленники скрывают то, что им удалось проникнуть в корпоративную сеть, в основном с помощью инструментов операционной системы, хорошо известных вредоносных программ и коммерческих фреймворков. Такие средства были обнаружены в 40% всех инцидентов, расследованных «Лабораторией Касперского». Проникнув в систему, атакующие используют легитимные инструменты для разных целей: PowerShell для сбора данных, Mimikatz для повышения привилегий, PsExec для выполнения команд удалённо, фреймворки, такие как Cobalt Strike, на всех стадиях атаки.
«Если вовремя устанавливать патчи, можно сократить вероятность успешной атаки на 50%. Наши данные подтверждают это. Но даже соблюдение всех необходимых мер не может гарантировать стопроцентную защиту, — комментирует Константин Сапронов, руководитель отдела расследования инцидентов «Лаборатории Касперского». — Злоумышленники прибегают к различным методам, и лучший способ обезопасить инфраструктуру — использовать инструменты и подходы, которые позволяют обнаружить их действия и остановить на разных стадиях атаки».
Чтобы свести к минимуму вероятность проникновения в корпоративную инфраструктуру, «Лаборатория Касперского» рекомендует:
- делать резервные копии данных, чтобы доступ к важным документам сохранялся в случае атаки программы-вымогателя, и использовать решения, которые умеют блокировать попытки шифрования данных;
- выбрать надёжного партнёра по вопросам реагирования на инциденты;
- если есть собственная команда по реагированию на инциденты, регулярно проводить тренинги для неё, чтобы она была в курсе наиболее актуальных киберугроз;
- изучать профили злоумышленников, заинтересованных в атаках на вашу индустрию и регион, чтобы внедрить действительно эффективные защитные меры;
- внедрить EDR-решение и сервис, который умеет распознавать и останавливать атаки на ранней стадии, до того как злоумышленники нанесут существенный урон.
* Данные отчёта «Лаборатории Касперского» о результатах анализа инцидентов безопасности в 2021 году.
Источник: «Лаборатория Касперского»