THREAT ZONE: Исследование российского ландшафта киберугроз
Введение
Всем, кто хочет грамотно выстроить защиту, важно знать своего врага. Часто угрозы остаются скрытыми для компаний, а обнаружить их удается слишком поздно: уже после того, как инцидент произошел и бизнес столкнулся с его последствиями. Организации стремятся решить эту проблему: одни обеспечивают соответствие нормативным стандартам, другие строят модель угроз, а третьи берут за основу рискориентированный подход.
Однако, когда приходится столкнуться с реальными злоумышленниками, даже самая хорошая методология защиты, основанная на теоретических взглядах, на деле оказывается неэффективна. Чтобы обеспечить безопасность компании на практике, нужно знать противника в лицо и уметь ему противостоять. Для этого важно понимать, какие кибергруппировки существуют, какие методы и техники атак они используют, на что нацелены, какими мотивами руководствуются.
Подробней ознакомиться с презентацией можно тут.
Топ-10 техник злоумышленников
Эти техники преступники чаще всего используют в атаках на территории России и СНГ.
1. Command and scripting interpreter
С помощью интерпретаторов команд и сценариев, например PowerShell и Bash, злоумышленники могут решать задачи на разных этапах жизненного цикла атаки. Самой популярной эту технику делает широкая вариативность процедур, которые можно реализовать с ее помощью.
2. Remote services
В большинстве случаев злоумышленники не ограничиваются компрометацией одной системы, а для продвижения используют службы удаленного доступа, например RDP и SSH.
3. Obfuscated files or information
Чтобы снизить вероятность обнаружения вредоносных файлов, инструментов и сценариев, злоумышленники нередко прибегают к обфускации, что также может затруднять последующий криминалистический анализ.
4. Masquerading
Зачастую атакующие стремятся не привлекать внимание к используемым инструментам и ВПО, маскируя их названия под имена легитимных системных утилит и приложений.
5. Indicator removal
Чтобы скрыть вредоносную активность и затруднить последующий криминалистический анализ, злоумышленники удаляют неиспользуемые вредоносные файлы и инструменты, теневые копии, очищают журналы и т. п.
6. Phishing
Фишинг не только частая причина взлома корпоративных IT-инфраструктур, с ним также связано широкое использование легитимных учетных записей. Злоумышленники нередко применяют скомпрометированный аутентификационный материал, полученный благодаря стилерам. Они, в свою очередь, часто распространяются через фишинговые электронные письма.
7. OS Credential dumping
Злоумышленники по-прежнему активно извлекают аутентификационный материал с помощью популярных инструментов, например Mimikatz и LaZagne. Часто это открывает широкие возможности для продвижения в скомпрометированных IT-инфраструктурах.
8. Application layer protocol
Атакующим необходимо взаимодействовать со скомпрометированной системой. Чаще всего они используют для этого веб-протоколы, например HTTPS.
9. Impair defenses
Злоумышленники не только избавляются от следов, которые оставляют их методы и инструменты, но и отключают средства защиты. Это позволяет им беспрепятственно проходить этапы жизненного цикла атаки.
10. System information discovery
В большинстве случаев злоумышленникам необходимо получить хотя бы базовую информацию о скомпрометированной системе.
Ключевые выводы
Мы подготовили краткий обзор ландшафта киберугроз России и СНГ. Ниже представлены основные цели, методы и популярные техники злоумышленников, а также список самых атакуемых отраслей.
10 особенностей ландшафта киберугроз
В 2024 году команда BI.ZONE Threat Intelligence зафиксировала следующие ключевые особенности киберландшафта.
1. Использование инфраструктуры подрядчиков
Злоумышленники все еще активно используют инфраструктуры подрядчиков, чтобы получить доступ к IT-инфраструктурам жертв. При этом атакующие компрометируют как небольших, так и крупных провайдеров, что позволяет получить доступ к конфиденциальным данным множества компаний.
2. Применение ПО с русскоязычных теневых ресурсов
Кластеры активности регулярно используют для атак на российские организации ПО, распространяемое на русскоязычных теневых ресурсах. Такой подход позволяет злоумышленникам не тратить силы и средства на разработку и сразу получать готовый инструмент.
3. Эксперименты с фреймворками постэксплуатации
Атакующие активно экспериментируют с различными фреймворками постэксплуатации, в том числе непопулярными. Более того, в рамках одной атаки они могут использовать агенты различных фреймворков, что позволяет прочнее закрепляться в скомпрометированной IT-инфраструктуре и затрудняет реагирование на инцидент.
4. Фишинг от имени государственных организаций
Все чаще злоумышленники делают фишинговые рассылки от имени различных госорганизаций. В письмах они подчеркивают, что нужно быстро реагировать на сообщение. Это повышает вероятность того, что жертва откроет вредоносное вложение или перейдет по ссылке. 5 6 9 8 Threat Zone 2025
5. Использование средств туннелирования трафика
Злоумышленники активно используют средства туннелирования трафика, которые часто представляют собой легитимное ПО. Это позволяет обойти часть средств защиты и получить персистентный резервный канал доступа в скомпрометированную IT-инфраструктуру.
6. Загрузка собственных интерпретаторов команд и сценариев
Атакующие не только используют имеющиеся в скомпрометированной системе интерпретаторы команд и сценариев, но и загружают собственные. Последние, например Python или NodeJS, используются значительно реже, что затрудняет обнаружение вредоносной активности.
7. Деструктивные действия шпионов
Кластеры активности, занимающиеся шпионажем, не только собирают и эксфильтруют конфиденциальную информацию, но и, подобно хактивистам, могут реализовывать деструктивные действия в скомпрометированной IT-инфраструктуре.
8. Публикация данных на теневых ресурсах
Кластеры хактивистской направленности продолжают активно публиковать конфиденциальные и персональные данные на теневых ресурсах. При этом часто злоумышленники сначала анализируют полученное и ищут информацию, позволяющую им попасть в другие организации.
9. Коллаборация хактивистов
Злоумышленники, вовлеченные в хактивизм, активно сотрудничают друг с другом, что влияет на набор их методов и инструментов, а также затрудняет кластеризацию. В то же время так легче обнаружить связанную вредоносную активность.
10. Увеличение размера выкупа за расшифровку
Сумма, которую злоумышленники требуют за расшифровку данных, все чаще исчисляется десятками миллионов рублей. Атакующие тщательно изучают скомпрометированную организацию, в том числе ее финансовую отчетность, чтобы определить максимально возможную сумму выкупа.