В 2024 году хакеры в 3 раза чаще использовали скомпрометированные учётные записи – исследование

Отчёт построен на данных расследований, проведённых командой Solar 4RAYS в 2024 году. Исследование содержит информацию об атакованных отраслях, целях злоумышленников, их техниках и тактиках. Также в отчёте представлены основные характеристики обнаруженных экспертами кибергрупировок. Всего за отчётный период было разобрано более 60 инцидентов, связанных с проникновением в IT-инфраструктуру различных компаний и организаций.

В количественном выражении число подобных кейсов за год увеличилось почти в три раза. Такая динамика, скорее всего, связана с тем, что в течение 2023 года случилось большое количество утечек конфиденциальных данных. По информации центра мониторинга внешних цифровых угроз Solar AURA, за 2023 год в открытый доступ попали данные почти 400 российских организаций. Среди этих утечек оказалось немало паролей.

На фоне роста компрометации аккаунтов другие способы проникновения в инфраструктуру, напротив, сокращаются. Чаще всего для преодоления внешнего IT-периметра злоумышленники используют уязвимости веб-приложений. Однако за год доля таких инцидентов сократилась — с 56% до 46%. Часто это уязвимые корпоративные порталы, опубликованные в открытом доступе, веб-приложения, о существовании которых забыли и не контролируют, сервисы, которые работают на необновлённом ПО. Также за год снизилась и доля атак, начавшихся с фишинга: с 19% до 11%. Неизменным остался только процент, который приходится на атаки через подрядчиков, — 6%.

Цели злоумышленников разнообразны. Чаще всего это кибершпионаж (на него пришлось 58% киберинцидентов). А доля атак с целью хактивизма и хулиганства сократилась с 35% в 2023 году до 10% в 2024. Категория уступила второе место атакам с финансовой мотивацией (вымогательство с помощью вирусов-шифровальщиков и майнинг криптовалют).

Подавляющее большинство атак в 2024 году было реализовано проукраинскими АРТ-группировками. Самые активные из них — Shedding Zmiy и Lifting Zmiy, с деятельностью которых была связана половина расследованных инцидентов. Как правило, их цели — это шпионаж с последующим уничтожением инфраструктуры жертвы. Часто в качестве инструмента злоумышленники использовали вирусы-шифровальщики, которые безвозвратно удаляли данные жертвы. При этом всё активнее группировки целятся в ресурсы виртуализации, на которых сегодня работают многие организации.

Сохраняют свою активность и азиатские группировки, в частности, Obstinate Mogwai, которая стала причиной 15% расследуемых атак в 2024 году. Для киберпреступников из Азиатского региона свойственно долгое скрытное нахождение в инфраструктуре, однако они редко завершают свои атаки деструктивными действиями.

---

Источник: https://d-russia.ru/v-2024-godu-hakery-v-3-raza-chashhe-ispolzovali-skomprometirovannye-uchjotnye-zapisi-issledovanie.html
Дата: 13.03.2025

---

Последние новости: