В 2023 году кибератаки через подрядчиков стали одним из самых распространенных способов проникновения злоумышленников в корпоративную сеть

Таковы данные ежегодного отчета глобальной команды по реагированию на компьютерные инциденты «Лаборатории Касперского» (Global Emergency Response Team).

В числе причин, по которым компании чаще всего обращались за помощью по реагированию на инциденты, — утечки и невозможность получить доступ к данным в результате шифрования.

Компрометация через подрядные организации встречалась и раньше, но в этом году доля таких инцидентов выросла и составила 7%. Такой вектор позволяет атакующим через одну взломанную организацию получить доступ иногда к десяткам жертв. Для обнаружения подобных инцидентов требуется больше времени, так как для пострадавшей организации действия атакующих часто выглядят очень похожими на легитимные действия сотрудников подрядной организации.

Самым распространенным методом начальной компрометации (42% случаев) в 2023 году оставались уязвимости в публично доступных приложениях: почтовых и веб-серверах, серверах удаленного доступа и т.п. (треть из них была атакована через уже известные уязвимости). На втором месте (29%) — использование учетных данных пользователей, скомпрометированных в том числе в результате атак методом перебора паролей.

Основной угрозой для организаций любых отраслей остаются шифровальщики. В 2023 году с ними был связан каждый третий инцидент (33%). Чаще всего это были атаки Lockbit (28% случаев от общего количества атак шифровальщиков), BlackCat (13%), Phobos (9%) и Zeppelin (9%). Половина всех атак с шифровальщиками начиналась с компрометации публично доступных приложений, еще 40% использовали скомпрометированные учетные данные, в остальных 10% атака происходила в результате фишинга либо использования доверительных отношений.

Большая часть атак с шифрованием данных заканчивалась в течение суток (43%) или нескольких дней (33%), 13% длились неделями, 11% — больше месяца.

В ходе практически всех долгих атак с применением шифровальщиков, которые длились неделями и месяцами, данные подвергались не только шифрованию, но и утечке. Доля компаний, столкнувшихся с утечкой данных, выросла и составила 21% от общего числа инцидентов.

«Сложность инцидентов, связанных с компрометацией через подрядные организации, в том, что не все компании, через которые были атакованы их клиенты, понимают необходимости проведения полномасштабного анализа и сотрудничества. В большинстве случаев риск проникновения через распространенные векторы атак, такие как эксплуатация уязвимостей в публично доступных приложениях, скомпрометированные учетные записи, вредоносные письма, можно снизить с помощью превентивных мер, то есть своевременного управления обновлениями, использования многофакторной аутентификации, внедрения антифишинговых решений и повышения цифровой грамотности сотрудников», — комментирует Константин Сапронов, руководитель глобальной команды по реагированию на компьютерные инциденты «Лаборатории Касперского».

Подробные результаты отчета будут представлены 11 апреля в 11:00 (МСК) на вебинаре «Сезон киберохоты: аналитика инцидентов за 2023 год». Участие в вебинаре бесплатное, регистрация доступна по ссылке.

Чтобы защитить компанию от кибератак, «Лаборатория Касперского» рекомендует:

— внедрять надежную парольную политику и многофакторную аутентификацию;

— закрывать порты управления от доступа извне;

— устанавливать обновления ПО или использовать дополнительные меры защиты для сервисов на периметре сети;

— повышать уровень осведомленности сотрудников по вопросам информационной безопасности;

— использовать правила обнаружения легитимных инструментов, применяемых атакующими;

— использовать решения классов EDR и XDR;

— регулярно проводить киберучения с применением распространенных техник и тактик злоумышленников;

— ограничить использование ПО из набора атакующих внутри корпоративной сети;

— делать резервное копирование данных;

— оформить подписку на реагирование на инциденты с SLA;

— поддерживать готовность команды реагирования с помощью тренингов и киберучений.