«Лаборатория Касперского» представила отчёт «Ландшафт угроз для стран СНГ» за первый квартал 2024 года и 2023 год. В документе команда Kaspersky Cyber Threat Intelligence описала актуальные угрозы, составила перечень тактик, техник и процедур атак, а также средства снижения киберрисков.
В Азербайджане с января по март 2024 года 49,37% пользователей столкнулись с киберугрозами.
Фишинг чаще всего направлен на получение доступа к банковским данным или другой конфиденциальной информации, связанной с финансовыми учреждениями.
Использование Telegram в контексте фишинга и социальной инженерии в Азербайджане становится все более и более популярным из-за распространенности мессенджера. Злоумышленники предлагают пользователю выполнить вход с помощью Telegram и подтвердить личность якобы для получения бонуса. Таким образом компрометируются учетные данные Telegram-аккаунта пользователя.
«В 2024 году киберпреступники используют комплексные подходы для повышения эффективности кибератак. Фишинг, таргетированный на конкретного человека, делает коммуникацию от лица злоумышленников более убедительной и трудной для обнаружения. Организациям важно управлять человеческими рисками, создавать целенаправленные программы безопасности, особенно в условиях возрастающих киберугроз для таких стран, как Азербайджан», — комментирует Мушвиг Мамедов, официальный представитель «Лаборатории Касперского» в Азербайджане.
Другие выводы отчёта. В последние полтора года угроза хактивизма продолжила набирать обороты. Атакующие обращают внимание на организации со слабой защитой, без привязки к конкретной индустрии, используя любые доступные инструменты в открытой сети. При этом не снижают активности и группы, которые атакуют с целью шпионажа и финансовой выгоды, например шифровальщики.
Злоумышленники предпочитают не менять свои сценарии и атакуют наименее подготовленные с точки зрения кибербезопасности организации, например эксплуатируют уже хорошо известные и распространённые уязвимости в продуктах, которыми пользуются многие организации.
Уязвимости в атаках на корпоративную сеть. Более половины самых активно эксплуатируемых CVE были зарегистрированы в конце прошлого десятилетия. Самой распространённой в 2023 году и первом квартале 2024 года стала критическая уязвимость CVE-2021-44228 (Log4Shell) в библиотеке Apache Log4j, которая позволяет удалённо выполнять код. На втором месте — уязвимость CVE-2019-0708 (BlueKeep) в Microsoft Windows и Microsoft Windows Server. Помимо удалённого выполнения кода, она также позволяет раскрывать конфиденциальную информацию, повышать привилегии и подменять пользовательский интерфейс. В тройку наиболее часто используемых также вошла уязвимость CVE-2020-7247 в почтовом сервере OpenSMTPD, с помощью которой можно удалённо выполнять код и повышать привилегии.
Уязвимости в атаках через конечные устройства. Для атак на корпоративные устройства в странах СНГ злоумышленники чаще всего используют уязвимости в архиваторах 7-Zip и WinRAR, а также в браузере Google Chrome. В первом квартале 2024 года и в 2023 году при атаках на организации в странах СНГ атакующие эксплуатировали бреши в 7-Zip (CVE-2023-31102/CVE-2023-40481 и CVE-2022-29072). В число самых распространённых также вошли уязвимости в WinRAR (CVE-2023-38831) и Google Chrome (CVE-2023-1822/CVE-2023-1812/ CVE-2023-1813 и другие). Большинство самых активно используемых брешей (9 из 10) позволяют выполнять вредоносный код. При этом почти все они были зарегистрированы в 2023 году.
Угроза программ-вымогателей. Злоумышленники используют уязвимости в том числе для атак с использованием программ-шифровальщиков. В 2024 году они остаются одной из главных угроз для организаций по всему миру: число таких атак находится на стабильно высоком уровне, растёт совокупный размер выкупа, при этом компании сталкиваются со сложностью дешифровки.
В тройку самых распространённых типов** программ-вымогателей в первом квартале 2024 года вошли троянцы Dcryptor, Lockbit и Conti. В аналогичном периоде в прошлом году тройка выглядела следующим образом: Phobos, Lockbit и Conti.
«Нашей целью при подготовке отчёта было представить полноценное исследование актуального ландшафта киберугроз, а также ещё раз показать, что правильно выстроенные процессы информационной безопасности и анализ тактик, техник и процедур атакующих остаются надёжным средством противодействия киберугрозам. В частности, чтобы предотвратить использование уязвимостей для атак на организации, важно выстроить процесс их устранения, или Patch Management. Также необходимо использовать комплексные защитные решения, позволяющие оперативно выявить угрозы и их устранять. Помимо технических средств, стоит уделять внимание повышению цифровой грамотности сотрудников, ведь во многих случаях атаки становятся возможны из-за человеческого фактора», — комментирует Никита Назаров, руководитель отдела расширенного исследования угроз «Лаборатории Касперского».
Чтобы предотвратить использование уязвимостей для атак на компанию, эксперты «Лаборатории Касперского» рекомендуют:
- регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform. Для расширения навыков ИБ-специалистов подойдут продвинутые тренинги от экспертов «Лаборатории Касперского»;
- использовать сложные и уникальные пароли для защиты корпоративных учётных записей и регулярно их обновлять. Для их создания и хранения рекомендуется использовать специализированные менеджеры паролей;
- настроить многофакторную аутентификацию везде, где это возможно, — это снижает вероятность взломов и утечек;
- ограничить права доступа и привилегии для сотрудников, использовать учётные записи с полными привилегиями только в случае крайней необходимости;
- сегментировать сеть: определить критически важные бизнес-системы, изолировать их и применить к ним соответствующие меры безопасности;
- установить надёжное решение класса EDR для защиты конечных устройств, такое как Kaspersky Endpoint Detection and Response;
- использовать решение с технологией Sandbox. Это поможет предотвратить проникновение вредоносного ПО на рабочие устройства, в частности через вложения на электронной почте. Такой функционал есть у Kaspersky Anti Targeted Attack;
- регулярно обновлять операционную систему и ПО на всех корпоративных устройствах, чтобы своевременно закрывать известные уязвимости. Получать подробную информацию об уязвимостях можно с помощью сервиса Kaspersky Vulnerability Data Feed;
- предоставлять ИБ-специалистам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence.
* При анализе использовались данные сетевой и хостовой телеметрии «Лаборатории Касперского» по странам СНГ в 2023 году и первом квартале 2024 года.