Злоумышленники чаще всего проникают в сети компаний через незакрытые уязвимости в ПО

Более половины (53,6%) инцидентов, которые в 2021 году расследовала «Лаборатория Касперского», начинались с эксплуатации уязвимостей. Доля таких атак выросла с 2020 года более чем на 20 процентных пунктов. Вероятно, это связано с тем, что в прошлом году было обнаружено множество уязвимостей в Microsoft Exchange Server. Распространённость этого ПО и публичная доступность эксплойтов для этих брешей привела к большому числу инцидентов с их применением.

При разработке вредоносной кампании злоумышленники в первую очередь ищут легко достижимые цели. Это, например, общедоступные серверы с хорошо известными уязвимостями, слабыми паролями или скомпрометированными аккаунтами. Именно из-за таких векторов атак год от года растёт число инцидентов высокой степени критичности.

Наиболее распространённая проблема для компаний в последние три года — программы-вымогатели. Именно потеря доступа к данным в результате их зашифровки стала в 2021 году основной причиной обращений в отдел расследования инцидентов «Лаборатории Касперского». Доля таких обращений выросла с 34% в 2019 году до 51,9% в 2021 году. В более чем половине случаев (62,5%) атакующие больше месяца находились в сети после ее начальной компрометации, прежде чем зашифровать данные.

Злоумышленники пытаются оставаться не замеченными, используя инструменты операционной системы, программного обеспечения, уже установленного на компьютерах клиентов, а также программ для администрирования сети и коммерческих фреймворков. Такие средства были обнаружены в 40% всех инцидентов, расследованных «Лабораторией Касперского». Проникнув в систему, атакующие используют легитимные инструменты для разных целей: PowerShell для сбора данных, Mimikatz для повышения привилегий, PsExec для выполнения команд удалённо, фреймворки, такие как Cobalt Strike , на всех стадиях атаки.

«Несмотря на то, что соблюдение всех необходимых мер не гарантирует стопроцентную защиту от киберугроз, своевременная установка обновлений ПО может сократить вероятность успешной атаки на 50%,— комментирует Константин Сапронов, руководитель отдела расследования инцидентов «Лаборатории Касперского». — Злоумышленники прибегают к различным методам, и лучший способ обезопасить инфраструктуру — использовать инструменты и подходы, которые позволяют обнаруживать их действия и останавливать атаки на разных стадиях».

Подробнее — в отчёте «Лаборатории Касперского» о результатах анализа инцидентов безопасности в 2021 году.

Чтобы свести к минимуму вероятность успешной атаки и минимизировать ущерб в случае проникновения в корпоративную инфраструктуру, «Лаборатория Касперского» рекомендует:

• делать резервные копии данных, чтобы доступ к важным документам сохранялся в случае атаки программы-вымогателя;
• использовать решения, которые умеют блокировать попытки шифрования данных;
• выбрать надёжного партнёра по вопросам реагирования на инциденты;
• если есть собственная команда по реагированию на инциденты, регулярно проводить тренинги для неё, чтобы она была в курсе наиболее актуальных киберугроз;
• изучать профили злоумышленников, заинтересованных в атаках на вашу индустрию и регион, чтобы внедрить действительно эффективные защитные меры;

использовать комплексные решения для защиты всей инфраструктуры от кибератак любой сложности, такие как Kaspersky Symphony XDR: эта платформа содержит в том числе системы обнаружения и реагирования, которые помогут распознавать и останавливать атаки на ранних стадиях, до того как атакующие достигнут своих конечных целей.