Positive Technologies: хакеры для проведения атак используют VPN для удаленного доступа

Positive Technologies, основываясь на отчетах об использовании PT Network Attack Discovery (PT NAD), назвала угрозы информационной безопасности, чаще всего встречающиеся в российских компаниях. В 76% организаций присутствует вредоносное и рекламное программного обеспечение (ПО), в каждой третьей компании используются популярные у злоумышленников инструменты и техники: дистрибутив Kali Linux, инструменты для перемещения внутри периметра и (или) повышения привилегий, а также для разведки внутри сети.

Согласно результатам исследования, потенциально вредоносная активность была замечена в 97% компаний, что превышает показатели прошлых лет (90% — в 2021 г., 93% — в 2022 г.). Команда по расследованию инцидентов Positive Technologies (PT ESC) также подтверждает, что в целом сеть всех компаний исследуется в режиме нон-стоп, а хакеры предпринимают попытки проникнуть внутрь организаций. Одним из способов начать атаку является корпоративный VPN. Затем в случае успеха злоумышленники стремятся на протяжении долгого времени оставаться незамеченными, применяя средства сокрытия сетевого трафика, — подобные инструменты обнаружены в 47% исследуемых проектов.

Хакеры создают бэкдоры для получения постоянного доступа к сети организации, проводят эксфильтрацию данных и взаимодействуют со скомпрометированной инфраструктурой при помощи привычных легитимных средств для удаленного управления.

Согласно аналитике, также наблюдается рост доли организаций, в сети которых обнаружены признаки присутствия вредоносного ПО. В 2021 г. эта доля составляла 68%, в 2022 г. — 70%, а в 2023 — 76%. В инфраструктуре 39% компаний обнаружены следы присутствия программ для майнинга криптовалюты — такое вредоносное ПО специалисты находили чаще всего. Была заметна и активность шифровальщиков: они обнаружены в 18% проектов, причем во всех этих случаях зафиксировано семейство WannaCry. Нашумевший еще в 2017 г. вирус-шифровальщик продолжает существовать в сетях компаний, что говорит о низком уровне информационной безопасности.

В российских организациях, как и в 2023 г., злоумышленники пытаются эксплуатировать уязвимости. Чаще всего использовалась CVE-2021-44228 (Log4Shell). Ошибка, затронувшая такие проекты как iCloud, Minecraft, Steam, была обнаружена 24 ноября 2021 г. Рекомендации по ее устранению выпущены в декабре того же года, но в сети до сих пор могут находиться устройства без установленных обновлений безопасности. Уязвимость CVE-2021-4177 в Apache HTTP Server версии 2.4.49 также популярна среди злоумышленников. На третьем месте оказалась CVE-2017-0144, которую эксплуатирует упомянутый выше вирус-шифровальщик WannaCry. Вовремя обнаружить уязвимые версии ПО помогут продукты класса VM (vulnerability management).

Третий год подряд сохраняется тенденция к нарушению регламентов информационной безопасности. Во всех пилотных проектах обнаружены такие нарушения, как передача учетных данных в открытом виде или использование программ для удаленного доступа, а также слабых паролей (словарных комбинаций или паролей из обычных слов или фраз). Преступники могут использовать эти недостатки для начала кибератаки.

«Если правильно выстроить мониторинг трафика в компании, то злоумышленники в сети будут как на ладони, — сказал Никита Басынин, аналитик исследовательской группы Positive Technologies. — Составить полную картину происходящего в трафике и обнаружить даже сложные киберугрозы (использование SSH-туннелей , перемещение внутри инфраструктуры, атаки типа NTLM Relay) могут продукты класса NTA — network traffic analysis. К ним относится PT NAD, система поведенческого анализа трафика. Опираясь на полученную информацию, оператор SOC может вовремя остановить кибератаку».

PT NAD позволяет компаниям получать полное представление о состоянии сетевой инфраструктуры, выявлять уязвимости и слабые места в защите, оперативно реагировать на инциденты безопасности, а также проводить ретроспективный анализ атак.