События февраля 2022 года сильно изменили ландшафт угроз. Возможно, впервые в мировой истории за короткий промежуток времени произошел такой масштабный всплеск активности хактивистских группировок, включающий в том числе возникновение сотен новых. Но и старые угрозы никуда не исчезли: APT-группировки и шифровальщики по-прежнему присутствуют в повседневной жизни специалиста по кибербезопасности.
Этот отчет содержит анализ актуального ландшафта угроз для России и стран СНГ. Это первый из серии отчетов о киберугрозах, ориентированных на конкретные регионы, которые мы планируем представить сообществу в этом году.
Оглавление
Как мы определяем ландшафт угроз для региона
Ландшафт угроз — это результат всестороннего анализа киберугроз, опирающийся на разведывательные данные, связанные с потенциальными злоумышленниками и их характеристиками. Этот анализ показывает наиболее релевантные угрозы для определенной отрасли, страны или конкретной организации.
Чтобы определить актуальный ландшафт угроз для России и СНГ, мы изучили данные из следующих источников.
Kaspersky Security Network (KSN) — это сложная облачная инфраструктура, которая собирает и анализирует анонимные данные о киберугрозах от сотен миллионов добровольных участников по всему миру.
Incident Response — мы собираем и анализируем данные реальных инцидентов, которые расследовали наши коллеги из Международной группы экстренного реагирования (GERT), Kaspersky Security Operations Center (SOC) и Kaspersky ICS CERT.
Веб-краулеры — мы получаем множество новых образцов вредоносных программ с помощью веб-краулеров с сотнями тысяч источников. В эти источники входят как открытые данные, так и наши собственные исследования и наши системы автоматической обработки и анализа, которые извлекают вредоносные URL из вредоносного ПО.
BotFarm — система, общающаяся с серверами контроля и управления (С2) различных ботнетов, имитируя поведение зараженных машин. Система используется для получения различной TI-информации, такой как: обновления, файлы ботов, новые URL-адреса и вредоносные команды (например DDoS удаленных целей), шаблоны для спам-писем или непосредственно спам-траффик, тексты SMS-сообщений.
Spam traps — каждый год наши антифишинговые системы предотвращают около 710 миллионов переходов по фишинговым ссылкам, а также блокируют около 130 миллионов вредоносных почтовых вложений, из которых мы извлекаем дополнительные данные о киберугрозах.
Датчики и сенсоры — в эту категорию входят ханипоты, «воронки» (sinkhole) и другие методы перехвата атак. Например, у нас есть ханипоты, представляющие собой IoT-устройства, уязвимые системы и программное обеспечение и так далее. Мы изучаем попытки атак на эти ханипоты, извлекаем индикаторы компрометации и действия злоумышленников на этих системах (TTP), а затем связываем их с другими источниками данных.
Партнеры — мы участвуем в программе по обмену вредоносными образцами с другими поставщиками и организациями, занимающимися вопросами кибербезопасности.
OSINT — собираем данные из общедоступных источников, включая новости, социальные сети, различные отчеты и так далее.
Каждый полученный поток разведданных проходит многоступенчатый отбор в системе автоматических обработок, где для отсечения ложных срабатываний и ненужных данных применяются технологии проверки доверия и репутации и модели машинного обучения, которые мы тренируем на выборках из сотен миллионов актуальных доверенных и вредоносных файлов. Также каждый индикатор проходит анализ во множестве песочниц, из которых извлекаются десятки дополнительных атрибутов, таких как TTP, сетевое поведение, поведение в операционной системе и так далее.
При этом следует помнить, что, хотя мы проанализировали сотни различных инцидентов и миллионы образцов вредоносного программного обеспечения, эта выборка может покрывать не все угрозы, релевантные для России и СНГ.
Для кого предназначен этот отчет
Мы разработали данный отчет с целью предоставить сообществу основательно подготовленные данные о киберугрозах в России и странах СНГ, которые могут помочь эффективно противодействовать атакам. В первую очередь он создан для всех специалистов по кибербезопасности, работающих в организациях региона. Особую ценность этот документ представляет для:
аналитиков SOC;
аналитиков Cyber Threat Intelligence;
специалистов по активному поиску угроз (Threat Hunting);
специалистов по цифровой криминалистике (DFIR);
экспертов по кибербезопасности;
администраторов доменов;
руководителей высшего звена, ответственных за решения в сфере информационной безопасности.
Что входит в отчет
Отчет состоит из пяти основных разделов.
Перечень атакованных стран и отраслей на основе данных из KSN
Этот раздел содержит основную статистику по атакованным странам и отраслям экономики в рассматриваемом регионе.
Популярные тактики, техники и процедуры (TTP)
В разделе содержится много информации о тактиках, техниках и процедурах (TTP) злоумышленников, описанных в рамках методологии MITRE ATT&CK, — это основная техническая составляющая отчета. В раздел входит три вида статистики по TTP с углубленным анализом TOP 21 техник и их процедур. Кроме того, здесь представлен разбор типичного для региона инцидента на основе Unified Kill Chain, а также анализ вредоносного программного обеспечения на основе статистики, полученной из Kaspersky Threat Attribution Engine.
Перечень потенциальных угроз в регионе
В этом разделе представлены статистика и анализ на основе данных из нескольких источников для следующих угроз:
Шифровальщики;
Утечки пользовательских данных;
Социальная инженерия;
Ландшафт уязвимостей;
Статистика активности зараженных машин (на основе данных наших ханипотов);
Атаки в публичном поле (на основе OSINT).
Снижение рисков
В этом разделе мы описываем способы снизить риски, связанные с представленными в отчете угрозами.
Выводы и приложение
В приложении вы найдете ссылки на исследования наших команд, в которых более детально рассматриваются угрозы, упомянутые в этом отчете.
Полная версия отчета «Ландшафт угроз для России и СНГ в 2024 году» (PDF)
Securelist