Публикации

Реагирование на инциденты: аналитический отчет 2020

 Скачать полный отчет (PDF)

Аналитический отчет содержит информацию об атаках, расследованных «Лабораторий Касперского» в 2020 году. Мы предоставляем широкий спектр сервисов (реагирование на инциденты, цифровая криминалистика, анализ вредоносных программ) для оказания помощи организациям, пострадавшим от инцидентов информационной безопасности. Данные, использованные в отчете, получены из практики работы с организациями, которые обращались за помощью в реагировании на инциденты или проводили экспертные мероприятия для своих внутренних групп реагирования на инциденты.

В 2020 году пандемия вынудила компании приспособиться к подходу «работа из дома» (Work from home, WFH), что оказало сильное влияние на работу отделов ИБ. Хотя основные тенденции с точки зрения угроз остались прежними, 97% наших сервисов стали предоставляться в удаленном формате.

География реагирования на инциденты по регионам, 2020

Большая часть обработанных нами инцидентов произошла в СНГ (27,8%), Европейском союзе (24,7%) и Ближнем Востоке (22,7%). В 2020 году организации, обратившиеся к нам за помощью, относились к самым разным секторам, в том числе к индустриальному, финансовому, правительственному, телекоммуникационному, транспортному и сектору здравоохранения.

Доля реагирований на инциденты по отраслям и вертикалям, 2020

Чаще других сталкивались с кибератаками промышленные предприятия (22%), следом шел государственный сектор (19%). В 2020 году к нам чаще всего обращались в связи с программами-вымогателями: 32,7% подтвержденных инцидентов были связаны с шифрованием файлов.

В целом, наш аналитический отчет, посвященный реагированию на инциденты в 2020 году, состоит из четырех глав:

  • Причины обращения к сервису реагирования на инциденты
    Большинство инцидентов, в которых причина обращения была связана с подозрительными событиями, мы с уверенностью можем классифицировать как инциденты с программами-вымогателями. Количество инцидентов с их участием превысило количество инцидентов, связанных с хищением денежных средств или любыми другими последствиями, так как атаки с шифрованием данных имеют простую схему монетизации и распространены во всех отраслях (не только финансовой).
  • Начальный вектор атаки, или как атакующие проникают внутрь организаций
    Подавляющее большинство первоначальных векторов атаки – это проблемы с паролями, уязвимости программного обеспечения и социальная инженерия.
  • Инструменты атакующих и эксплойты
    Почти в половине инцидентов было обнаружено использование инструментов, уже присутствующих в системах пользователей (подобно LOLbins), хорошо известных инструментов с GitHub (например, Mimikatz, AdFind, Masscan), а также коммерческих фреймворков (Cobalt Strike).
  • Продолжительность атак
    Мы разделили все инциденты на три категории с различным временем пребывания злоумышленника в сети, продолжительностью реагирования на инцидент, начальным вектором и последствиями атаки.

Больше информации о кибератаках и реагировании на них в 2020 году читайте в полной версии нашего отчета (русский, PDF).

Реагирование на инциденты: аналитический отчет 2020

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике