Аналитический отчет о реагировании на инциденты в 2024 году

«Лаборатория Касперского» предоставляет организациям услуги по оперативному реагированию на инциденты, в том числе по анализу воздействия и эффективному устранению последствий, а также помогает принимать информированные решения. В нашем ежегодном отчете представлены анонимные данные о расследованиях, проведенных глобальной командой экстренного реагирования на киберинциденты «Лаборатории Касперского» (GERT), а также статистика и тенденции в целевых атаках, использовании шифровальщиков и инструментов злоумышленников. Эти данные основаны на реальных инцидентах, зафиксированных в течение года, которые требовали как комплексного участия подразделений реагирования, так и консультационной помощи внутренним экспертным командам организаций.

Вы также можете скачать полную версию отчета.

Распределение IR-запросов по регионам и отраслям

В 2024 году мы наблюдали рост числа запросов на реагирование на инциденты в большинстве регионов. Большая часть расследований была проведена в странах СНГ (50,6%), на Ближнем Востоке (15,7%) и в Европе (10,8%).

Географическое распределение запросов на реагирование на инциденты в 2024 году

Распределение запросов на реагирование по отраслям осталось таким же, как в 2023 году. Чаще всего атакам подвергались промышленные (23,5%), государственные (16,3%) и финансовые (13,3%) организации. Однако в 2024 году большинство запросов поступило от промышленных предприятий, тогда как государственные учреждения подвергались атакам реже, чем в 2023. Мы также зафиксировали рост числа инцидентов, связанных с транспортной отраслью: количество запросов на услуги реагирования удвоилось по сравнению с 2023 годом.

Распределение организаций, обратившихся за помощью в реагировании на инциденты в 2024 году, по отраслям

Основные тенденции и статистика за 2024 год

В 2024 году количество атак с использованием шифровальщиков увеличилось на 8,3 п. п. по сравнению с 2023 годом и составило 41,6% от общего числа инцидентов. По оценкам экспертов GERT, тенденция последних лет сохранится, и в следующем году шифровальщики останутся главной угрозой для организаций по всему миру. Атаки шифровальщиков стабильно занимают ведущие позиции среди всех инцидентов в организациях. В большинстве случаев заражений мы сталкивались с образцами семейства LockBit (43,6%), за ними следуют Babuk (9,1%) и Phobos (5,5%). Наши исследования также выявили новые семейства шифровальщиков, такие как ShrinkLocker и Ymir. Кроме того, эксперты GERT раскрыли несколько крупных вредоносных кампаний, таких как Tusk, и ряд инцидентов, связанных с эксплуатацией уязвимости CVE-2023-48788.

Еще одна тревожная тенденция, выявленная в реальных случаях реагирования на инциденты, — участившееся использование Mimikatz (21,8%), PsExec (20,0%) и схожих инструментов. Обычно их задействуют после компрометации для извлечения паролей и горизонтального перемещения. Также сохраняется тенденция утечек данных — они по-прежнему являются второй по частоте причиной запросов на реагирование на инциденты, составляя 16,9% от всех случаев, что подтверждает наши предположения о тенденциях сбора учетных данных.

Рекомендации по предотвращению инцидентов

Чтобы защитить вашу организацию от киберугроз и минимизировать ущерб в случае атаки, эксперты GERT рекомендуют:

• внедрить политику надежных паролей и использовать многофакторную аутентификацию;
• закрыть порты управления от доступа извне;
• внедрить методы безопасной разработки, чтобы предотвратить попадание небезопасного кода в производственную среду;
• внедрить строгую политику управления исправлениями и предусмотреть компенсационные меры для публично доступных приложений;
• поддерживать высокий уровень осведомленности сотрудников в вопросах информационной безопасности;
• внедрить правила для обнаружения утилит, часто используемых злоумышленниками;
• часто и регулярно проводить мероприятия по оценке компрометации;
• использовать набор инструментов безопасности с поддержкой EDR-телеметрии;
• регулярно тестировать время реакции ИБ-команды с помощью имитации атак;
• запретить использование в корпоративной сети любого программного обеспечения, которое уже применялось как инструмент злоумышленников;
• регулярно создавать резервные копии данных;
• сотрудничать с поставщиком услуг по реагированию на инциденты, который обеспечивает высокую скорость ответа в рамках SLA;
• внедрить строгие меры безопасности для приложений, работающих с персональными данными;
• реализовать контроль доступа к важным данным на основе DLP;
• постоянно проводить тренинги для внутренней группы реагирования на инциденты, чтобы поддерживать ее компетентность и понимание ландшафта киберугроз.

Полный отчет об инцидентах за 2024 год содержит дополнительную информацию о реальных инцидентах, включая новые угрозы, обнаруженные экспертами «Лаборатории Касперского». Мы также подробно анализируем деятельность APT-групп и представляем статистику по наиболее активным из них. Отчет включает всесторонний анализ первоначальных векторов атак согласно классификации MITRE ATT&CK, а также полный список уязвимостей, обнаруженных в ходе реагирования на инциденты.