События февраля 2022 года сильно изменили ландшафт угроз. Возможно, впервые в мировой истории за короткий промежуток времени произошел такой масштабный всплеск активности хактивистских группировок, включающий в том числе возникновение сотен новых. Но и старые угрозы никуда не исчезли: APT-группировки и шифровальщики по-прежнему присутствуют в повседневной жизни специалиста по кибербезопасности.
Этот отчет содержит анализ актуального ландшафта угроз для России и стран СНГ. Это первый из серии отчетов о киберугрозах, ориентированных на конкретные регионы, которые мы планируем представить сообществу в этом году.
Как мы определяем ландшафт угроз для региона
Ландшафт угроз — это результат всестороннего анализа киберугроз, опирающийся на разведывательные данные, связанные с потенциальными злоумышленниками и их характеристиками. Этот анализ показывает наиболее релевантные угрозы для определенной отрасли, страны или конкретной организации.
Чтобы определить актуальный ландшафт угроз для России и СНГ, мы изучили данные из следующих источников.
- Kaspersky Security Network (KSN) — это сложная облачная инфраструктура, которая собирает и анализирует анонимные данные о киберугрозах от сотен миллионов добровольных участников по всему миру.
- Incident Response — мы собираем и анализируем данные реальных инцидентов, которые расследовали наши коллеги из Международной группы экстренного реагирования (GERT), Kaspersky Security Operations Center (SOC) и Kaspersky ICS CERT.
- Веб-краулеры — мы получаем множество новых образцов вредоносных программ с помощью веб-краулеров с сотнями тысяч источников. В эти источники входят как открытые данные, так и наши собственные исследования и наши системы автоматической обработки и анализа, которые извлекают вредоносные URL из вредоносного ПО.
- BotFarm — система, общающаяся с серверами контроля и управления (С2) различных ботнетов, имитируя поведение зараженных машин. Система используется для получения различной TI-информации, такой как: обновления, файлы ботов, новые URL-адреса и вредоносные команды (например DDoS удаленных целей), шаблоны для спам-писем или непосредственно спам-траффик, тексты SMS-сообщений.
- Spam traps — каждый год наши антифишинговые системы предотвращают около 710 миллионов переходов по фишинговым ссылкам, а также блокируют около 130 миллионов вредоносных почтовых вложений, из которых мы извлекаем дополнительные данные о киберугрозах.
- Датчики и сенсоры — в эту категорию входят ханипоты, «воронки» (sinkhole) и другие методы перехвата атак. Например, у нас есть ханипоты, представляющие собой IoT-устройства, уязвимые системы и программное обеспечение и так далее. Мы изучаем попытки атак на эти ханипоты, извлекаем индикаторы компрометации и действия злоумышленников на этих системах (TTP), а затем связываем их с другими источниками данных.
- Партнеры — мы участвуем в программе по обмену вредоносными образцами с другими поставщиками и организациями, занимающимися вопросами кибербезопасности.
- OSINT — собираем данные из общедоступных источников, включая новости, социальные сети, различные отчеты и так далее.
Каждый полученный поток разведданных проходит многоступенчатый отбор в системе автоматических обработок, где для отсечения ложных срабатываний и ненужных данных применяются технологии проверки доверия и репутации и модели машинного обучения, которые мы тренируем на выборках из сотен миллионов актуальных доверенных и вредоносных файлов. Также каждый индикатор проходит анализ во множестве песочниц, из которых извлекаются десятки дополнительных атрибутов, таких как TTP, сетевое поведение, поведение в операционной системе и так далее.
При этом следует помнить, что, хотя мы проанализировали сотни различных инцидентов и миллионы образцов вредоносного программного обеспечения, эта выборка может покрывать не все угрозы, релевантные для России и СНГ.
Для кого предназначен этот отчет
Мы разработали данный отчет с целью предоставить сообществу основательно подготовленные данные о киберугрозах в России и странах СНГ, которые могут помочь эффективно противодействовать атакам. В первую очередь он создан для всех специалистов по кибербезопасности, работающих в организациях региона. Особую ценность этот документ представляет для:
- аналитиков SOC;
- аналитиков Cyber Threat Intelligence;
- специалистов по активному поиску угроз (Threat Hunting);
- специалистов по цифровой криминалистике (DFIR);
- экспертов по кибербезопасности;
- администраторов доменов;
- руководителей высшего звена, ответственных за решения в сфере информационной безопасности.
Что входит в отчет
Отчет состоит из пяти основных разделов.
Перечень атакованных стран и отраслей на основе данных из KSN
Этот раздел содержит основную статистику по атакованным странам и отраслям экономики в рассматриваемом регионе.
Популярные тактики, техники и процедуры (TTP)
В разделе содержится много информации о тактиках, техниках и процедурах (TTP) злоумышленников, описанных в рамках методологии MITRE ATT&CK, — это основная техническая составляющая отчета. В раздел входит три вида статистики по TTP с углубленным анализом TOP 21 техник и их процедур. Кроме того, здесь представлен разбор типичного для региона инцидента на основе Unified Kill Chain, а также анализ вредоносного программного обеспечения на основе статистики, полученной из Kaspersky Threat Attribution Engine.
Перечень потенциальных угроз в регионе
В этом разделе представлены статистика и анализ на основе данных из нескольких источников для следующих угроз:
- Шифровальщики;
- Утечки пользовательских данных;
- Социальная инженерия;
- Ландшафт уязвимостей;
- Статистика активности зараженных машин (на основе данных наших ханипотов);
- Атаки в публичном поле (на основе OSINT).
Снижение рисков
В этом разделе мы описываем способы снизить риски, связанные с представленными в отчете угрозами.
Выводы и приложение
В приложении вы найдете ссылки на исследования наших команд, в которых более детально рассматриваются угрозы, упомянутые в этом отчете.
Полная версия отчета «Ландшафт угроз для России и СНГ в 2024 году» (PDF)
Ландшафт угроз для России и СНГ в 2024 году
Admar Nelson
Как аналитик по информационной безопасности, я благодарю вас за предоставленный отчет, а как сотрудник компании, расположенной в России, этот отчет поможет нам предотвратить и обнаружить эти угрозы, и мы с нетерпением ждем новых подобных обменов.
Seppo
SUURI KIITOS ETTÄ OLEN SAANUT OLLA TEIDÄN ASIANTUNTEVA JA PARAS TIETOTURVA JOTA OLEN YRITTÄNYT SAADA JO VUOSIA. TEETTE AIVAN LOISTAVAA TYÖTÄ, TERVEISIN SEPPO TUOMO VIEMERÖ PORI
Sivakumar Saravanan
Helpful in understanding the threats originating from the other side
СОЛОДОВА СВЕТЛАНА ВАСИЛЬЕВНА
Здравствуйте!
У меня была установлена «лаборатория Касперского. Я сменила устройство и теперь не знаю есть ли ещё она у меня. Оператор говорит, что осталась на прежнем устройстве, а на новое надо заново покупать.
Так ли это?
Kaspersky
Добрый день!
Подписка на наши продукты не привязана к конкретному устройству. Проще всего восстановить доступ через личный кабинет: http://my.kaspersky.com/. Если это не получается сделать, обращайтесь в нашу поддержку: https://support.kaspersky.ru/b2c/ru
Daniel gaudin
Heart
Ради
, спасибо
Antonio
Não consigo instalar o produto comprado.
Securelist
Oi Antônio, para ajuda, por favor entre em contato com nossa equipe de suporte: https://support.kaspersky.com.br/b2c/br
Андрей
Защита отличная,спасибо!!!
Mohsen
Nice
Михаил
Отлично
Александр
Мне сегодня пытались взломать госуслуги,а может и взломали, можно ли проверить.
Securelist
Здравствуйте, Александр!
Если вы не уверены, взломали ли ваш аккаунт, можете на всякий случай поменять пароль.
Также, возможно, вам поможет что-то из этих материалов:
https://www.kaspersky.ru/blog/tips-for-hacked-account/28921/
https://www.kaspersky.ru/blog/gosuslugi-ru-security/23371/
https://www.kaspersky.ru/blog/vhod-v-gosuslugi-bez-sms/36360/
Дмитрий
Молодцы! Что тут ещё добавить!
Вартан
Добрый день я хотел бы проверить подлинность электронной почты
Securelist
Добрый день, Вартан!
Инструкция, как проверить заголовки письма и убедиться, что отображаемый адрес не поддельный, есть вот тут: https://www.kaspersky.ru/blog/analyzing-mail-header/31779/