Исследование

Ландшафт угроз для России и СНГ в 2024 году

События февраля 2022 года сильно изменили ландшафт угроз. Возможно, впервые в мировой истории за короткий промежуток времени произошел такой масштабный всплеск активности хактивистских группировок, включающий в том числе возникновение сотен новых. Но и старые угрозы никуда не исчезли: APT-группировки и шифровальщики по-прежнему присутствуют в повседневной жизни специалиста по кибербезопасности.

Этот отчет содержит анализ актуального ландшафта угроз для России и стран СНГ. Это первый из серии отчетов о киберугрозах, ориентированных на конкретные регионы, которые мы планируем представить сообществу в этом году.

Как мы определяем ландшафт угроз для региона

Ландшафт угроз — это результат всестороннего анализа киберугроз, опирающийся на разведывательные данные, связанные с потенциальными злоумышленниками и их характеристиками. Этот анализ показывает наиболее релевантные угрозы для определенной отрасли, страны или конкретной организации.

Чтобы определить актуальный ландшафт угроз для России и СНГ, мы изучили данные из следующих источников.

  • Kaspersky Security Network (KSN) — это сложная облачная инфраструктура, которая собирает и анализирует анонимные данные о киберугрозах от сотен миллионов добровольных участников по всему миру.
  • Incident Response — мы собираем и анализируем данные реальных инцидентов, которые расследовали наши коллеги из Международной группы экстренного реагирования (GERT), Kaspersky Security Operations Center (SOC) и Kaspersky ICS CERT.
  • Веб-краулеры — мы получаем множество новых образцов вредоносных программ с помощью веб-краулеров с сотнями тысяч источников. В эти источники входят как открытые данные, так и наши собственные исследования и наши системы автоматической обработки и анализа, которые извлекают вредоносные URL из вредоносного ПО.
  • BotFarm — система, общающаяся с серверами контроля и управления (С2) различных ботнетов, имитируя поведение зараженных машин. Система используется для получения различной TI-информации, такой как: обновления, файлы ботов, новые URL-адреса и вредоносные команды (например DDoS удаленных целей), шаблоны для спам-писем или непосредственно спам-траффик, тексты SMS-сообщений.
  • Spam traps — каждый год наши антифишинговые системы предотвращают около 710 миллионов переходов по фишинговым ссылкам, а также блокируют около 130 миллионов вредоносных почтовых вложений, из которых мы извлекаем дополнительные данные о киберугрозах.
  • Датчики и сенсоры — в эту категорию входят ханипоты, «воронки» (sinkhole) и другие методы перехвата атак. Например, у нас есть ханипоты, представляющие собой IoT-устройства, уязвимые системы и программное обеспечение и так далее. Мы изучаем попытки атак на эти ханипоты, извлекаем индикаторы компрометации и действия злоумышленников на этих системах (TTP), а затем связываем их с другими источниками данных.
  • Партнеры — мы участвуем в программе по обмену вредоносными образцами с другими поставщиками и организациями, занимающимися вопросами кибербезопасности.
  • OSINT — собираем данные из общедоступных источников, включая новости, социальные сети, различные отчеты и так далее.

Каждый полученный поток разведданных проходит многоступенчатый отбор в системе автоматических обработок, где для отсечения ложных срабатываний и ненужных данных применяются технологии проверки доверия и репутации и модели машинного обучения, которые мы тренируем на выборках из сотен миллионов актуальных доверенных и вредоносных файлов. Также каждый индикатор проходит анализ во множестве песочниц, из которых извлекаются десятки дополнительных атрибутов, таких как TTP, сетевое поведение, поведение в операционной системе и так далее.

При этом следует помнить, что, хотя мы проанализировали сотни различных инцидентов и миллионы образцов вредоносного программного обеспечения, эта выборка может покрывать не все угрозы, релевантные для России и СНГ.

Для кого предназначен этот отчет

Мы разработали данный отчет с целью предоставить сообществу основательно подготовленные данные о киберугрозах в России и странах СНГ, которые могут помочь эффективно противодействовать атакам. В первую очередь он создан для всех специалистов по кибербезопасности, работающих в организациях региона. Особую ценность этот документ представляет для:

  • аналитиков SOC;
  • аналитиков Cyber Threat Intelligence;
  • специалистов по активному поиску угроз (Threat Hunting);
  • специалистов по цифровой криминалистике (DFIR);
  • экспертов по кибербезопасности;
  • администраторов доменов;
  • руководителей высшего звена, ответственных за решения в сфере информационной безопасности.

Что входит в отчет

Отчет состоит из пяти основных разделов.

Перечень атакованных стран и отраслей на основе данных из KSN
Этот раздел содержит основную статистику по атакованным странам и отраслям экономики в рассматриваемом регионе.

Популярные тактики, техники и процедуры (TTP)
В разделе содержится много информации о тактиках, техниках и процедурах (TTP) злоумышленников, описанных в рамках методологии MITRE ATT&CK, — это основная техническая составляющая отчета. В раздел входит три вида статистики по TTP с углубленным анализом TOP 21 техник и их процедур. Кроме того, здесь представлен разбор типичного для региона инцидента на основе Unified Kill Chain, а также анализ вредоносного программного обеспечения на основе статистики, полученной из Kaspersky Threat Attribution Engine.

Перечень потенциальных угроз в регионе
В этом разделе представлены статистика и анализ на основе данных из нескольких источников для следующих угроз:

  • Шифровальщики;
  • Утечки пользовательских данных;
  • Социальная инженерия;
  • Ландшафт уязвимостей;
  • Статистика активности зараженных машин (на основе данных наших ханипотов);
  • Атаки в публичном поле (на основе OSINT).

Снижение рисков
В этом разделе мы описываем способы снизить риски, связанные с представленными в отчете угрозами.

Выводы и приложение
В приложении вы найдете ссылки на исследования наших команд, в которых более детально рассматриваются угрозы, упомянутые в этом отчете.

Полная версия отчета «Ландшафт угроз для России и СНГ в 2024 году» (PDF)

Ландшафт угроз для России и СНГ в 2024 году

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Admar Nelson

    Как аналитик по информационной безопасности, я благодарю вас за предоставленный отчет, а как сотрудник компании, расположенной в России, этот отчет поможет нам предотвратить и обнаружить эти угрозы, и мы с нетерпением ждем новых подобных обменов.

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике