Ландшафт угроз для России и СНГ в 2024 году

События февраля 2022 года сильно изменили ландшафт угроз. Возможно, впервые в мировой истории за короткий промежуток времени произошел такой масштабный всплеск активности хактивистских группировок, включающий в том числе возникновение сотен новых. Но и старые угрозы никуда не исчезли: APT-группировки и шифровальщики по-прежнему присутствуют в повседневной жизни специалиста по кибербезопасности.

Этот отчет содержит анализ актуального ландшафта угроз для России и стран СНГ. Это первый из серии отчетов о киберугрозах, ориентированных на конкретные регионы, которые мы планируем представить сообществу в этом году.

Как мы определяем ландшафт угроз для региона

Ландшафт угроз — это результат всестороннего анализа киберугроз, опирающийся на разведывательные данные, связанные с потенциальными злоумышленниками и их характеристиками. Этот анализ показывает наиболее релевантные угрозы для определенной отрасли, страны или конкретной организации.

Чтобы определить актуальный ландшафт угроз для России и СНГ, мы изучили данные из следующих источников.

• Kaspersky Security Network (KSN) — это сложная облачная инфраструктура, которая собирает и анализирует анонимные данные о киберугрозах от сотен миллионов добровольных участников по всему миру.
• Incident Response — мы собираем и анализируем данные реальных инцидентов, которые расследовали наши коллеги из Международной группы экстренного реагирования (GERT), Kaspersky Security Operations Center (SOC) и Kaspersky ICS CERT.
• Веб-краулеры — мы получаем множество новых образцов вредоносных программ с помощью веб-краулеров с сотнями тысяч источников. В эти источники входят как открытые данные, так и наши собственные исследования и наши системы автоматической обработки и анализа, которые извлекают вредоносные URL из вредоносного ПО.
• BotFarm — система, общающаяся с серверами контроля и управления (С2) различных ботнетов, имитируя поведение зараженных машин. Система используется для получения различной TI-информации, такой как: обновления, файлы ботов, новые URL-адреса и вредоносные команды (например DDoS удаленных целей), шаблоны для спам-писем или непосредственно спам-траффик, тексты SMS-сообщений.
• Spam traps — каждый год наши антифишинговые системы предотвращают около 710 миллионов переходов по фишинговым ссылкам, а также блокируют около 130 миллионов вредоносных почтовых вложений, из которых мы извлекаем дополнительные данные о киберугрозах.
• Датчики и сенсоры — в эту категорию входят ханипоты, «воронки» (sinkhole) и другие методы перехвата атак. Например, у нас есть ханипоты, представляющие собой IoT-устройства, уязвимые системы и программное обеспечение и так далее. Мы изучаем попытки атак на эти ханипоты, извлекаем индикаторы компрометации и действия злоумышленников на этих системах (TTP), а затем связываем их с другими источниками данных.
• Партнеры — мы участвуем в программе по обмену вредоносными образцами с другими поставщиками и организациями, занимающимися вопросами кибербезопасности.
• OSINT — собираем данные из общедоступных источников, включая новости, социальные сети, различные отчеты и так далее.

Каждый полученный поток разведданных проходит многоступенчатый отбор в системе автоматических обработок, где для отсечения ложных срабатываний и ненужных данных применяются технологии проверки доверия и репутации и модели машинного обучения, которые мы тренируем на выборках из сотен миллионов актуальных доверенных и вредоносных файлов. Также каждый индикатор проходит анализ во множестве песочниц, из которых извлекаются десятки дополнительных атрибутов, таких как TTP, сетевое поведение, поведение в операционной системе и так далее.

При этом следует помнить, что, хотя мы проанализировали сотни различных инцидентов и миллионы образцов вредоносного программного обеспечения, эта выборка может покрывать не все угрозы, релевантные для России и СНГ.

Для кого предназначен этот отчет

Мы разработали данный отчет с целью предоставить сообществу основательно подготовленные данные о киберугрозах в России и странах СНГ, которые могут помочь эффективно противодействовать атакам. В первую очередь он создан для всех специалистов по кибербезопасности, работающих в организациях региона. Особую ценность этот документ представляет для:

• аналитиков SOC;
• аналитиков Cyber Threat Intelligence;
• специалистов по активному поиску угроз (Threat Hunting);
• специалистов по цифровой криминалистике (DFIR);
• экспертов по кибербезопасности;
• администраторов доменов;
• руководителей высшего звена, ответственных за решения в сфере информационной безопасности.

Что входит в отчет

Отчет состоит из пяти основных разделов.

Перечень атакованных стран и отраслей на основе данных из KSN
Этот раздел содержит основную статистику по атакованным странам и отраслям экономики в рассматриваемом регионе.

Популярные тактики, техники и процедуры (TTP)
В разделе содержится много информации о тактиках, техниках и процедурах (TTP) злоумышленников, описанных в рамках методологии MITRE ATT&CK, — это основная техническая составляющая отчета. В раздел входит три вида статистики по TTP с углубленным анализом TOP 21 техник и их процедур. Кроме того, здесь представлен разбор типичного для региона инцидента на основе Unified Kill Chain, а также анализ вредоносного программного обеспечения на основе статистики, полученной из Kaspersky Threat Attribution Engine.

Перечень потенциальных угроз в регионе
В этом разделе представлены статистика и анализ на основе данных из нескольких источников для следующих угроз:

• Шифровальщики;
• Утечки пользовательских данных;
• Социальная инженерия;
• Ландшафт уязвимостей;
• Статистика активности зараженных машин (на основе данных наших ханипотов);
• Атаки в публичном поле (на основе OSINT).

Снижение рисков
В этом разделе мы описываем способы снизить риски, связанные с представленными в отчете угрозами.

Выводы и приложение
В приложении вы найдете ссылки на исследования наших команд, в которых более детально рассматриваются угрозы, упомянутые в этом отчете.

Полная версия отчета «Ландшафт угроз для России и СНГ в 2024 году» (PDF)