По данным Positive Technologies, в 2023 году использование вредоносного ПО стало самым популярным методом компрометации инфраструктуры — доля таких атак составила 60%. Чаще всего хакеры для этого используют электронную почту, скрывая полезную нагрузку в файловых архивах.
Использование вредоносного ПО стало самым популярным методом компрометации инфраструктуры. В рамках исследования Positive Technologies выявила 10 популярных техник атак, используемых вредоносным ПО в России
Об исследовании
В рамках исследования эксперты Positive Technologies проанализировали поведение вредоносных программ, распространенных на территории России, сопоставили эти действия с техниками MITRE ATT&CK и выделили десять самых популярных.
MITRE ATT&CK — это база знаний о тактиках и методах противника, основанная на реальных наблюдениях. MITRE ATT&CK является проектом с открытым исходным кодом и предоставляет общую таксономию тактик и техник для лучшей классификации поведения противника.
Исследование основано на публичных сведениях об инцидентах информационной безопасности, собственной экспертизе Positive Technologies, результатах анализа вредоносного ПО на территории РФ, а также на исследованиях авторитетных организаций и экспертов.
Результаты исследования
По данным Positive Technologies, доля успешных атак с применением ВПО увеличилась с 55% до 60% для организаций и с 53% до 59% для частных лиц по сравнению с 2022 годом.
Одной из самых распространенных техник стала «Изучение открытых приложений», при которой ВПО пытается получить список открытых окон приложений для сбора информации об инструментах защиты и поиска ценных данных. Во второй по популярности технике, «Ослабление защиты», ВПО модифицирует компоненты инфраструктуры жертвы, нарушая работу средств безопасности. Третья техника, «Обход виртуализации или песочницы», позволяет ВПО определить, в какой среде оно выполняется. При обнаружении таких сред ВПО меняет свое поведение, чтобы скрыть свою вредоносную деятельность.
Среди различных типов ВПО наибольшее распространение получили программы-шифровальщики. В 2023 году их доля в атаках составила 57%, причем чаще всего жертвами становились медицинские учреждения (18%), научные и образовательные организации (14%) и промышленные предприятия (12%).
Также злоумышленники активно используют шпионское ПО, доля которого выросла с 12% до 23% в 2023 году. Среди самых распространенных семейств шпионского ВПО выделяются FormBook и Agent Tesla.
«Обязательный уровень защиты от ВПО — это использование песочниц, которые в изолированной среде проверяют файлы и изучают их поведение. Еще одна важная мера безопасности — регулярные проверки корректности работы средств защиты почты».
Никита Басынин, аналитик исследовательской группы Positive Technologies
Наиболее популярным каналом доставки ВПО в корпоративные системы остается электронная почта. В 2023 году более половины (57%) атак начинались с фишинговых писем. Эксперты Positive Technologies обнаружили, что киберпреступники часто отправляют письма под видом претензий с требованием возврата средств.
Для доставки полезной нагрузки злоумышленники обычно используют файловые вложения, такие как архивы с расширениями .zip, .rar, .7z и другими (37%). Этот метод позволяет замаскировать ВПО под легитимные документы или изображения, обходя средства защиты.
Кроме того, часто применяются ссылки в теле писем (43%), которые автоматически загружают вредоносное ПО в фоновом режиме при открытии письма.