В каждом третьем инциденте (33%) злоумышленники проникали в корпоративную инфраструктуру, применяя украденные или подобранные учетные данные. Впервые этот способ обошел фишинг, долгие годы считавшийся главным инструментом кибермошенников, говорится в исследовании Angara MTDR. Пароли киберпреступники добывают по-разному: подбирают их к сервисам удаленного доступа, извлекают из открытых утечек или крадут с помощью специализированных вредоносных программ.
Второе место по популярности у злоумышленников заняли атаки через внешние службы удаленного доступа: в 25% случаев взлом осуществлялся через VPN. На третьем месте - эксплуатация уязвимостей общедоступных приложений, на нее пришлось 17% от всех кибератак. Проникновение в чужие сети через взлом подрядчиков и партнеров (13%) заняло четвертую строку.
"Увеличение атак через доверительные отношения связано с открытыми для подрядчиков сетевыми доступами и незащищенным хранением учетных данных в уже скомпрометированных сетях", - пояснили эксперты.
Фишинг (8%), который долго был лидером рейтинга, сегодня замыкает пятерку популярных среди хакеров атак на бизнес. За ним идет компрометация цепочки поставок (4%). Большая часть случаев компрометаций происходит не за счет сложных хакерских систем, а из-за элементарного нарушения кибергигиены - например, небезопасного хранения паролей и приватных ключей.
"На эти подтехники приходится около трети всех обнаружений, - рассказал директор Центра киберустойчивости компании Артем Грибков. - Одним из самых популярных инструментов для сбора аутентификационного материала (логинов, паролей, ключей и токенов) все еще остается mimikatz - утилита для извлечения чувствительной информации из памяти в ОС Windows".
Антивирусы его знают, однако без постоянного мониторинга его запуск, как правило, остается незамеченным. Помимо него хакеры активно используют легитимные инструменты для восстановления паролей, что затрудняет обнаружение вторжений. Изменение мошеннических сценариев было ожидаемо, считает руководитель департамента киберразведки "Бастион" Константин Ларин. Фишинг становится менее эффективным против организаций, которые внедряют базовые защитные меры (к примеру, многофакторную аутентификацию), поэтому хакеры все чаще идут по более сложному пути: атакуют через уязвимости в цепочках поставок, социальную инженерию или поддельные приложения. Они, по словам эксперта, обходят технические защиты, используя человеческое доверие, ищут менее защищенные каналы, где проще обмануть, чем взломать.
При этом директор Ideco Дмитрий Хомутов не думает, что фишинг перестал быть главной проблемой.
"Он по-прежнему остается одним из самых распространенных способов первоначального проникновения в инфраструктуру. Изменился не масштаб, а характер угроз. Классические рассылки уступают место прицельным и адаптивным схемам, которые крайне сложно обнаружить", - подчеркнул собеседник.
Он также рассказал, что фишинг работает по модели угрозы "нулевого дня": преступники выкупают старые легитимные домены с хорошей репутацией, размещают на них нейтральный контент и в нужный момент включают вредоносную активность. Так атака минует стандартные фильтры.
"Мы видим рост именно интеллектуального, контекстного фишинга, где используется глубокий анализ целевой компании и имитация ее внутренних коммуникаций. По сути, это не массовая рассылка, а тщательно спланированная точечная атака", - добавил Хомутов.
Эксперты сходятся в одном: стандартных антифишинговых мер - обучения сотрудников, спам-фильтров и т.д. - сегодня уже недостаточно. Как подчеркнул Ларин, сработает лишь многослойная защита, при которой классические меры дополняются поведенческим анализом, профилированием и строгой политикой наименьших привилегий. При этом риск от фишинга для рядовых пользователей никуда не делся. По словам Хомутова, он остается одним из самых результативных инструментов атак именно на частных лиц. Более того, злоумышленники активно комбинируют его с другими векторами.
"Мы фиксируем случаи компрометации через интеллектуальные устройства, сетевые регистраторы видеонаблюдения, домашние роутеры и переносное оборудование сотрудников. Эти устройства могут выполнять скрытые команды, связываться с управляющими серверами злоумышленников, сканировать сеть и оставаться незамеченными", - отметил эксперт.
Ларин подытожил: человеческий фактор по-прежнему остается самым слабым звеном, поэтому фишинг всегда будет главной угрозой. "Просто его формы стали изощреннее", - заключил он.