Positive Technologies

Госучреждения, которые, как правило, не соглашаются выкупать украденные данные, все равно находятся под ударом. Злоумышленники атакуют их не столько ради финансовой выгоды, сколько с целью нарушить работу государственных систем, украсть или уничтожить конфиденциальные данные. Кроме того, эксперты Positive Technologies связывают такой выбор жертв с большим количеством сотрудников, которые активно используют электронную почту и другие средства коммуникации в работе: возникает множество точек входа в инфраструктуру ведомств.

Самое частое последствие успешных атак — нарушение основной деятельности организации (48% инцидентов), на втором месте — утечка конфиденциальной информации (41%). Аналитики фиксируют также непрерывный рост этого показателя: в 2022 году утечки составляли 37%, в 2023-м — 41%, а в первом полугодии 2024-го — уже 48%.

Главные мишени для проникновения в сеть госструктур — компьютеры, серверы и сетевое оборудование: по оценке Positive Technologies, на них было направлено 80% успешных атак. Почти в половине инцидентов (47%), рассмотренных в исследовании, злоумышленники применяли социальную инженерию и полагались на человеческий фактор, чтобы ввести жертв в заблуждение. Помимо этого, в каждой второй успешной атаке (56%) применялись вредоносные программы. Популярность этого метода неуклонно растет: 48% инцидентов — в 2022 году, 57% случаев — в 2023-м и 68% — в первой половине 2024-го. Прежде всего, эта динамика обусловлена простотой и эффективностью применения вредоносного ПО. Кроме того, существует активный теневой рынок, где можно арендовать или купить готовое ПО, а также заказать его индивидуальную разработку.

Государственный сектор — самый атакуемый APT-группировками. В целенаправленных атаках преобладает вредоносное ПО (83% инцидентов), преимущественно трояны удаленного доступа (65% случаев) и шпионские программы (35% случаев). Также злоумышленники покупают или обменивают учетные данные для доступа к скомпрометированным устройствам в дарквебе. Анализ теневых площадок показал, что в каждом шестом объявлении предлагается доступ к инфраструктуре скомпрометированных госорганизаций. Стоимость может варьироваться от 20 до нескольких тысяч долларов за доступы с высокими привилегиями. При этом в трети случаев цена не указывалась: это означает, что стороны договаривались о ней в частном порядке.

Важность построения результативной кибербезопасности в госсекторе диктуется опасными последствиями кибератак: нападение на одно ведомство может повлиять не только на него, но и на другие структуры, на все государство и его граждан. Например, кража персональных данных пользователей в результате атаки на одно госучреждение может повлечь за собой незаконный доступ как к государственным ресурсам других организаций, так и к коммерческим сервисам.

Эксперты Positive Technologies рассказали о результатах тестированиий на проникновение, проведенных для организаций в 2023 году. Исследователи верифицировали возможность реализации 90% недопустимых событий, дополнительно обозначенных заказчиками. Эксперты выяснили, что каждая третья выявленная уязвимость имела критический или высокий уровень опасности. Большинство из них связано с наличием устаревшего программного обеспечения в информационных системах компаний.

В ходе проведения внешних пентестов в 2023 году было найдено 423 уязвимости, из которых 34% представляли серьезную опасность. Основными причинами неудовлетворительного состояния защищенности организаций стали устаревшие версии используемого ПО, небезопасная конфигурация компонентов ИТ-систем и недостатки парольной политики. Критически опасные уязвимости, связанные с устаревшими версиями ПО, были выявлены в ходе внутреннего пентеста в 38% организаций. Уязвимости, которые уже используются в кибератаках и те, эксплуатация которых прогнозируется на ближайшее время, называются трендовыми. Их необходимо устранять в первую очередь.

Результаты исследования показали, что основными причинами успешного проникновения во внутреннюю инфраструктуру организаций стали недостатки парольной политики, уязвимости в коде веб-приложений (в том числе сторонних продуктов) и недостатки конфигурации сервисов, находящихся на периметре сети (например, VPN и Citrix).

В подавляющем большинстве проектов были обнаружены векторы атак низкой (38%) и средней (50%) сложности. Кибератаки низкого уровня сложности может проводить нарушитель, который имеет лишь базовые знания и пользуется общедоступными эксплойтами и автоматизированным ПО для проведения атак. Например, в таких векторах можно задействовать две уязвимости в Microsoft Exchange с общедоступными эксплойтами: первую — для удаленного выполнения кода (CVE-2022-41082), вторую — для повышения привилегий (CVE-2022-41080). Эксплуатация такой комбинации уязвимостей позволит злоумышленнику проникнуть внутрь системы и повысить привилегии на узле. Это может привести к реализации недопустимых для организации событий.

Эксперты рекомендуют компаниям уделить особое внимание парольной политике, безопасности веб-приложений и уязвимостям продуктов сторонних вендоров, используемых в информационных системах.

По итогам трех кварталов 2023 года большинство атак (35%) хакеры совершили с использованием вредоносного ПО. В 63% инцидентов применялись шифровальщики, годом раннее на них приходилось 18%. Доля социальной инженерии в используемых методах атак снизилась с 47% до 25%. Исследователи Positive Technologies связывают это с возросшей популярностью других способов атаки.

Аналитики зафиксировали значительное увеличение числа инцидентов, в которых использовались уязвимости на сетевом периметре (32% случаев). Кроме того, отмечается существенная доля инцидентов (22%), в которых ключевым способом компрометации стала атака на цепочку поставок. Нередко в таких инцидентах вредоносный код распространялся через ПО с открытым исходным кодом. В одной из атак злоумышленники даже создали фейковую страницу на LinkedIn, где выдавали себя за сотрудника банка-жертвы, чтобы подмена кода на вредоносный не была обнаружена. В Positive Technologies считают, что подобные атаки могут стать трендом ближайших лет, если учитывать тенденции на повсеместное использование ПО с открытым исходным кодом в собственных разработках компаний, в том числе в финансовых организациях. Эксперты рекомендуют финансовым компаниям отслеживать использование сторонних компонентов в собственных разработках и проверять их на наличие закладок и уязвимостей.

Исследование выявило низкий уровень защищенности сетевых периметров компаний. Это подтверждают и результаты тестирований на проникновения в сетях финансовых организаций, проведенных в 2023 году. Специалисты получили доступ к корпоративной локальной вычислительной сети всех протестированных банков, использовав уязвимости ПО, которое было доступно для подключения из интернета. Это доказывает, что замотивированный злоумышленник сможет проникнуть в инфраструктуру даже хорошо защищенного банка.

Среди последствий атак по-прежнему чаще всего встречаются утечки данных, их число увеличилось с 51% до 64%. В общей статистике по всем изученным объявлениям в дарквебе и на профильных телеграм-площадках доля сообщений, связанных с базами данных, составляет 42%. В 43% из них файлы распространяются бесплатно: часто хакеры так наказывают компании за отказ от уплаты выкупа. Доля объявлений о продаже свежих данных и услугах инсайдеров составляет 30%. Стоимость половины баз из проанализированных источников не превышает одной тысячи долларов, а одна строка оценивается примерно в пять долларов. На сообщения о покупке баз приходится 29% — такую высокую долю эксперты Positive Technologies объясняют тем, что злоумышленники целятся в конкретные организации. В финансовом секторе 98% всех инцидентов приходятся именно на целевые атаки.

С каждой новой утечкой злоумышленники получают все больше информации, которая помогает им повышать эффективность своих схем. Зачастую базы данных отечественных финансовых компаний выкладывают негативно настроенные в отношении России злоумышленники. На фоне обостренной геополитической ситуации в мире хактивизм не теряет своей актуальности. На теневых рынках большинство объявлений о продаже и покупке услуг имеют указание на конкретный регион — Россия и СНГ лидируют в этом рейтинге с долей 14%.

В 2022 году сотрудники экспертного центра безопасности Positive Technologies провели более 50 расследований. Пик количества инцидентов пришелся на апрель. Эксперты отметили, что результативность действий злоумышленников осталась на прежнем уровне: количество инцидентов росло пропорционально количеству атак.

Как подчеркивают в Positive Technologies, уровень подготовки злоумышленников по степени сложности атак самый разный: от школьников до проправительственных APT-группировок. Больше половины атак было совершено квалифицированными злоумышленниками, а 20% случаев составили атаки типа supply chain и trusted relationship, которые сложно расследовать. При этом злоумышленники не изобретают новые способы атак, но тем не менее число инцидентов с применением уже известных методов продолжает расти.

За большинством атак, совершенных в отношении российских предприятий в 2022 году, стояли политически мотивированные злоумышленники — хактивисты. Встречались как хакеры-одиночки, так и спонтанно организованные группы, состоявшие преимущественно из разрозненных энтузиастов, которым для атаки достаточно иметь ноутбук с подключением к интернету.

В минувшем году продолжили активность профессиональные APT-группировки, в частности APT31, Cloud Atlas и Space Pirates. По итогам проведенных расследований, отраслевые интересы группировок, атаковавших российские организации, распределились между государственными предприятиями (30% случаев), ИТ-компаниями (16%), финансовым, энергетическим и промышленным сектором (по 10% случаев на каждый).

Кроме того, претерпел изменения ландшафт кибергруппировок. Ранее новые высококвалифицированные преступные объединения возникали достаточно редко, поэтому эксперты могли быстро атрибутировать ту или иную атаку к уже знакомым APT-группировкам по инструментам, тактикам и техникам нападения. В прошлом году было обнаружено большое количество ранее неизвестных кибергрупп. Любопытно, что некоторые из них деанонимизировали себя в социальных сетях, раскрывая свою причастность к совершенным атакам. Чаще всего целями атак группировок становились хищение и «слив» данных ради нанесения репутационного ущерба жертвам. Большая часть новообразованных групп никакой выгоды не преследовала, взломы они совершали исключительно ради хайпа.

В числе уязвимостей, которые наиболее активно использовались для проникновения в инфраструктуру компаний, эксперты Positive Technologies отметили бреши в серверах Microsoft Exchange, Log4Shell, ProxyNotShell и ProxyShell. Что касается новых техник киберпреступников, обращают на себя внимание атаки через платформы open source. В атаках с применением вредоносного ПО самыми эффективными были инфостилеры, шифровальщики и вайперы. Они позволяют злоумышленникам быстро получить доступ в инфраструктуру жертвы, не тратя время на поиск уязвимостей нулевого дня, и похитить данные.

По мнению экспертов, в 2023 году стоит ожидать развития хактивизма в отношении российских организаций, в том числе от известных кибергруппировок. Помимо этого, не исключены создание новых APT-групп, появление новых уязвимостей нулевого дня, а также активизация «спящих» инцидентов. Эксперты также предположили увеличение количества атак на поставщиков решений для аутентификации и рост теневого рынка киберуслуг в мессенджерах.

Первоначальные пессимистичные прогнозы аналитических агентств в отношении российского рынка ИБ не оправдались. Несмотря на ожидаемое сокращение объема рынка на 11% в финансовом выражении, по предварительным экспертным оценкам Positive Technologies, рынок вырос на 10–20%.

Ключевым фактором, повлиявшим на конъюнктуру рынка кибербезопасности в России в 2022 году, стало беспрецедентное количество хакерских атак на отечественные компании самых разных сфер бизнеса. Не менее значимой стала активная позиция регуляторов и государства, переводящая практическую, результативную кибербезопасность в число ключевых потребностей.

Массовые атаки на инфраструктуру российских компаний нашли отражение в существенном росте доли услуг в области кибербезопасности (работ, связанных с анализом защищенности, мониторингом событий информационной безопасности, реагированием на инциденты и их расследованием). В частности, объем подобных работ в Positive Technologies за 2022 год вырос более чем вдвое. Одним из наиболее востребованных в 2022 году направлений стала безопасность приложений, что неудивительно с учетом специфики и количества атак на веб-приложения и информационные системы компаний в течение года.

Как подчеркивают аналитики, по итогам 2022 года индустрия кибербезопасности подошла к необходимости переосознания основных принципов построения защиты и реагирования на угрозы в масштабах бизнеса, отраслей и страны. В 2023 году кибербезопасность как индустрию ожидает период активной пересборки с большей ориентированностью на практику результативной защиты. В ближайшие годы рынок ИБ в России окончательно станет рынком отечественных производителей и будет расти в разы; еще больше возрастет востребованность технологий, позволяющих предотвращать хакерские атаки до того, как компаниям будет нанесен непоправимый ущерб.

Прогнозируя рост числа атак в текущем году и, как следствие, востребованность технологий для их предотвращения, эксперты назвали вероятным трендом следующего года рост интереса к платформам bug bounty у компаний различных сфер бизнеса (в том числе организаций с госучастием), практическим киберучениям и средствам защиты с максимальным уровнем автоматизации в части выявления хакерских атак и противодействия им.

Среди сформировавшихся в прошлом году трендов в области защиты информации в России бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий отметил существенный рост внимания к защите личной информации со стороны государства, которое предложило ряд законодательных инициатив, в частности, вступившие с 1 сентября 2022 года в силу новые требования ФЗ-152, которые обязывают компании в течение суток уведомлять ФСБ и Роскомнадзор о произошедших утечках персональных данных. Ряд правительственных инициатив будет рассмотрен в весеннюю сессию Госдумы: в первую очередь речь идет об оборотных штрафах за утечки персональных данных и уголовном преследовании за их незаконный оборот.

Рост числа утечек, с одной стороны, и оборотные штрафы, с другой, вероятно, заставят российские предприятия задуматься о пересмотре своей архитектуры защиты данных, а также о выстраивании процесса управления инцидентами для своевременного уведомления о них. Требование об уведомлении в течение 24 часов, независимо от праздников и выходных, — это серьезный вызов даже компаний, имеющих опыт в управлении кибербезопасностью.

Кроме того, привычный кадровый голод в отрасли подтолкнет развитие сервисной модели ИБ, предполагающей оказание услуг кибербезопасности внешним поставщиком. Ожидается автоматизация рутинных задач за счет использования специализированного ПО (например, систем класса SOAR) или отдельных модулей и функций в существующем ПО (например, решений SIEM), позволяющих решить большинство задач ИБ силами существующих специалистов, а также благодаря использованию уникальных средств защиты, основанных на применении технологий машинного обучения и способных предотвращать хакерские атаки силами буквально одного-двух экспертов ИБ.

По мнению экспертов Positive Technologies, нехватка кадров, рост числа атак, недостаток решений ИБ и уход иностранных игроков заставляют российские компании менять парадигму построения кибербезопасности в пользу обеспечения цифровой устойчивости только там, где находятся самые ценные активы, негативное кибервоздействие на которые может привести к реализации недопустимых для бизнеса событий с катастрофическими последствиями. Эта концепция позволяет сфокусироваться на самом важном для бизнеса, что особенно необходимо в текущих условиях, в которых российские компании будут существовать весь 2023 год.

Построенная в Росэнергоатоме решение включает систему мониторинга событий информационной безопасности и выявления инцидентов MaxPatrol SIEM, систему поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD), продукт для защиты от целевых и массовых атак с применением вредоносного ПО PT Sandbox, а также высокопроизводительное серверное оборудование Delta Tioga Pass и модули хранения на базе NVMe-дисков Argut.

По словам директора департамента управления ИТ-проектов и интеграции Росэнергоатома Олега Шальнова, данное решение позволит компании безболезненно отказаться от иностранного «железа», сохранив при этом как необходимый уровень защищенности от кибератак, так и соблюдение всех требований российского законодательства по информационной безопасности в части импортозамещения. Создание импортозамещенных программно-аппаратных комплексов позволяет выполнить задачи по импортозамещению аппаратной части уже используемых или вновь внедряемых отечественных программных систем, получить сбалансированные и горизонтально масштабируемые аппаратные решения с прогнозируемыми параметрами качества работы и стоимости владения на всем жизненном цикле.

Созданное для Росэнергоатома решение подойдет для компаний среднего и крупного бизнеса, работающих с высоким уровнем рисков в сфере информационной безопасности: в энергетике, финансовом секторе, промышленности, ретейле, фармацевтике и др.

Как сообщили в Positive Technologies, по итогам трех первых кварталов 2022 года общее число продаж доступов к корпоративным сетям банков в дарквебе выросло вдвое по сравнению с аналогичным периодом 2021 года. Стоимость варьируется от 250 до 30 тыс. долл. в зависимости от организации и привилегий в сети, которые получает покупатель. По мнению экспертов, такой рост активности может быть обусловлен четырехкратным снижением минимальной цены.

Анализ показал, что в атаках на финансовые организации злоумышленники чаще всего используют методы социальной инженерии (47% случаев) и реже прибегают к эксплуатации уязвимостей, чем при атаках на другие отрасли. По мнению экспертов, это связано с лучшей защищенностью сетевого периметра организаций финансовой отрасли. Преступникам дешевле и проще найти нелояльных сотрудников банков, которые готовы предоставить им доступ к системам или конфиденциальную информацию, чем взламывать периметр компании путем эксплуатации уязвимостей.

По итогам первых трех кварталов 2022 года общее количество атак на финансовые организации снизилось на 16% по сравнению с аналогичным периодом 2021 года. Доля кибератак на финансовую отрасль в последние годы в целом сокращалась и сейчас составляет около 5% от числа всех кибернападений на организации. Эксперты объясняют это тем, что банки традиционно вкладываются в безопасность и следуют отраслевым стандартам ИБ.

Как подчеркивают аналитики, хотя финансовый сектор лучше всего подготовлен к атакам по сравнению с остальными отраслями, в целом уровень защищенности организаций от внутреннего и внешнего злоумышленника остается недостаточно высоким. Об этом говорят результаты тестирований на проникновение и верификации недопустимых событий, проведенные экспертами Positive Technologies с 2021 по 2022 год. Так, в рамках внутреннего пентеста во всех случаях экспертам удалось установить полный контроль над инфраструктурой, а также продемонстрировать возможность получения доступа к критически важным системам. В случае успешного использования злоумышленником данных векторов атак компаниям может грозить серьезный ущерб.

В России, как и во всем мире, финансовый сектор является одним из наиболее заинтересованных в обеспечении достаточного уровня защищенности: постоянно совершенствуется нормативно-правовая база, поддерживается непрерывный информационный обмен между ФинЦЕРТ и организациями, проводятся форумы по ИБ. Поэтому эксперты рекомендуют финансовым организациям уделить особое внимание не только регулярным тестированиям на проникновение, но и верификации тех событий, которые могут повлечь серьезный ущерб и недопустимы для их деятельности.

По данным Positive Technologies, за три квартала 2022 года финансовые организации чаще всего сталкивались с кражей конфиденциальных данных (51% случаев) и остановкой бизнес-процессов (42%). В результате 7% атак компании несли финансовые потери.

В исследовании отмечается значительный рост числа кибератак на промышленность: доля атак на эту отрасль в общем объеме составила 13%, что на 5 процентных пунктов больше, чем в предыдущем квартале, а количество нападений хакеров на предприятия промышленного сектора увеличилось на 53%. Эксперты объясняют такой рост активностью шифровальщиков: 76% атак на промышленность были совершены с использованием вредоносного ПО, среди которого лидером оказалось вымогательское (61%). В большинстве случаев действия злоумышленников приводили к нарушениям работы промышленных предприятий (53%) и утечкам конфиденциальной информации (55%).

Среди громких инцидентов квартала — атака группировки Conti на одного из гигантов в области производства ветряных турбин Nordex, приостановка работы немецкого производителя ветряных турбин Deutsche Windtechnik из-за шифровальщика, распространяемого группировкой Black Basta, и крупная атака злоумышленников Gonjeshke Darande на сталелитейные заводы Ирана.

Эксперты Positive Technologies также выделили увеличение количества атак на сферу транспорта: во II квартале их число выросло на 83% по сравнению с I кварталом и составило 5% от всех атак в исследуемый период. По мнению специалистов, подобный рост обусловлен увеличением количества скоординированных DDoS-атак и активности шифровальщиков. Объектами кибератак стали компьютеры, серверы и сетевое оборудование (90%), веб-ресурсы (58%) и пользователи (23%). Среди основных последствий атак — нарушение основной деятельности (87%), прямые финансовые потери (23%) и утечка конфиденциальной информации (19%).

Нападениям киберпреступников подвергались не только компании, но и частные лица. Так, обычные пользователи стали жертвами утечки конфиденциальной информации в 69% атак и понесли финансовые потери в каждой третьей атаке.

В отчете также говорится о повышенном интересе злоумышленников к криптовалютам и криптоинвестициям. Эта тема сейчас популярна в обществе, поэтому количество атак на блокчейн-проекты и криптовалютные биржи активно растет: за первое полугодие 2022 года было совершено на 27% больше атак, чем за весь 2021 год. При этом держатели криптовалют также становятся объектами нападения злоумышленников, которые под разными предлогами пытаются похитить их виртуальные сбережения, а схемы киберпреступников становятся все запутаннее. Злоумышленники активно используют фишинговые сайты, а в случае с изощренной атакой на пользователей «холодных» криптовалютных кошельков Trezor преступникам удалось скомпрометировать почтовый ящик компании и отправить с него якобы легитимные письма клиентам.

По данным исследования, во II квартале кибератакам чаще всего подвергались государственные учреждения (18% случаев), организации промышленного сектора (13%) и научно-образовательные учреждения (7%). В результате организации чаще всего сталкивались с нарушениями основной деятельности (50%) и утечками конфиденциальной информации (40%).

Эксперты Positive Technologies проанализировали актуальные кибератаки в первом квартале 2022 года. Анализ показал, что общее количество атак выросло почти на 15% по сравнению с четвертым кварталом 2021 года. Также отмечается появление новых трендов в методике атак, среди которых — распространение вредоносов, нацеленных на уничтожение данных.

Эксперты связывают изменения с обострением противостояния в киберпространстве. Чаще всего атакам подвергались государственные и медицинские учреждения, организации сферы промышленности. Заметны изменения в пятерке самых атакуемых отраслей: здесь оказались СМИ, а доля атак, направленных на эту отрасль, составляет 5%.

В первом квартале 2022 года количество атак, направленных на госучреждения, увеличилось практически в два раза по сравнению с данными четвертого квартала 2021 года. Действия злоумышленников в основном были направлены на нарушение основной деятельности организаций, а также на кражу конфиденциальной информации.

Во второй половине квартала эксперты отметили всплеск атак на веб-ресурсы различных государственных учреждений. Доля атак на веб-ресурсы в исследуемый период выросла до 22% по сравнению с 13%, наблюдаемыми в предыдущем квартале. Увеличилась доля атак, которые стали возможны из-за компрометации или подбора учетных данных. В основном такие атаки проводились на веб-ресурсы и аккаунты компаний в социальных сетях. Действия злоумышленников были преимущественно направлены на кражу конфиденциальной информации: для организаций это в первую очередь персональные данные, а также сведения, составляющие коммерческую тайну. Пользовались популярностью медицинская информация и учетные данные. В атаках на частных лиц в основном были украдены учетные данные, а также персональные данные и данные платежных карт.

Злоумышленники активно распространяют инфостилеры — шпионское ПО, направленное на кражу информации, в том числе учетных данных. Особый интерес представляют учетные данные различных VPN-сервисов, которые впоследствии продаются на теневых форумах. Среди вредоносных программ, применяющихся в атаках на организации, доля шпионского ПО составляет 18%, в атаках на частных лиц — 38%.

Эксперты Positive Technologies отметили появление вайперов, уничтожающих данные: для организаций их доля составляет 3%, а для частных лиц — 2%. Среди таких «очистителей» данных, получивших распространение в I квартале, можно отметить WhisperGate, HermeticWiper, IsaacWiper, DoubleZero, CaddyWiper. Интересно, что в ряде случаев такое вредоносное ПО имитировало атаку программы-вымогателя: жертвам даже были отправлены сообщения с информацией о выкупе, однако ключи дешифрования предоставлены не были, а данные были необратимо повреждены. Способы распространения вайперов разнообразны: например, HermeticWiper распространялся через сетевого червя, а DoubleZero содержался в архивах, распространяемых в целевых фишинговых атаках. В случае с CaddyWiper злоумышленники обычно уже имели доступ к скомпрометированным сетям организаций. Чтобы не стать жертвой вайперов, рекомендуется проверять все файлы в виртуальной среде — «песочнице» и изолировать критически важные для бизнеса сегменты сети.

Эксперты Positive Technologies проанализировали актуальные киберугрозы 2021 года, отметив доминирование шифровальщиков среди вредоносного ПО, повышение интенсивности атак на криптобиржи, появление критически опасных уязвимостей, которые сразу же эксплуатировались злоумышленниками во множестве организаций по всему миру. Эти тренды будут актуальны и для 2022 года.

Количество кибератак в 2021 году увеличилось на 6,5% по сравнению с 2020 годом. Доля целевых атак в сравнении с 2020 годом выросла на 4 п.п. и составила 74% от общего количества. Как и в 2020 году, 86% всех атак были направлены на организации. В тройку наиболее часто атакуемых отраслей вошли госучреждения (16%), медучреждения (11%) и промышленные компании (10%). Наибольшей популярностью среди злоумышленников пользовались следующие методы атак: применение вредоносного ПО (63%), использование методов социальной инженерии (50%) и хакинг — эксплуатация недостатков защиты и уязвимостей в ПО (32%).

Среди вредоносов, которые использовались в атаках на компании, чаще всего встречались шифровальщики: по данным Positive Technologies, они были задействованы в 60% случаев, а прирост в сравнении с 2020 годом составил 15 п.п. В 2021 году злоумышленники стали угрожать публикацией украденных у компаний данных, если жертва обратится за помощью в полицию или наймет переговорщика. Такую тактику уже применили группировки Grief и Ragnar Locker.

Киберпреступники вновь обратили особое внимание на криптовалюту: количество атак на криптобиржи выросло на 44% в сравнении с 2020 годом. В 2021 году произошла одна из крупнейших краж криптовалюты в истории — злоумышленники похитили около 600 млн долл. у криптобиржи PolyNetwork. В основном киберпреступники использовали уязвимости в протоколах взаимодействия. Еще один метод, набирающий популярность, — эксплуатация веб-уязвимостей на сайтах криптоплатформ.

Популярность Linux возрастает с каждым годом, особенно на волне импортозамещения, и это не могли не учесть злоумышленники. Начиная со II квартала 2021 года исследователи Positive Technologies отметили, что все больше разработчиков вредоносов затачивают свое ПО для атак на Linux-системы. Если в инфраструктуре есть такие системы, эксперты рекомендуют регулярно проводить сканирования на наличие вредоносной активности, проверять файлы в песочнице перед их непосредственным запуском в системе, своевременно устанавливать обновления безопасности.