Злоумышленники чаще всего проникают в сети компаний через незакрытые уязвимости в ПО

Более половины (53,6%) инцидентов, которые в 2021 году расследовала «Лаборатория Касперского», начинались с эксплуатации уязвимостей*. Доля таких атак выросла с 2020 года более чем на 20 процентных пунктов. Вероятно, это связано с тем, что в прошлом году было обнаружено множество уязвимостей в Microsoft Exchange Server. Распространённость этого ПО и публичная доступность эксплойтов для этих брешей привела к большому числу инцидентов с их применением.

При разработке вредоносной кампании злоумышленники в первую очередь ищут легко достижимые цели. Это, например, общедоступные серверы с хорошо известными уязвимостями, слабыми паролями или скомпрометированными аккаунтами. Именно из-за таких векторов атак год от года  растёт число инцидентов высокой степени критичности.

Наиболее распространённая проблема для компаний в последние три года — программы-вымогатели. Именно потеря доступа к данным в результате их зашифровки стала в 2021 году основной причиной обращений в отдел расследования инцидентов «Лаборатории Касперского». Доля таких обращений выросла с 34% в 2019 году до 51,9% в 2021 году. В более чем половине случаев (62,5%) атакующие больше месяца находились в сети после ее начальной компрометации, прежде чем зашифровать данные.

Злоумышленники пытаются оставаться не замеченными, используя инструменты операционной системы, программного обеспечения, уже установленного на компьютерах клиентов, а также программ для администрирования сети и коммерческих фреймворков. Такие средства были обнаружены в 40% всех инцидентов, расследованных «Лабораторией Касперского». Проникнув в систему, атакующие используют легитимные инструменты для разных целей: PowerShell для сбора данных, Mimikatz для повышения привилегий, PsExec для выполнения команд удалённо, фреймворки, такие как Cobalt Strike, на всех стадиях атаки.

«Несмотря на то, что соблюдение всех необходимых мер не гарантирует стопроцентную защиту от киберугроз, своевременная установка обновлений ПО может сократить вероятность успешной атаки на 50%,— комментирует Константин Сапронов, руководитель отдела расследования инцидентов «Лаборатории Касперского». — Злоумышленники прибегают к различным методам, и лучший способ обезопасить инфраструктуру — использовать инструменты и подходы, которые позволяют обнаруживать их действия и останавливать атаки на разных стадиях».

Подробнее — в  отчёте «Лаборатории Касперского» о результатах анализа инцидентов безопасности в 2021 году.

* Данные отчёта «Лаборатории Касперского» о результатах анализа инцидентов безопасности в 2021 году.