В Азербайджане с января по март 2024 года 49,37% пользователей столкнулись с киберугрозами

«Лаборатория Касперского» представила масштабный отчёт по ландшафту киберугроз в странах СНГ

 «Лаборатория Касперского» представила отчёт «Ландшафт угроз для стран СНГ» за первый квартал 2024 года и 2023 год. В документе команда Kaspersky Cyber Threat Intelligence описала актуальные угрозы, составила перечень тактик, техник и процедур атак, а также средства снижения киберрисков.

В Азербайджане с января по март 2024 года 49,37% пользователей столкнулись с киберугрозами.

Фишинг чаще всего направлен на получение доступа к банковским данным или другой конфиденциальной информации, связанной с финансовыми учреждениями.

Пример страницы, расположенной на фишинговом ресурсе

Использование Telegram в контексте фишинга и социальной инженерии в Азербайджане становится все более и более популярным из-за распространенности мессенджера. Злоумышленники предлагают пользователю выполнить вход с помощью Telegram и подтвердить личность якобы для получения бонуса. Таким образом компрометируются учетные данные Telegram-аккаунта пользователя.

Пример страницы, расположенной на фишинговом ресурсе

«В 2024 году киберпреступники используют комплексные подходы для повышения эффективности кибератак. Фишинг, таргетированный на конкретного человека, делает коммуникацию от лица злоумышленников более убедительной и трудной для обнаружения. Организациям важно управлять человеческими рисками, создавать целенаправленные программы безопасности, особенно в условиях возрастающих киберугроз для таких стран, как Азербайджан», — комментирует Мушвиг Мамедов, официальный представитель «Лаборатории Касперского» в Азербайджане.

Другие выводы отчёта. В последние полтора года угроза хактивизма продолжила набирать обороты. Атакующие обращают внимание на организации со слабой защитой, без привязки к конкретной индустрии, используя любые доступные инструменты в открытой сети. При этом не снижают активности и группы, которые атакуют с целью шпионажа и финансовой выгоды, например шифровальщики.

Злоумышленники предпочитают не менять свои сценарии и атакуют наименее подготовленные с точки зрения кибербезопасности организации, например эксплуатируют уже хорошо известные и распространённые уязвимости в продуктах, которыми пользуются многие организации.

Уязвимости в атаках на корпоративную сеть. Более половины самых активно эксплуатируемых CVE были зарегистрированы в конце прошлого десятилетия. Самой распространённой в 2023 году и первом квартале 2024 года стала критическая уязвимость CVE-2021-44228 (Log4Shell) в библиотеке Apache Log4j, которая позволяет удалённо выполнять код. На втором месте — уязвимость CVE-2019-0708 (BlueKeep) в Microsoft Windows и Microsoft Windows Server. Помимо удалённого выполнения кода, она также позволяет раскрывать конфиденциальную информацию, повышать привилегии и подменять пользовательский интерфейс. В тройку наиболее часто используемых также вошла уязвимость CVE-2020-7247 в почтовом сервере OpenSMTPD, с помощью которой можно удалённо выполнять код и повышать привилегии.

Уязвимости в атаках через конечные устройства.Для атак на корпоративные устройства в странах СНГ злоумышленники чаще всего используют уязвимости в архиваторах 7-Zip и WinRAR, а также в браузере Google Chrome. В первом квартале 2024 года и в 2023 году при атаках на организации в странах СНГ атакующие эксплуатировали бреши в 7-Zip (CVE-2023-31102/CVE-2023-40481 и CVE-2022-29072). В число самых распространённых также вошли уязвимости в WinRAR (CVE-2023-38831) и Google Chrome (CVE-2023-1822/CVE-2023-1812/ CVE-2023-1813 и другие). Большинство самых активно используемых брешей (9 из 10) позволяют выполнять вредоносный код. При этом почти все они были зарегистрированы в 2023 году. 

Угроза программ-вымогателей.Злоумышленники используют уязвимости в том числе для атак с использованием программ-шифровальщиков. В 2024 году они остаются одной из главных угроз для организаций по всему миру: число таких атак находится на стабильно высоком уровне, растёт совокупный размер выкупа, при этом компании сталкиваются со сложностью дешифровки.

В тройку самых распространённых типов** программ-вымогателей в первом квартале 2024 года вошли троянцы Dcryptor, Lockbit и Conti. В аналогичном периоде в прошлом году тройка выглядела следующим образом: Phobos, Lockbit и Conti.

«Нашей целью при подготовке отчёта было представить полноценное исследование актуального ландшафта киберугроз, а также ещё раз показать, что правильно выстроенные процессы информационной безопасности и анализ тактик, техник и процедур атакующих остаются надёжным средством противодействия киберугрозам. В частности, чтобы предотвратить использование уязвимостей для атак на организации, важно выстроить процесс их устранения, или Patch Management. Также необходимо использовать комплексные защитные решения, позволяющие оперативно выявить угрозы и их устранять. Помимо технических средств, стоит уделять внимание повышению цифровой грамотности сотрудников, ведь во многих случаях атаки становятся возможны из-за человеческого фактора», — комментирует Никита Назаров, руководитель отдела расширенного исследования угроз «Лаборатории Касперского».

Чтобы предотвратить использование уязвимостей для атак на компанию, эксперты «Лаборатории Касперского» рекомендуют:

  • регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform. Для расширения навыков ИБ-специалистов подойдут продвинутые тренинги от экспертов «Лаборатории Касперского»;
  • использовать сложные и уникальные пароли для защиты корпоративных учётных записей и регулярно их обновлять. Для их создания и хранения рекомендуется использовать специализированные менеджеры паролей;
  • настроить многофакторную аутентификацию везде, где это возможно, — это снижает вероятность взломов и утечек;
  • ограничить права доступа и привилегии для сотрудников, использовать учётные записи с полными привилегиями только в случае крайней необходимости;
  • сегментировать сеть: определить критически важные бизнес-системы, изолировать их и применить к ним соответствующие меры безопасности;
  • установить надёжное решение класса EDR для защиты конечных устройств, такое как Kaspersky Endpoint Detection and Response;
  • использовать решение с технологией Sandbox. Это поможет предотвратить проникновение вредоносного ПО на рабочие устройства, в частности через вложения на электронной почте. Такой функционал есть у Kaspersky Anti Targeted Attack;
  • регулярно обновлять операционную систему и ПО на всех корпоративных устройствах, чтобы своевременно закрывать известные уязвимости. Получать подробную информацию об уязвимостях можно с помощью сервиса Kaspersky Vulnerability Data Feed;
  • предоставлять ИБ-специалистам доступ к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence.

* При анализе использовались данные сетевой и хостовой телеметрии «Лаборатории Касперского» по странам СНГ в 2023 году и первом квартале 2024 года.