Каждая пятая компания в России уже взломана, но живёт как ни в чём не бывало

Каждая пятая российская компания, обратившаяся в BI.ZONE для профилактической проверки на компрометацию, уже имеет злоумышленников в своей инфраструктуре, не зная об этом. К такому выводу пришли специалисты BI.ZONE.

В отличие от реагирования на инцидент подобная проверка проводится без видимых признаков атаки — в превентивных целях.

По данным компании, 60% выявленных случаев скрытого присутствия связаны с группировками, занимающимися кибершпионажем. В BI.ZONE пояснили, что это не означает, будто шпионские кластеры атакуют российские компании чаще других: «Специфика этих группировок такова, что им для достижения своих целей необходимо долго находиться в инфраструктуре жертвы, незаметно собирая чувствительную информацию. Этим они отличаются, к примеру, от финансово мотивированных кластеров, использующих шифровальщики, — те, как правило, проводят атаку стремительно и могут находиться в инфраструктуре не больше нескольких дней». Еще 20% случаев приходится на хактивистские группировки.

На ранних этапах атаки злоумышленники, как правило, закрепляются на хостах периметра сети или в DMZ: почтовых серверах, серверах веб-приложений, VPN-шлюзах и системах, которые обслуживают подрядчики. Такие узлы доступны извне и регулярно взаимодействуют с внешней средой, что делает их удобной точкой входа.

Если атакующим удается повысить привилегии, они стремятся захватить контроль над доменными контроллерами, системами виртуализации и серверами резервного копирования. Закрепление внутри систем чаще всего реализуется через автозапуск-службы, задания планировщика или изменения в конфигурации, что позволяет вредоносному коду сохранять доступ даже после перезагрузки.

Согласно исследованию, на шпионаж приходится 37% всех атак на российские организации. Шпионские группировки активно применяют легитимные инструменты и собственное вредоносное программное обеспечение, что помогает им дольше оставаться незамеченными.