За 2020 год центр мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком» выявил и отразил свыше 1,9 млн атак на информационные ресурсы организаций. Наибольшее число инцидентов – более 720 тыс. – было выявлено в Москве. На пятом месте из восьми возможных по количеству атак находится Уральский федеральный округ. Здесь специалисты Solar JSOC зафиксировали 177 тыс. киберпреступлений.
Примерно треть (31%) всех инцидентов на Урале связана с распространением вредоносного ПО (вирусов, «троянов», шпионского ПО и прочего), еще в 30% случаев злоумышленники эксплуатировали уязвимости в корпоративных веб-приложениях (веб-порталах, электронной почте, личных кабинетах и так далее). При этом в регионе самый высокий процент (20%) атак с применением методики подбора пароля и компрометации учетных данных корпоративных интернет-ресурсов. В других регионах доля подобных инцидентов составляет в среднем 13%.
«Наиболее низкий уровень кибергигиены при переходе на удаленный режим работы отмечен именно в Уральском регионе. Зачастую злоумышленникам удавалось использовать опубликованные в сети системы удаленного доступа (протоколы удаленного рабочего стола (RDP), VPN-шлюзы, доступ через терминал) и имеющиеся в них уязвимости для проникновения в инфраструктуру жертвы», – отметил Алексей Павлов, заместитель директора центра мониторинга и реагирования на кибератаки Solar JSOC по развитию бизнеса SOC компании «Ростелеком».
Аналогичное распределение по типам атак эксперты Solar JSOC наблюдают в большинстве регионов. Так, самым популярным методом взлома корпоративных инфраструктур преимущественно остается заражение ВПО. В условиях удаленки этот инструмент стал более эффективным, так как ИБ-службы не могли полноценно контролировать работающих из дома сотрудников и соблюдение ими политики безопасности. В 75% случаев вирус доставлялся на компьютер жертвы через фишинговые рассылки.
Вторым по популярности методом атаки на организации почти во всех федеральных округах стало использование уязвимостей в веб-приложениях, а на третьем месте – подбор пароля и компрометация учетных данных от внешних интернет-ресурсов организаций.
Также во всех регионах без исключения выросла доля DDoS-атак – она составила 5–9% от общего количества инцидентов (годом ранее этот показатель не превышал 6% в целом по стране). Это объясняется тем, что в 2020 году существенно выросла значимость каналов связи и онлайн-сервисов, которые обеспечивали не только доступность онлайн-ресурсов, но и удаленный доступ сотрудников в корпоративную инфраструктуру. Такое изменение ИТ-ландшафта открыло новые возможности для злоумышленников.