В преддверии SOC Forum, главного события года в сфере ИБ, ГК «Солар», архитектор комплексной кибербезопасности, представляет аналитику центра мониторинга внешних цифровых угроз Solar AURA за первые три квартала 2024 года. По итогам девяти месяцев этого года эксперты зафиксировали 569 инцидентов (сообщений об утечках, включая случаи публикации баз данных российских компаний) — это на 80% больше показателей аналогичного периода прошлого года и на 35% больше, чем за весь 2023 год. При этом украденные данные попали в сеть в частичном или полном объеме лишь в 55% случаев (это 316 инцидентов), а о части из них можно судить только по фрагментам опубликованных баз, архивов или по отчетам хакерских группировок.
При этом количество строк опубликованных данных год к году увеличилось на 15%, до 800 млн. Для чистоты сравнения из статистических данных за прошлый год была исключена утечка, связанная с публикацией 4 млрд строк преимущественно технической информации, которая не является существенно важной с точки зрения кибербезопасности.
В то же время общий объем опубликованных данных снизился на 95% до 5 терабайт, что обусловлено уменьшением числа инцидентов, в ходе которых злоумышленники получили доступ глубоко внутрь инфраструктуры компании и смогли добраться до больших массивов неструктурированной информации. Впрочем, согласно оценкам экспертов, ситуация может измениться. Уже после окончания отчетного периода были зафиксированы сообщения об успешных кибератаках, в ходе которых в руки злоумышленников попали значительные объемы данных.
Также злоумышленники стали публиковать в общий доступ базы данных, полученные еще в 2023 году, но не фигурирующие ранее в публичном пространстве. Помимо этого, эксперты Solar AURA в ходе анализа теневого сегмента интернета и Telegram-каналов обнаружили и подтвердили 120 случаев дефейса — типа атаки, в ходе которой хакеры заменяют официальную веб-страницу сайта компании на другую с негативным контентом.
Первое место по количеству инцидентов, связанных с утечками данных, занимает ритейл — на этот сектор пришлось 182 таких случая. На втором месте сфера услуг (101 инцидент), а на третьем обосновался государственный сектор, включающий как органы государственной власти, так и органы власти субъектов и местного самоуправления (45 инцидентов). Далее с минимальным отрывом следует сегмент образования и науки (42 инцидента), а за ним — производственный сектор (38 инцидентов) и телекоммуникации (37 инцидентов).
В разрезе количества утекших строк первое место занял финансовый сектор с показателем в 409 млн строк.
Данные, полученные в результате утечек, злоумышленники активно используют для проведения фишинговых атак. Так, количество обнаруженных и заблокированных ресурсов в первые девять месяцев этого года увеличилось на 116% в сравнении с аналогичным периодом 2023 года.
В 2024 году хакеры начали массово использовать фишинговые домены третьего и более глубоких уровней и, как правило, без упоминания брендов, что усложняет поиск таких ресурсов автоматизированными средствами мониторинга. Если год назад доля таких доменов без связки с брендом составляла 16%, то в 2024 году до 40% фишинговых ресурсов не имеет смысловой связки с брендом. При этом в случае с маркетплейсами доля внебрендовых доменов в этом году достигла 70%. Больше про тренды фишинга и утечек можно будет узнать на SOC Forum, который пройдет в Москве с 6 по 8 ноября в рамках Недели кибербезопасности.
«Нельзя назвать уменьшение количества строк и объема утекших данных трендом, ведь в любой момент может произойти кибератака, способная привести к утечке миллиардов строк данных. Например, в сентябре 2023 года злоумышленниками была выложена база всего одной компании, содержащая 4 млрд строк с преимущественно технической информацией. Сегодняшняя статистика скорее говорит о том, что утечки данных продолжают оставаться ключевой угрозой для российских организаций, а фишинг переживает свой расцвет. Именно поэтому мы рекомендуем компаниям заниматься обеспечением комплексной защиты от кибератак, которая включает как обучение сотрудников киберграмотности и постоянный поиск внешних цифровых угроз, так и мониторинг внутренней инфраструктуры и внедрение специализированных решений, защищающих от кибератак и предотвращающих утечки», — пояснил Александр Вураско, заместитель директора центра мониторинга внешних цифровых угроз Solar AURA, ГК «Солар».
Отчет составлен на основе данных DRP-сервиса мониторинга внешних цифровых угроз Solar AURA ГК «Солар». Аналитика базируется на результатах мониторинга публичных и закрытых сегментов интернета по клиентам и пилотным проектам центра Solar AURA:
- 1,2 млн+ доменных имен и выданных SSL-сертификатов (пул источников динамически обновляется каждые сутки);
- более 2 500 Telegram-каналов противоправной тематики и даркнет-форумов;
- 50 млн DNS-запросов в сутки.
Сервис Solar AURA был запущен в марте 2023 года. Это комплексное решение по мониторингу цифровых угроз, возникающих за пределами контролируемой заказчиком инфраструктуры. Сервис позволяет выявлять фишинг от имени компании, возможные утечки данных, признаки подготовки атак в даркнете, незаконное использование бренда, подозрения на нелегальное применение эквайринга, махинации с контрагентами и другие факторы цифровых рисков. Каждое событие тщательно анализируется: сервис не только оповещает об угрозе, но и предоставляет полную информацию о ней — это расширяет возможности эффективного противодействия и помогает в расследовании инцидента.