28.01.2025 09:37
breakmirrors 1 2000 Источник

По нашим данным, в 2024 году киберпреступники установили новый рекорд по атакам на российский бизнес: рост составил 20% по сравнению с предыдущим годом. Это максимальный показатель за всю историю наблюдений. Ситуация требует от руководства компаний пристального внимания к кибербезопасности, но как обстоят дела на самом деле?

Делимся статистикой, собранной по результатам тестирования кибербезопасности более 300 средних и крупных компаний по всей России. Вы узнаете, какие ИБ-услуги оказались самыми востребованными в 2024 году, какие уязвимости встречались пентестерам чаще всего и как сегодня выглядит типичная атака на российскую организацию. 

Немного формальностей. Данные в статье основаны на крупной, но все же ограниченной выборке. Для удобства восприятия показатели округлены. Из-за обязательств по NDA мы не можем раскрыть все детали, но постараемся поделиться всем самым интересным и полезным. 

Если вам нужна полная версия отчета Бастиона о кибербезопасности российских компаний за 2024 год, напишите нам на pr@bastion-tech.ru.

В 2024 году мы исследовали кибербезопасность в более чем 300 организациях — от банков и IT-компаний до промышленных предприятий и госучреждений. Руководители бизнеса все чаще задумываются о защите от киберугроз, но любопытнее другое — как меняются их приоритеты.

Первый заметный тренд — рост спроса на учения по противодействию социальной инженерии. В 2024 году такие проверки наконец-то «взломали» лидерство внешнего пентеста, который был самой востребованной услугой в нашем портфеле с 2021 года. Теперь бизнес хочет знать, насколько их сотрудники готовы к встрече с цифровыми мошенниками.

В сумме на тестирование социальной инженерии и внешний пентест пришлось 64% от всех проверок безопасности из нашей выборки. Однако такой перекос в сторону внешних угроз вызывает тревогу: бизнес недооценивает риски атак через доверенных подрядчиков, хотя число таких инцидентов стабильно растет.

Удивительно скромное место среди проверок безопасности занимают тестирование Wi-Fi сетей и мобильных приложений. И если с Wi-Fi риски обычно локальны, то уязвимости в программах для смартфонов — совсем другая история. Одна критическая ошибка в коде приложения может открыть злоумышленникам доступ к данным тысяч пользователей. Тем не менее, многие компании продолжают закрывать на это глаза.

На комплексное тестирование безопасности (редтиминг) приходится лишь 3% проверок. Это неудивительно: услуга дорогая и требует зрелого уровня ИБ, которого у большинства компаний пока нет. Некоторые вообще ограничиваются проверкой только одной системы, хотя такой подход не позволяет найти уязвимости на стыке различных элементов IT-инфраструктуры.

Сколько сотрудников ведется на социальную инженерию

Фишинг превратился в настоящую индустрию с моделью «под ключ» (phishing as a service). Нигерийские письма и рассылка спама наугад постепенно выходят из моды: теперь злоумышленники все чаще обращаются к целевому фишингу (spear-phishing), персонализируя атаки под конкретных сотрудников. 

Такой подход делает социальную инженерию одним из самых эффективных способов взлома корпоративных сетей. Точечный фишинг гораздо опаснее массовых рассылок: злоумышленник знает, на какие «кнопки» давить, чтобы жертва потеряла бдительность. По нашим данным, подобные атаки оказываются успешными примерно в каждом третьем случае. Это хорошо объясняет рост спроса на тестирование устойчивости сотрудников к фишингу. 

По результатам моделирования фишинговых атак в 2024 году мы выяснили, что в среднем на 100 сотрудников

  • восемь переходят по ссылкам в простых фишинговых письмах; 

  • трое откроют вредоносное вложение;

  • двое вступят в переписку с мошенниками. 

Казалось бы, цифры небольшие. Но представьте компанию с тысячей сотрудников — это уже 80 потенциальных точек входа для злоумышленников.

Типичные сценарии фишинговых атак

Сценарий 1: от письма до домена за 30 минут

  1. Злоумышленник рассылает сотрудникам персонализированные фишинговые письма. Кто-то из сотрудников не замечает подвоха и раскрывает учетные данные от корпоративных аккаунтов.

  2. С помощью полученных данных злоумышленник авторизуется в Outlook и сервисе технической поддержки. Из первого он собирает информацию об адресах электронной почты других сотрудников, из второго — список паролей, используемых «по умолчанию».

  3. Следующий шаг — автоматизированный перебор учетных данных на сервисе с доменной авторизацией, который оказывается незащищенным от подобных атак.

  4. Как итог, злоумышленнику удается скомпрометировать более 300 доменных учетных записей. Выяснив, какие из этих аккаунтов не защищены двухфакторной аутентификацией, он проникает во внутреннюю корпоративную инфраструктуру.

Сценарий 2: прямой доступ к офисной сети

  1. Злоумышленники выбирают целью Ивана B., сотрудника крупной компании. Они отправляют Ивану письмо от имени Марии О., якобы сотрудницы известного университета. В письме содержится предложение выступить на конференции. Чтобы схема выглядела более правдоподобно, злоумышленники заранее создали почтовый ящик, похожий на почтовый адрес университета.

  2. Иван поддается на обман и быстро отвечает на письмо. Злоумышленники инициируют переход диалога в Telegram. Там они отправляют Ивану ZIP-архив с DOCX-файлом с «планом выступления», а также исполняемый файл для установления управляющей сессии с C2-сервером.

  3. Заподозрив неладное, Иван отвечает, что не может открыть файл. Он задает злоумышленникам несколько вопросов по поводу конференции.

  4. Сославшись на технические сложности с предыдущим файлом, злоумышленники отправляют жертве Excel-документ. Помимо «ответов на вопросы», этот документ содержит вредоносные макросы, которые должны загрузить на компьютер жертвы EXE-файл и создать задачу на его выполнение.

  5. Злоумышленники убеждают Ивана вручную включить макросы, ссылаясь на необходимость для работы с содержимым документа. Иван запускает макросы, и атакующие получают полный доступ к его системе.

  6. Злоумышленники находят на компьютере Ивана XML-документ с зашифрованным паролем от Wi-Fi-сети компании. Расшифровав пароль, один из атакующих направляется в фойе компании, беспрепятственно подключается к Wi-Fi и скрытно устанавливает устройство для удаленного подключения в корпоративной сети.

  7. Получив надежный канал связи с инфраструктурой, злоумышленники проводят атаку на контроллер домена и получают административные привилегии.

Порты нараспашку. Уязвимости на периметре российских компаний

Результаты внешнего тестирования на проникновение тоже не радуют. По результатам наших проверок, в среднем на одну российскую компанию приходится 13 уязвимостей разной степени критичности

Конечно, не каждая найденная уязвимость сразу означает взлом. Однако почти треть обнаруженных проблем (29%) относится к критическим и высокоопасным. Другими словами, в среднем у каждой компании есть 3–4 серьезные бреши в защите, которыми злоумышленники могут воспользоваться прямо сейчас.

Повсеместные инъекции кода и слабый контроль доступа говорят о серьезных проблемах в разработке. Разработчики явно пренебрегают базовыми принципами безопасного программирования. 

Особую тревогу вызывает большое количество логических уязвимостей — это сигнал о системных проблемах в проектировании IT-систем. Похоже, в ближайшем будущем многим компаниям придется пересматривать свои архитектурные решения с нуля. 

Типичный сценарий атаки на внешнюю инфраструктуру

  1. Выявление уязвимостей в сервисе внешней инфраструктуры. 

  2. Компрометация статического ключа для подписи исполняемых команд к фреймворку Gearman при помощи LFI. Выполняется в два этапа: сначала реализуем подделку запроса на стороне сервера (SSRF); затем развиваем SSRF до LFI, позволяющей читать локальные файлы на серверной стороне.

  3. Инъекция кода в команды управления фреймворком Gearman.

  4. Использование небезопасной конфигурация Sudo для локального повышения привилегий и получения доступа к командной оболочке от имени root. 

  5. Компрометация базы данных сервиса и хэшей учетных записей пользователей сервиса.

  6. Подбор хэшей и получение исходных паролей.

  7. Переиспользование паролей для доступа к VPN без 2fa.

  8. Получение доступа к внутренней инфраструктуре.

По нашим данным, комбинируя методы социальной инженерии с эксплуатацией уязвимостей веб-приложений, опытные злоумышленники преодолевают внешний сетевой периметр компаний в 60% случаев. В переводе на простой язык: если хакеры всерьез нацелились на компанию, то в шести случаях из десяти они добьются своего.

Ахиллесова пята. Состояние внутренней инфраструктуры российских компаний

Что происходит после того, как хакеры пробили внешний периметр? К сожалению, ничего хорошего. В 85% внутренних пентестов мы получали полный контроль над доменной инфраструктурой компании. То есть если злоумышленники попали внутрь сети, они с высокой вероятностью захватят всю IT-инфраструктуру организации.

Типичный сценарий атаки на внутреннюю инфраструктуру

  1. Сканирование сети с помощью Nmap. Обнаружение веб-ресурса с .NET-приложением для доступа к базе данных. При запуске происходит скачивание исполняемых файлов приложения во временную директорию на компьютере пользователя.

  2. Декомпиляция приложения с помощью инструмента ILSpy. Извлечение зашифрованного пароля из конфигурационного файла и его расшифровка.

  3. Подключение к базе данных MS SQL с правами sysadmin при помощи DBeaver. Включение оболочки xp_cmdshell для выполнения команд операционной системы.

  4. Повышение привилегий до уровня системы с помощью инструмента SharpImpersonation.

  5. Обход антивируса Касперского с помощью обфусцированной версии Mimikatz. Извлечение учетных данных из дампа памяти процесса lsass.exe. Горизонтальное продвижение.

  6. Получение доступа к домену и подключение к домен-контроллеру с помощью TGT-билета Kerberos.

  7. Извлечение данных о локальных учетных записях из хранилища SAM.

  8. Проведение атаки Shadow Credentials на контроллер домена и получение TGT-билета Kerberos для учетной записи контроллера домена.

  9. Выполнение атаки DCSync для административной доменной учетной записи.

  10. Получение полного доступа на контроллер домена.

В 2024 году большинство российских компаний по-прежнему использует Active Directory в качестве основы своей доменной инфраструктуры. Переход на альтернативы вроде FreeIPA тормозится высокими затратами на миграцию и острой нехваткой специалистов для их поддержки.

Ситуация осложняется тем, что лишь у 5% компаний корректно настроены сервисы Active Directory. Раньше Microsoft предоставляла специальные инструменты защиты — Advanced Threat Analytics (ATA) и Advanced Threat Protection (ATP). Теперь эти решения недоступны для российского бизнеса. В результате большинство компаний оказались беззащитны перед актуальными киберугрозами.

Некорректная настройка списков контроля доступа (ACL) остается острой проблемой даже для компаний с продвинутой системой информационной безопасности. Все дело в сложности администрирования: ACL представляет собой многоуровневую иерархию, где нужно учитывать все возможные комбинации прав доступа. Со временем отследить правильность наследования этих прав становится крайне проблематично.

Еще одна распространенная проблема — недостаточная защита административных и критичных учетных записей. Системные администраторы часто думают, что достаточно установить сложные пароли для повышения безопасности инфраструктуры. Однако злоумышленники могут получить доступ к административным учетным записям разными способами: через дамп LSA или имперсонализацию. 

Отдельная головная боль — хранение паролей в открытом виде. Пользователи продолжают хранить свои учетные данные в текстовых файлах на общих сетевых ресурсах. Для злоумышленников это настоящий подарок, который мгновенно увеличивает площадь атаки. 

Qwerty123. Парольные политики российских компаний

Впрочем, проблема парольной защиты остается критической уже много лет. Это касается не только доменных учетных записей, но и веб-приложений, VPN, SSH и RDP. Неслучайно Microsoft активно продвигает passkeys.

Ситуация усугубляется тем, что современные процессоры и видеокарты становятся все мощнее, делая подбор паролей все более простой задачей. То, что раньше требовало суперкомпьютера, теперь можно сделать на обычном игровом ПК.

В среднем на подбор ~70% доменных NTLM-хэшей на одной видеокарте NVIDIA GTX 4090 с помощью словарной атаки с правилами уходит не более 45 минут. Чуть меньше трети таких хэшей удается подобрать примерно за две минуты

За счет постоянных утечек баз данных киберпреступники улучшают свои словари и методы подбора паролей. При этом парольные политики в компаниях часто годами остаются без изменений. 

В проектах, где нам удалось получить права администратора домена, мы анализировали файл NTDS.dit для проверки криптостойкости паролей. В 2024 году мы смогли подобрать на 5–10% больше хэшей по сравнению с прошлым годом. Прирост обеспечили именно обогащение и оптимизация словарей.

Для классификации сложности паролей использовался инструмент zxcvbn
Для классификации сложности паролей использовался инструмент zxcvbn

По результатам нашего анализа более 65% паролей от корпоративных аккаунтов (68% с учетом логинов) относились к категориям «очень слабый», «слабый» или «ниже среднего». Очень слабые пароли можно подобрать на любом сервисе. Слабые поддаются взлому там, где нет блокировки после неудачных попыток входа. Пароли «ниже среднего» уязвимы для атак на сервисы без капчи или при целенаправленной атаке на конкретного пользователя.

Пароли «среднего» уровня можно подобрать локально из хэша даже при минимальных вычислительных ресурсах. И только пароли уровня «выше среднего» требуют таких ресурсов и навыков, что их подбор становится практически нецелесообразным для злоумышленников.

Подводим неутешительные итоги

Выводы не радуют: по совокупности показателей 78% организаций находятся в зоне повышенного риска. Из них 65% компаний имеют низкий уровень защиты, а 13% — ниже среднего. Для таких организаций последствия успешной атаки могут быть катастрофическими: от остановки ключевых бизнес-процессов и серьезных финансовых потерь до утечки клиентских данных.

Типичный сценарий атаки выглядит так: злоумышленники проникают через уязвимости веб-приложений во внутреннюю сеть, получают доступ к критическим системам (CRM, ERP, бухгалтерия) и запускают программы-вымогатели. Не хочется пугать, но по сути, большинство российских компаний сидят на пороховой бочке и ждут, когда рванет.

Конечно, для каждой компании ситуация уникальна, но среднестатистическим организациям важно выбирать услуги безопасности в соответствии с текущим уровнем зрелости ИБ-процессов.

Базовая рекомендация для начинающих — анализ защищенности инфраструктуры. С ростом зрелости ИБ-процессов стоит добавлять внутренние и внешние пентесты, а также проверки устойчивости персонала к социальной инженерии. Продвинутые компании могут внедрять более сложные практики: red teaming, purple teaming и регулярные киберучения.

Выстраивать систему безопасности нужно последовательно, как здание: сначала закладывается фундамент, затем возводятся стены, и только потом — крыша. Попытки перескочить через этапы обычно приводят к пропуску критических уязвимостей.

Надеемся, что результаты нашего исследования помогут руководителям и ИБ-специалистам точнее оценивать риски и выбирать оптимальные стратегии защиты для своих организаций.

Комментарии (1)


  1. Mike-M
    29.01.2025 15:32
    #27851052

    Жаль что в статье нет сравнительной статистики по количеству отловленных и осужденных за неправомерный взлом. Похоже, взломы потому и увеличиваются, что взломщиков никто не ловит.