На пресс-конференции в рамках форума Positive Hack Days 9 директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков представил итоги исследования, в котором были проанализированы инструменты 29 APT-группировок, действующих в различных странах мира и представляющих угрозу для ключевых отраслей — государственного сектора, кредитно-финансовых организаций и промышленности.
Специалисты Positive Technologies отметили, что фишинговые рассылки — эффективный способ проникновения во внутреннюю сеть компании: сегодня к нему прибегают 90% APT-группировок. Исследование показало, что каждая вторая действующая APT-группировка после проникновения во внутреннюю сеть использует легитимные инструменты для администрирования и коммерческие инструменты для тестов на проникновение. Стоимость коммерческих инструментов варьируется от 8000 до 40 000 долларов США. Общая стоимость инструментов для создания вредоносных вложений без учета стоимости эксплойтов для уязвимостей нулевого дня составляет порядка 2000 долларов США.
В начале 2019 года было зафиксировано возобновление активных действий со стороны финансово мотивированной группировки Silence. В ходе атак группировка Silence использует как общедоступное ПО из состава Sysinternals Suite, так и ряд уникальных самописных инструментов (в их числе – фреймворк Silence). Кстати, средняя стоимость готового ВПО для банкоматов составляет около 5000 долларов — это самый дорогой тип вредоносного ПО в дарквебе.
Проанализировав теневой рынок киберуслуг, эксперты Positive Technologies пришли к выводу, что стартовая цена набора инструментов финансово мотивированной APT-группировки (такой как Silence) может составить 55 000 долларов. При этом средний ущерб от успешной атаки мог сосатвить 288 000 долларов.
«Инструменты, используемые хакерами при проведении APT-атак, могут зависеть от мотивов киберпреступников. Однако, по нашим данным, 48% действующих сегодня APT-группировок используют инструменты для тестирования на проникновение. Это — тренд 2018 года, который распространяется и на 2019 год,— рассказал Алексей Новиков. — И если оценочная стоимость арсенала инструментов финансово мотивированных группировок составляет несколько десятков тысяч долларов, то для кибершпионских APT эта сумма на порядок больше. В то же время ущерб от APT для организаций-жертв в разы превышает затраты группировки на проведение атаки, а расходы злоумышленников на приобретение или разработку инструментов окупаются после первых же успешных атак».
Анализируя актуальные киберугрозы в течение I квартала 2019 года, эксперты компании отметили, что доля целенаправленных атак снизилась по сравнению с IV кварталом 2018 года и составила 47% против 53%. Это связано с увеличением количества атак, которые не привязаны к конкретной отрасли: в основном речь идет о массовых вредоносных кампаниях. Более половины хакерских атак (54%) совершались с целью хищения информации. Злоумышленники заинтересованы в самых разнообразных данных, от личной переписки до коммерческой тайны. Доля киберинцидентов, в результате которых пострадали частные лица, практически не изменилась (21% против 22% в IV квартале 2018 года).