MENA ISC 2024: представим тренды в киберландшафте стран Персидского залива

8 из 10 самых активных кибергруппировок совершают атаки ради шпионажа, и лишь 2 — ради выкупа. Этот и другие ключевые тренды мы представим на международной конференции MENA ISC 2024

9 сентября 2024 г.

Страны Персидского залива переживают этап активной цифровизации и цифровой трансформации. По данным исследовательского агентства Mordor Intelligence, объем рынка информационных технологий в регионе к концу года превысит 129 миллиардов долларов. При этом, согласно исследованию Future Market Insights, общий объем рынка цифровой трансформации за ближайшие 10 лет вырастет более чем в 7,5 раза и достигнет показателя 418,5 миллиарда долларов.

Цифровая трансформация позволяет компаниям работать эффективнее и с меньшими издержками, но одновременно возрастают и цифровые риски. Чем сложнее и разветвленнее IT‑инфраструктура организаций, тем шире становится поверхность атаки. Все это приводит к усложнению ландшафта киберугроз в регионе.

Наши специалисты проанализировали топ‑10 кибергруппировок, которые в 2023‑м — начале 2024 года наиболее активно атаковали компании Бахрейна, Катара, Кувейта, ОАЭ, Омана и Саудовской Аравии. При этом удалось выделить следующие тренды в развитии ландшафта киберугроз:

1. Атаки на правительственные организации, нефтяные предприятия и телекоммуникационные компании чаще всего совершают ради шпионажа.

С этой целью действуют 8 из 10 кибергруппировок, наиболее активных в регионе на протяжении последних полутора лет. Как правило, их целями становятся правительственные организации, телекоммуникационные компании, а также предприятия нефтяной отрасли. Последнее связано с тем, что она имеет критическое значение для экономики региона: на долю стран Ближнего Востока приходится около трети мировой нефтедобычи, а Саудовская Аравия занимает второе место в рейтинге стран — производителей нефти.

2. Наиболее активные кибергруппировки редко атакуют ради финансовой выгоды.

В среднем в мире порядка 80% кибератак совершаются ради финансовой выгоды — как правило, для получения выкупа за восстановление доступа к инфраструктуре или к зашифрованным данным. Однако только 2 из 10 кластеров активности, которые чаще всего атаковали компании стран Персидского залива в 2023–2024 годах, действовали с такими целями. Это может быть связано с тем, что компании указанного региона редко платят киберпреступникам выкуп, в то время как большинство финансово мотивированных группировок занимаются именно вымогательством (а не перепродажей украденных данных).

3. Основной ущерб от кибератак связан с кражей чувствительных данных.

Это обусловлено тем, что именно похищение таких сведений (а не, например, шифрование инфраструктуры) — основная цель большинства наиболее активных в регионе кибергруппировок. Для получения чувствительной информации злоумышленники могут компрометировать как облачные хранилища данных, так и внутреннюю инфраструктуру компании.

4. Среди наиболее популярных инструментов злоумышленников — PowerShell и легитимные инструменты удаленного доступа.

В ходе атак на страны Персидского залива злоумышленники часто применяют PowerShell — легитимное кросс-платформенное решение для автоматизации задач, которое включает оболочку командной строки, скриптовый язык и платформу управления конфигурацией. Его ключевое преимущество для атакующих заключается в возможности на различных этапах атаки решать широкий спектр задач: получать аутентификационный материал, выполнять вредоносный код, собирать данные и другое.

Кроме того, киберпреступники часто используют легитимные инструменты удаленного доступа, изначально предназначенные для дистанционного управления компьютером. Поскольку такие программы не являются вредоносными, их использование позволяет злоумышленникам эффективнее обходить средства защиты, а действия преступников внутри инфраструктуры становится сложнее распознать.

Примечательно, что некоторые группировки, атакующие компании стран Персидского залива с целью шпионажа, применяют для этого коммерческое вредоносное ПО, которое можно приобрести в даркнете. Это необычный тренд, поскольку во всем мире кластеры активности, нацеленные на шпионаж, чаще всего используют вредоносные программы собственной разработки, чтобы их действия сложнее было распознать и остановить.

5. Для получения первичного доступа злоумышленники чаще всего компрометируют сервисы, позволяющие получить удаленный доступ к инфраструктуре.

Например, это могут быть сервисы VPN, которые используются компаниями для обеспечения безопасного доступа сотрудников к корпоративным сетям, или RDP, предназначенные для удаленного подключения к компьютеру. Чтобы получить доступ к этим сервисам, киберпреступники нередко используют украденные легитимные учетные данные.

Если рассматривать глобальный киберландшафт, то в нем существуют сотни группировок и техник атакующих, тысячи используемых ими инструментов и уязвимостей. Чтобы защититься от всего и сразу, потребуются годы инвестиций в построение системы киберзащиты, причем в ходе ее создания ландшафт угроз будет непрерывно меняться. Поэтому важно сконцентрировать усилия в первую очередь на том, что действительно актуально. Именно с этой целью мы сосредоточились на самых активных кибергруппировках, которые атакуют страны Персидского залива, их тактиках, техниках и наиболее популярных инструментах. Такой подход лежит в основе модели Intelligence Driven Defense и позволяет выстроить защиту наиболее эффективно.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Но чтобы эффективно противостоять угрозам, теорию нужно дополнять практикой — тренировками для специалистов в условиях, максимально приближенных к реальным. Для этого в рамках конференции MENA ISC 2024 мы проводим Cyber Polygon — международный онлайн-тренинг для повышения глобальной киберустойчивости. В этом году он будет посвящен расследованию сложной таргетированной атаки на технологическую организацию.

В центре сюжета Cyber Polygon 2024 — стартап, который разработал продукт на основе ИИ. Компания подозревает, что ее внутренняя инфраструктура была скомпрометирована. Участникам тренинга предстоит на протяжении 24 часов в реальном времени отрабатывать действия команды реагирования при атаке и расследовать инцидент, используя методы компьютерной криминалистики и threat hunting.

Cyber Polygon — наша международная инициатива, которая направлена на повышение глобальной киберустойчивости. На тренинг зарегистрировалось уже более 300 организаций более чем из 60 стран.

Спикерами прошлых мероприятий были премьер-министр Российской Федерации Михаил Мишустин, президент и председатель правления Сбера Герман Греф, экс‑президент Международного Комитета Красного Креста Питер Маурер, генеральный секретарь Интерпола Юрген Шток, соучредитель Apple Computer Стив Возняк и другие.