Более половины (53,6%) инцидентов, которые в 2021 году расследовала «Лаборатория Касперского», начинались с эксплуатации уязвимостей, сообщается на сайте компании.

Доля таких атак выросла с 2020 года более чем на 20 процентных пунктов. Вероятно, это связано с тем, что в прошлом году было обнаружено множество уязвимостей в Microsoft Exchange Server. Распространённость этого ПО и публичная доступность эксплойтов для этих брешей привела к большому числу инцидентов с их применением.

При разработке вредоносной кампании злоумышленники в первую очередь ищут легко достижимые цели. Это, например, общедоступные серверы с хорошо известными уязвимостями, слабыми паролями или скомпрометированными аккаунтами. Именно из-за таких векторов атак год от года растёт число инцидентов высокой степени критичности.

Тем не менее доли атак, которые начинались через аккаунты, скомпрометированные методом перебора паролей, и рассылку вредоносных электронных писем, снизились в 2021 году с 31,6% до 17,9% и с 23,7% до 14,3% соответственно.

Наиболее распространённая проблема для компаний в последние три года — программы-вымогатели. Именно потеря доступа к документам в результате их зашифровки стала в 2021 году основной причиной обращений в отдел расследования инцидентов «Лаборатории Касперского». Доля таких обращений выросла с 34% в 2019 году до 51,9% в 2021 году. В более чем половине случаев (62,5%) атакующие выжидали больше месяца после внедрения вымогателя, прежде чем зашифровать данные.

Злоумышленники скрывают то, что им удалось проникнуть в корпоративную сеть, в основном с помощью инструментов операционной системы, хорошо известных вредоносных программ и коммерческих фреймворков. Такие средства были обнаружены в 40% всех инцидентов, расследованных «Лабораторией Касперского». Проникнув в систему, атакующие используют легитимные инструменты для разных целей: PowerShell для сбора данных, Mimikatz для повышения привилегий, PsExec для выполнения команд удалённо, фреймворки, такие как Cobalt Strike, на всех стадиях атаки.