Шпионское ПО представляет собой вредоносные программы, предназначенные для скрытого сбора конфиденциальной информации в инфраструктуре жертвы. В 2024 году наиболее распространенными методами реализации таких атак стали вредоносное программное обеспечение с функциями шпионажа (63% инцидентов) и инструменты скрытого мониторинга активности в системе (41%). Эти показатели суммарно превышают 100%, так как в ряде атак злоумышленники применяли несколько различных методов одновременно.
«Основной признак шпионских атак - длительное скрытное присутствие в системе. Современные злоумышленники активно используют методы маскировки: вредоносные программы часто проникают в инфраструктуру под видом легального ПО или загружаются вместе с ним, шифруют свой сетевой трафик, удаляют журналы событий, тем самым минимизируя риск обнаружения», - сказал директор Центра мониторинга и противодействия кибератакам IZ:SOC «Информзащиты» .
По данным «Информзащиты», злоумышленники также активно применяют инструменты автоматизированного поиска уязвимостей, включая системы имитации атак (BAS, Breach and Attack Simulation). Это позволяет им находить уязвимости нулевого дня (0-day), на которые еще не выпущены исправления.
При этом наиболее распространенным вектором доставки шпионского ПО остаются фишинговые атаки - около 60% всех инцидентов кибершпионажа начинались именно с них.
В 2024 г. шпионские атаки чаще всего были направлены на промышленный сектор (40% инцидентов) и ритейл (30%). Также значительное число атак зафиксировано в медицинской (10%) и образовательной (10%) сферах.
«Промышленность остается одной из наиболее атакуемых отраслей, что обусловлено высокой значимостью предприятий этого сектора для экономики, а также тем, что многие их ИТ- и ИБ-системы требуют модернизации. Информация, похищенная с таких объектов, может быть использована злоумышленниками для подготовки последующих атак. В свою очередь, ритейл, медицина и образование привлекают внимание атакующих из-за больших объёмов персональных и корпоративных данных, хранящихся в их системах», - сказал Матвеев.
Эксперты «Информзащиты» рекомендуют компаниям внедрять многоуровневый подход к киберзащите, включающий тестирование на проникновение и анализ защищённости информационных систем для выявления уязвимостей до злоумышленников, системное управление уязвимостями - регулярный аудит безопасности и оперативное обновление программного обеспечения, защиту от фишинга и социальной инженерии, включая антифрод-решения, многофакторную аутентификацию и обучение персонала, круглосуточный мониторинг и автоматизированное реагирование на инциденты с применением аналитики угроз и технологий поведенческого анализа. Современные шпионские атаки требуют не только технологической защищенности, но и высокой оперативности обнаружения подозрительной активности. Использование центров мониторинга (SOC), автоматизированных систем реагирования (SOAR), и различных MSSP-сервисов позволяет минимизировать время выявления угроз и значительно снизить потенциальные риски утечек данных и компрометации инфраструктуры.