Отчет составлен на основе данных с крупнейшей в России сети сенсоров (PDNS). Анализ срабатываний сенсоров позволяют выделить индикаторы компрометации, указывающие на деятельность вредоносного ПО конкретного типа в инфраструктуре организации. В частности, сенсоры могут зафиксировать ВПО для майнинга, для удаленного доступа (RAT), вирусы-шифровальщики, ботнеты и др. Данные PDNS позволяют получить представление о том, какие отрасли и регионы наиболее подвержены заражению компьютерными вирусами.
Общее количество срабатываний из всех зараженных организаций за квартал снизилось на треть, до 1,2 млн. Таким образом, в среднем на одну компанию в 4 квартале пришлось 41 срабатываний, в то время как кварталом ранее - 47 срабатываний.
Топ наиболее зараженных отраслей не изменился: большинство вредоносных срабатываний в конце года было зафиксировано в сетях организаций здравоохранения, госсектора, пищевой промышленности и образования.
Перечень наиболее актуальных угроз для компаний за квартал также не претерпел значительных изменений. Чаще всего организации из всех отраслей сталкиваются с инструментами удаленного доступа (RAT) - они составили 24% всего выявленного ВПО. В зависимости от функциональности такие вредоносы позволяют злоумышленнику дистанционно управлять атакованной системой (менять и выгружать данные, делать скриншоты, менять настройки оборудования и т.п.).
Еще 23% - срабатывания индикаторов известных АРТ-группировок, что говорит о том, что инфраструктура подверглась целевой кибератаке профессиональных хакеров. Равные доли (по 20%) в общем объеме выявленного ВПО занимают ботнеты и стиллеры.
«Снижение общего количества потенциально зараженных вредоносным ПО организаций в конце прошлого года - это сезонное явление, и оно вовсе не означает, что проблема становится менее актуальной. Вредоносное ПО по-прежнему угрожает российским организациям. В среднем в 4 квартале организации сталкивались с какой-либо вредоносной угрозой от 19 до 80 раз. Это все еще значительный показатель. Он свидетельствует о неугасающем интересе злоумышленников к целям в различных сферах экономики и указывает на необходимость применения комплексной защиты: не только классическое защитное ПО, но продвинутые решения (EDR, NTA, Sandbox, NGFW), настроить мониторинг ИБ-событий на всей сети и регулярно проводить обучение сотрудников базовым правилам ИБ».
Центр исследования киберугроз Solar 4RAYS в реальном времени анализирует данные об угрозах, получаемых со всех сервисов и продуктов «Солара», крупнейшей в России сети сенсоров и ханипотов, а также внешних источников. Полученные знания позволяют постоянно актуализировать защитные меры в собственных ИБ-решениях компании. Эксперты центра провели 200+ расследований киберинцидентов в частных и государственных организациях. Техническими подробностями и индикаторами компрометации (IoC) специалисты регулярно делятся с ИБ-сообществом в своем блоге.