Эксперты фиксируют рост подготовительных действий со стороны киберпреступников, направленных на российский госсектор. Вместо прямых масштабных атак злоумышленники сначала проводят разведку: тестируют уязвимости, собирают данные о сетевой инфраструктуре и проверяют реакцию служб на проникновения. Это позволяет им выстраивать более сложные и прицельные кампании в будущем. Аналитики отмечают смену тактики — акцент сместился с массового распространения шифровальщиков на долгосрочное присутствие в сетях и подготовку к комбинированным ударам. Хакеры внедряются в системы через фишинговые рассылки, эксплуатацию давно известных уязвимостей и использование утраченных или скомпрометированных учётных данных.
После доступа они собирают информацию, изучают архитектуру сетей и внедряют скрытые механизмы для последующего масштабирования атаки. Важная задача для атакующих — выявление слабых мест в защите и оценка эффективности мер реагирования. На этом этапе наблюдаются попытки имитировать реальные инциденты, чтобы увидеть, как организации реагируют: какие службы вовлекаются, как быстро локализуется угроза и насколько качественно ведётся восстановление.
Эти данные потом используются для оптимизации плана атаки и выбора наиболее уязвимых целей. Специалисты по кибербезопасности рекомендуют госсектору усилить мониторинг, регулярно обновлять программное обеспечение и проводить учения по отработке инцидентов. Также критически важно контролировать доступы сотрудников и оперативно реагировать на подозрительную активность в сетях. Превентивные меры и проактивный мониторинг способны значительно затруднить подготовку и развёртывание масштабных атак. С учётом текущих трендов, российским организациям предстоит уделять больше внимания не только устранению известных уязвимостей, но и построению устойчивых процессов обнаружения и реагирования.
Это поможет снизить риски и не дать злоумышленникам возможности подготовить и реализовать крупномасштабные операции против госструктур.