Поделиться
Исследование Threat Zone 2025: представили годовую динамику российского ландшафта угроз
Больше всего кибератак пришлось на государственный сектор (15%), финансовую отрасль (13%), а также транспорт и логистику (11%). При этом злоумышленники стали чаще атаковать компании ради шпионажа и по идеологическим мотивам. Преступники продолжают экспериментировать с инструментами и методами, но самым популярным способом проникновения в ИТ-инфраструктуру по-прежнему остается фишинг, хотя его доля и снизилась к концу года. Об этом CNews сообщили представители Bi.Zone.
Threat Zone 2025 — второе исследование годового ландшафта угроз, которое представила компания Bi.Zone. Оно основано на данных портала Bi.Zone Threat Intelligence, сервиса Bi.Zone TDR и Bi.Zone DFIR — команды реагирования на инциденты.
Эксперты выделяют следующие ключевые особенности киберландшафта России и СНГ:
Ритейл уступил госсектору первое место по числу кибератак
В 2024 г. наибольшее количество атак (15%) пришлось на государственные организации. Годом ранее этот показатель составлял всего 9%.
Финансовая отрасль по-прежнему занимает второе место в списке наиболее атакуемых (13% в 2024 г. и 12% в 2023 году).
На третьем месте, как и год назад, транспорт и логистика: в 2024 г. на них пришлось 11% кибератак, а в 2023-м — 10%.
А вот доля ритейла сократилась. Если в 2023 г. на отрасль приходилось 15% всех кибератак и по этому показателю она опережала все остальные, то в 2024 г. представители розничной торговли становились целью всего в 4% случаев, а компании из сферы электронной коммерции — в 9%.
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, Bi.Zone: «Такие изменения во многом связаны со всплеском активности хактивистов, который пришелся на третий квартал 2024 г. В этот период каждая пятая кибератака была нацелена именно на госсектор. То, какие цели атакующие выбирают в качестве приоритетных, неизбежно влияет на их методы, инструменты и подходы. Все эти изменения и ключевые особенности ландшафта угроз отражены в исследовании Threat Zone 2025».
Хактивизма и атак с целью шпионажа стало больше, но финансовая мотивация по-прежнему остается для преступников основной
Доля атак, обусловленных финансовой мотивацией, снизилась с 76% до 67%. При этом суммы, которые злоумышленники запрашивают в качестве выкупа за расшифровку данных и восстановление доступа к ИТ-инфраструктуре, растут и все чаще достигают десятков миллионов рублей. Чтобы рассчитать и потребовать максимально возможный размер выкупа, преступники тщательно изучают жертву, в том числе ее финансовую отчетность.
В 2024 г. 21% атак совершался с целью шпионажа. В 2023 г. этот показатель был ниже и составлял 15%. Примечательно, что некоторые кластеры активности, занимающиеся шпионажем, больше не ограничиваются сбором и эксфильтрацией чувствительных данных и теперь совершают деструктивные действия в скомпрометированной ИТ-инфраструктуре. Такой почерк характерен для группировок с финансовой мотивацией, которые хотят получить выкуп за восстановление доступа к ресурсам организации, или для хактивистов, которые стремятся предать атаки максимально широкой огласке.
Незначительно (с 9% до 12%) выросла доля хактивистких атак. Такие преступники по-прежнему обнародуют на теневых ресурсах незаконно полученные персональные и чувствительные данные. При этом перед публикацией злоумышленники зачастую тщательно анализируют информацию, выявляя ту, что позволит атаковать другие организации.
В 2024 г. вовлеченные в хактивизм преступники активно сотрудничали друг с другом. Такое взаимодействие влияет на набор методов и инструментов, используемых для атак, и затрудняет кластеризацию. С другой стороны, это позволяет специалистам эффективнее выявлять взаимосвязь между различными вредоносными активностями.
Доля фишинга снизилась, но рассылок от имени государственных организаций стало больше
В 2023 г. с фишингового письма начинались 68% целевых атак на российские организации. К середине 2024 г. этот показатель достиг 76%, но к концу года снизился до 57%. При этом фишинг по-прежнему остается наиболее популярным методом получения первоначального доступа к ИТ-инфраструктуре.
В 2024 г. атакующие стали чаще рассылать письма от имени государственных организаций и регуляторов. В первом полугодии доля таких сообщений составляла 4% от общего объема фишинговых писем, которые приходили в организации России и стран СНГ. К концу года этот показатель вырос в два раза — до 8%.
Такая тенденция во многом связана с увеличением доли атак на государственный сектор. Как правило, злоумышленники стараются, чтобы фишинговые рассылки выглядели максимально правдоподобно и не вызывали подозрений у потенциальных жертв, поэтому для атак на госорганизации маскируют письма под сообщения от регуляторов или других ведомств.
Вторым по популярности методом проникновения в инфраструктуру стало использование легитимных учетных записей (27%), доступ к которым киберпреступники получают различными способами: с помощью стилеров, перебора паролей, из утечек и т. д. Это позволяет злоумышленникам действовать практически незаметно по крайней мере на начальных этапах кибератаки.
На третьем месте — эксплуатация уязвимостей в общедоступных приложениях (13%).
Атаки через подрядчиков остаются серьезной угрозой
Злоумышленники продолжают атаковать подрядчиков и поставщиков услуг, чтобы через их инфраструктуру скомпрометировать другие компании. Хотя в 2024 г. атаки через подрядчиков составили всего 5% от общего числа, они представляют собой серьезную угрозу: успешная компрометация даже одного подрядчика позволяет преступникам получить доступ к конфиденциальным данным множества компаний. Это подтверждается данными сервиса мониторинга и реагирования на инциденты Bi.Zone TDR: в 2024 г. количество киберинцидентов, связанных с атаками через подрядчиков, выросло почти в два раза. При этом в зоне риска оказываются не только крупные, но и небольшие провайдеры.
Злоумышленники активно экспериментируют с инструментами и используют коммерческое вредоносное ПО с русскоязычных форумов
Использование непопулярных и малоизвестных инструментов, легитимного ПО, а также их различных комбинаций позволяет преступникам эффективнее обходить средства защиты и повышает шансы кибератаки на успех.
Так, атакующие активно экспериментируют с фреймворками постэксплуатации — инструментами, которые позволяют использовать уязвимости и ошибки в настройках, чтобы получить контроль над системой. Более того, в рамках одной атаки злоумышленники могут применять агенты фреймворков, что позволяет прочнее закрепляться в скомпрометированной ИТ-инфраструктуре и затрудняет реагирование на инцидент.
Также преступники активно используют легитимное ПО, в том числе средства туннелирования трафика, чтобы обойти часть средств защиты и получить персистентный резервный канал доступа в скомпрометированную ИТ-инфраструктуру.
Кроме того, злоумышленники не только применяют в скомпрометированной системе интерпретаторы команд и сценариев, но и загружают собственные, например Python или NodeJS. Последние используются значительно реже, что затрудняет обнаружение вредоносной активности.
Среди кластеров активности, атакующих российские организации, по-прежнему пользуется популярностью коммерческое вредоносное ПО, которое распространяется через русскоязычные теневые форумы и телеграм-каналы. Так злоумышленники получают готовые инструменты, не тратя силы и средства на их разработку.
Короткая ссылка
