Поделиться
Innostage: хакеры нацелились на рабочую переписку россиян
Эксперты центра противодействия киберугрозам Innostage SOC CyberART по итогам первого полугодия 2025 г. отмечают рост персонализированных фишинговых рассылок.
Злоумышленники активно трансформируют свои методы, отказываясь от традиционных массовых кампаний в пользу таргетированных атак. Для создания убедительных сценариев они применяют искусственный интеллект и используют знания о внутренних процессах целевых организаций.
Современные фишинговые письма искусно маскируются под легитимную переписку с контрагентами, официальные запросы регуляторов или корпоративные уведомления. Такой подход существенно повышает эффективность атак и усложняет их обнаружение.
Аналитики Innostage еще в начале 2025 г. прогнозировали подобное развитие событий, предупреждая о возрастающих рисках из-за доступности ИИ-технологий для злоумышленников и уязвимости компаний, особенно в сегменте малого и среднего бизнеса.
Атаки с подменой личности или голоса руководителя (FakeBoss), которые активно использовались в 2024 г., в 2025 теряют популярность. По данным Innostage, ни одна из подобных атак на заказчиков компании не увенчалась успехом.
Общее число инцидентов категории OSINT по сравнению с аналогичным периодом прошлого года выросло на 50% и составило почти 10 тыс. При этом в 10 раз увеличилось количество подтверждённых угроз. Большинство инцидентов (более 70%) связано с изменениями на периметре — это активность, связанная с открытием новых портов, изменением конфигураций сервисов, появлением новых ресурсов или корректировками сведений о существующих. Почти 12% приходится на утечки через репозитории. Несмотря на это, специалисты наблюдают снижение числа упоминаний в таргет-листах утилит для DDoS.
Аналитики Innostage за первое полугодие 2025 г. зафиксировали 694 упоминания об утечках данных из российских компаний. Общее количество скомпрометированных учётных записей составило 11,3 млн, из них 9,7 млн оказались уникальными. При этом доля ранее не фигурировавших в утечках записей снизилась в несколько раз по сравнению с аналогичным периодом прошлого года и составила 5,7 млн. Это означает, что число по-настоящему «чистых» учётных записей стремительно сокращается — большая часть пользователей уже хотя бы раз попадала в «слитые» базы.
Подавляющее большинство опубликованных баз (98%) приходится на компании малого бизнеса, что говорит о недостаточном уровне зрелости ИБ-систем и профилактической защиты. При этом злоумышленники часто выбирают момент для публикации утечек: обычно — накануне государственных праздников или значимых дат. Утечки в малом бизнесе раскрываются, как правило, почти сразу, в то время как взломы крупных компаний могут стать публичными спустя время после компрометации — может пройти от двух недель и больше.
Один из новых значимых векторов атак — использование логов инфостилеров – вредоносного ПО, применяемого для кражи чувствительной информации с компьютеров и мобильных устройств. При этом большинство не сами используют вредоносное ПО, а пользуются уже собранными другими данные.
Все чаще наблюдается тактика «абсолютного минимума» — компании оставляют только сайт-визитку, корпоративный VPN и почту. Это упрощает контроль и существенно снижает поверхность атаки. Кроме того, крайне важно регулярно проверять избыточные и уязвимые директории CMS, своевременно обновлять программное обеспечение, а также контролировать индексацию и размещаемые на сайте файлы.
По-прежнему актуальны кибератаки, направленные на нарушение доступа к онлайн-ресурсу путем перегрузки его трафиком. По статистике, за полгода на отражение масштабных DDoS-атаках на ИТ-инфраструктуру заказчиков специалисты SOC CyberArt Innostage потратили в общей сложности 37 суток.
Количество IP-адресов, атакуемых по схеме DDoS, за отчетный период выросло в 4 раза – до более чем 900 тыс. При этом количество атакуемых доменов осталось на прежнем уровне – более 3,6 тыс.
Среди вредоносного ПО, предназначенного для проведения DDoS-атак, падает популярность MHDDoS и DB1000N, так как их трафик сегодня почти полностью блокируется уже на стороне провайдера. Наибольшую угрозу представляют инструменты нового поколения, такие как Gorgon Stress и Distress, поскольку они лучше умеют имитировать легитимную деятельность пользователей и их трафик сложнее детектировать как угрозы.
Короткая ссылка
