Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, представила первый ежегодный аналитический отчёт «Киберугрозы в России и СНГ. Аналитика и прогнозы 2024/25». В анализе детально исследованы основные киберугрозы 2024 года, а также представлены рекомендации и прогнозы на 2025 год. Выводы неутешительные: растет число инцидентов и атакующих, количество утечек и атак вымогателей не снижается, DDoS-атаки становятся мощнее, а мошенничество переживает очередной ренессанс.
Все больше атакующих, все меньше различий
Как отмечают авторы исследования, в условиях продолжающегося
геополитического конфликта количество кибератак и число
хакерских групп будет и дальше расти. Если в 2023 году
насчитывалось 14 прогосударственных APT-групп, атакующих
Россию и СНГ, то в 2024 их стало в два раза больше — 27. За
прошедший год было обнаружено 12 новых группировок: Unicorn,
Dante, PhantomCore, ReaverBits, Sapphire Cat, Lazy Koala, Obstinate
Mogwai, TaxOff и др.
Идеологически мотивированные группы хакеров — хактивисты —
продолжат обмениваться опытом и прокачают свои навыки и
инструменты, что, несомненно, повысит эффективность их атак. В
2024 году не менее 17 таких группировок атаковали российские и
белорусские организации, хотя еще годом ранее их было как
минимум 13. В своих атаках хактивисты используют различные
методы — как DDoS-атаки, так и шифрование, уничтожение данных.
Количество DDoS-атак в 2024 году выросло минимум на 50% как по
количеству, так и по числу задействованных в ботнетах устройств.
Наиболее активным атакующим остается группировка IT Army of
Ukraine. Аналитики компании прогнозируют: пока продолжается
геополитическое противостояние, атаки на российские цели будут
идти с нарастающей мощностью.
На этом фоне, согласно авторам отчета, серьезно трансформируется сам ландшафт киберугроз. Размываются
привычные границы классификации преступных групп —
хактивистов, прогосударственных APT-групп, киберпреступников. В
частности, хактивисты-диверсанты все чаще атакуют
государственные органы и компании России, используя в своих
атаках программы-шифровальщики — излюбленное оружие
финансово-мотивированных злоумышленников. А кибершпионы
выкладывают украденные базы данных в публичный доступ в
Telegram-каналах, чтобы нанести российским компаниям
максимальный урон.
Вымогатели открыли охоту за базами данных
Программы-вымогатели в 2025 году останутся среди главных
киберугроз для российских компаний. За 2024 год специалисты F6
зафиксировали более 500 атак с использованием шифровальщиков в России — рост почти в полтора раза по сравнению с 2023 годом. К уже известным угрозам от вымогателей Shadow, Mimic, LokiLocker/BlackBit, Proxima, HsHarada и других атакующих российские компании добавились новые: например, группы MorLock, Head Mare, Masque, Sauron.
Суммы первоначального выкупа за расшифровку данных в 2024
году для малого бизнеса составляли от 100 тыс. до 5 млн рублей
($1-$50 тыс.), а для крупных и средних компаний, на которые
приходится каждая пятая атака вымогателей, запросы преступников начинались от 5 млн рублей ($50 тыс.). Жертвами вымогателей чаще всего становились российские производственные, строительные, фармацевтические и ИТ-компании, предприятия добывающей промышленности, ВПК, организации из сферы услуг.
Примечательно, что персональные данные остаются одной из
главных целей вымогателей: атакующие сначала похищают
чувствительную информацию и лишь затем шифруют
инфраструктуру жертвы. Чем крупнее цель, тем больше она
привлекает злоумышленников: заметен рост количества атак на
крупные компании с целью компрометации их клиентов.
Как отмечают исследователи компании, техники и инструменты
вымогателей становятся все более сложными и изощренными. В
частности, под конец 2024 года наметился тренд к усложнению атак
“персидских групп” (атакующие, предположительно, имеют
отношение к странам, где распространен на персидский язык), стали все чаще атаковать Linux-системы и использовать для
разработки такие современные языки программирования, как Rust.
В целом, за 12 месяцев прошлого года было обнаружено 455 не
опубликованных ранее баз данных компаний из России и
Белоруссии (в 2023 году их было — 246). Количество строк в
утечках превысило 457 миллионов. Масштаб кражи и публикации
баз данных в 2025 году, по прогнозам, останется на текущем
высоком уровне или даже поставит новый антирекорд по сливам.
Дополнительные риски в том, что кроме публикации в открытом
доступе, злоумышленники используют эти данные для
последующего проведения каскадных атак на крупных игроков
коммерческого и государственного секторов.
Заработали по Ру
Еще один тренд последнего времени: у русскоязычных
преступников исчезает правило «не работаем по Ру» — не
атаковать российские организации. В андеграунде можно найти
выставленные на продажу базы данных и корпоративные доступы в инфраструктуру компаний из стран СНГ. Так, например, в 2024 году обнаружена продажа 9 корпоративных доступов стран СНГ. Также было обнаружено сообщение с бесплатной «раздачей» 21 доступа к российским компаниям, одного — к организации из Белоруссии, а еще один доступ из сообщения относился к компании из Украины. Всего же количество «лотов» с предложением доступов в инфраструктуру организаций из стран СНГ в прошлом году выросло на 49% по сравнению с 2023 годом. Подобные предложения пользуются повышенным спросом со стороны операторов программ-вымогателей.
Доступы в аккаунты и учетные записи обычных пользователей,
данные скомпрометированных банковских карт также являются
довольно ходовым товаром у злоумышленников.
На прицеле — поставщики
В 2025 году продолжится рост числа фишинговых атак с
использованием шпионских программ по модели Malware-as-a-
Service (MaaS). Напомним, что в 2024 году вредоносные
фишинговые рассылки оставались одним из самых популярных
векторов проникновения в инфраструктуру цели. В подавляющем
большинстве фишинговых писем вредоносное ПО доставлялось во
вложениях, которые являются для злоумышленников наименее
затратным способом доставки полезной нагрузки. Шпионское ПО и инфостилеры — самое популярное вредоносное ПО в рассылках, в
течение 2024 года их доля варьировалась от 70% до 80% от всех
вредоносных семейств, задействованных в фишинговых рассылках.
В 2025 году, по прогнозам экспертов, ожидается также увеличение
числа атак на цепочки поставок (Supply Chain attack) и атак типа
Trusted Relationship. В ходе последних хакеры могут получить и
использовать легитимные учетные записи для входа в
корпоративные сети клиентов поставщиков. В роли поставщиков
могут выступать IT-интеграторы, разработчики ПО и другие
компании.
Скам, фишинг и Android-трояны
Киберпреступники продолжают наращивать объемы фишинговых и скам-атак. Третий год подряд фиксируется рост количества
создаваемых ресурсов, эксплуатирующих бренды компаний. В 2024
году среднее число поддельных ресурсов на один бренд выросло
на 28% — с 7878 до 10112. Среднее количество создаваемых
фишинговых сайтов на один бренд увеличилось на 52% по
сравнению с 2023 годом, мошеннических ресурсов — на 18%. Рост
угроз обусловлен продолжающимся развитием мошеннических
сообществ и партнёрских программ.
С увеличением распространения мобильных устройств на базе
Android хакеры продолжают совершенствовать комбинированные
методы атак, включая использование фишинга, социальной
инженерии и вредоносных приложений. Кроме фишинговых сайтов, похищающих данные банковских карт, в 2024 году злоумышленники активно использовали еще и RAT-трояны (трояны удаленного доступа) — их загрузка происходит прямо с фейковых страниц оплаты. Путь к заражению Android-устройств сократился до пары кликов. Начиная с лета 2024 г. злоумышленники распространяли в России и Беларуси троян CraxsRAT под видом легитимных обновлений мобильных приложений Госуслуг, Минздрава, Минцифры России, Центрального Банка РФ, операторов связи и антивирусов. Тогда же были зафиксированы первые успешные атаки на клиентов ведущих российских банков с использованием легитимного ПО NFCGate. Используя приёмы социальной инженерии, злоумышленники предлагают потенциальным жертвам установить на свои Android-устройства приложения на основе NFCGate, которые позволяют киберпреступникам получить через NFC-модуль данные банковской карты и использовать их для хищения денег с банковского счета.
Новый ежегодный отчет представляет собой самый полный
источник стратегических и тактических данных о киберугрозах,
актуальных для России и стран СНГ в условиях текущего
геополитического противостояния. Исследование будет служить
практическим руководством для разработки стратегии и тактики
активной защиты от киберугроз для руководителей отделов
кибербезопасности, аналитиков центров мониторинга и
реагирования (SOC), команд реагирования на инциденты (CERT),
специалистов по анализу угроз (Threat Intelligence) и охотников за
угрозами (Threat Hunting), компаний различных отраслей.
«В этом году наша компания выпустила свой первый флагманский отчет под новым брендом, хотя за плечами у нас более чем 20-летний успешный опыт борьбы с компьютерной преступностью и исследования криминального подполья, — отметил Валерий Баулин, генеральный директор компании F6. — За последние годы не только прогосударственные хакерские группировки, но и киберпреступники, а также хактивисты получили доступ к вредоносным киберинструментам, которые могут погрузить мир в
цифровые «тёмные века». Границы между различными типами злоумышленников — хактивистами, государственными хакерами и киберпреступниками — становятся едва различимыми, при этом
растет число кибератак и преступных групп. Разумеется,
программы-вымогатели и утечки баз данных будут оставаться в топе главных киберугроз, и 2025 год может преподнести и уже преподносит множество неприятных сюрпризов. В отчете мы представили прогнозы, которые, как показывает опыт, оказываются точны и незаменимы при планировании ИБ-стратегии».
Уникальные данные о тактиках, об инструментах и активности
атакующих были получены благодаря использованию платформы
киберразведки F6 Threat Intelligence, флагманского решения для
защиты от сложных и неизвестных киберугроз F6 Managed XDR,
платформы F6 для защиты цифровых активов Digital Risk Protection
и реагированиям на инциденты информационной безопасности в
России и странах СНГ.
Скачать отчет «Киберугрозы в России и СНГ. Аналитика и
прогнозы 2024/25» можно по ссылке — регистрация
исключительно с корпоративной почты!