Компания BI.ZONE представила исследование годовой динамики российского ландшафта киберугроз

Компания BI.ZONE представила второе исследование годового ландшафта киберугроз – Threat Zone 2025. Оно основано на данных портала BI.ZONE Threat Intelligence, сервиса BI.ZONE TDR и BI.ZONE DFIR – команды реагирования на инциденты.

Эксперты выделяют следующие ключевые особенности киберландшафта России и СНГ.

Прежде всего, ритейл уступил госсектору первое место по числу кибератак. В 2024 году наибольшее количество атак (15%) пришлось на государственные организации. Годом ранее этот показатель составлял всего 9%. Финансовая отрасль по-прежнему занимает второе место в списке наиболее атакуемых (13% в 2024-м и 12% в 2023 году). На третьем месте, как и год назад, транспорт и логистика: в 2024 году на них пришлось 11% кибератак, а в 2023-м – 10%.

А вот доля ритейла сократилась. Если в 2023 году на отрасль приходилось 15% всех кибератак и по этому показателю она опережала все остальные, то в 2024-м представители розничной торговли становились целью всего в 4% случаев, а компании из сферы электронной коммерции – в 9%.

«Такие изменения во многом связаны со всплеском активности хактивистов, который пришелся на третий квартал 2024 года, – пояснил директор департамента мониторинга, реагирования и исследования киберугроз BI.ZONE Теймур Хеирхабаров. – В этот период каждая пятая кибератака была нацелена именно на госсектор. То, какие цели атакующие выбирают в качестве приоритетных, неизбежно влияет на их методы, инструменты и подходы. Все эти изменения и ключевые особенности ландшафта угроз отражены в исследовании Threat Zone 2025».

Хактивизма и атак с целью шпионажа стало больше, но финансовая мотивация по-прежнему остается для преступников основной. Доля атак, обусловленных финансовой мотивацией, снизилась с 76% до 67%. При этом суммы, которые злоумышленники запрашивают в качестве выкупа за расшифровку данных и восстановление доступа к IT-инфраструктуре, растут и все чаще достигают десятков миллионов рублей. Чтобы рассчитать и потребовать максимально возможный размер выкупа, преступники тщательно изучают жертву, в том числе ее финансовую отчетность.

В 2024 году 21% атак совершался с целью шпионажа. В 2023-м этот показатель был ниже и составлял 15%. Примечательно, что некоторые кластеры активности, занимающиеся шпионажем, больше не ограничиваются сбором и эксфильтрацией чувствительных данных и теперь совершают деструктивные действия в скомпрометированной IT-инфраструктуре. Такой почерк характерен для группировок с финансовой мотивацией, которые хотят получить выкуп за восстановление доступа к ресурсам организации, или для хактивистов, которые стремятся предать атаки максимально широкой огласке.

Незначительно (с 9% до 12%) выросла доля хактивистких атак. Такие преступники по-прежнему обнародуют на теневых ресурсах незаконно полученные персональные и чувствительные данные. При этом перед публикацией злоумышленники зачастую тщательно анализируют информацию, выявляя ту, что позволит атаковать другие организации.

В 2024 году вовлеченные в хактивизм преступники активно сотрудничали друг с другом. Такое взаимодействие влияет на набор методов и инструментов, используемых для атак, и затрудняет кластеризацию. С другой стороны, это позволяет специалистам эффективнее выявлять взаимосвязь между различными вредоносными активностями.

Доля фишинга снизилась, но рассылок от имени государственных организаций стало больше. В 2023 году с фишингового письма начинались 68% целевых атак на российские организации. К середине 2024-го этот показатель достиг 76%, но к концу года снизился до 57%. При этом фишинг по-прежнему остается наиболее популярным методом получения первоначального доступа к IT-инфраструктуре.

В 2024 году атакующие стали чаще рассылать письма от имени государственных организаций и регуляторов. В первом полугодии доля таких сообщений составляла 4% от общего объема фишинговых писем, которые приходили в организации России и стран СНГ. К концу года этот показатель вырос в два раза – до 8%.

Такая тенденция во многом связана с увеличением доли атак на государственный сектор. Как правило, злоумышленники стараются, чтобы фишинговые рассылки выглядели максимально правдоподобно и не вызывали подозрений у потенциальных жертв, поэтому для атак на госорганизации маскируют письма под сообщения от регуляторов или других ведомств.

Вторым по популярности методом проникновения в инфраструктуру стало использование легитимных учетных записей (27%), доступ к которым киберпреступники получают различными способами: с помощью стилеров, перебора паролей, из утечек и т. д. Это позволяет злоумышленникам действовать практически незаметно по крайней мере на начальных этапах кибератаки. На третьем месте – эксплуатация уязвимостей в общедоступных приложениях (13%).

Атаки через подрядчиков остаются серьезной угрозой. Злоумышленники продолжают атаковать подрядчиков и поставщиков услуг, чтобы через их инфраструктуру скомпрометировать другие компании. Хотя в 2024 году атаки через подрядчиков составили всего 5% от общего числа, они представляют собой серьезную угрозу: успешная компрометация даже одного подрядчика позволяет преступникам получить доступ к конфиденциальным данным множества компаний. Это подтверждается данными сервиса мониторинга и реагирования на инциденты BI.ZONE TDR: в 2024 году количество киберинцидентов, связанных с атаками через подрядчиков, выросло почти в 2 раза. При этом в зоне риска оказываются не только крупные, но и небольшие провайдеры.

Кроме того, злоумышленники активно экспериментируют с инструментами и используют коммерческое вредоносное программное обеспечение (ПО) с русскоязычных форумов. Использование непопулярных и малоизвестных инструментов, легитимного ПО, а также их различных комбинаций позволяет преступникам эффективнее обходить средства защиты и повышает шансы кибератаки на успех.

Так, атакующие активно экспериментируют с фреймворками постэксплуатации – инструментами, которые позволяют использовать уязвимости и ошибки в настройках, чтобы получить контроль над системой. Более того, в рамках одной атаки злоумышленники могут применять агенты фреймворков, что позволяет прочнее закрепляться в скомпрометированной IT-инфраструктуре и затрудняет реагирование на инцидент.

Также преступники активно используют легитимное ПО, в том числе средства туннелирования трафика, чтобы обойти часть средств защиты и получить персистентный резервный канал доступа в скомпрометированную IT-инфраструктуру.

Кроме того, злоумышленники не только применяют в скомпрометированной системе интерпретаторы команд и сценариев, но и загружают собственные, например Python или NodeJS. Последние используются значительно реже, что затрудняет обнаружение вредоносной активности.

Наконец, среди кластеров активности, атакующих российские организации, по-прежнему пользуется популярностью коммерческое вредоносное ПО, которое распространяется через русскоязычные теневые форумы и телеграм-каналы. Так злоумышленники получают готовые инструменты, не тратя силы и средства на их разработку.