Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, представила первый ежегодный аналитический отчет «Киберугрозы в России и СНГ. Аналитика и прогнозы 2024/25». В анализе детально исследованы основные киберугрозы 2024 года, а также представлены рекомендации и прогнозы на 2025 год. Выводы неутешительные: растет число инцидентов и атакующих, количество утечек и атак вымогателей не снижается, DDoS-атаки становятся мощнее, а мошенничество переживает очередной ренессанс.
Все больше атакующих, все меньше различий
Как отмечают авторы исследования, в условиях продолжающегося геополитического конфликта количество кибератак и число хакерских групп будет и дальше расти. Если в 2023 году насчитывалось 14 прогосударственных APT-групп, атакующих Россию и СНГ, то в 2024 их стало в два раза больше — 27. За прошедший год было обнаружено 12 новых группировок: Unicorn, Dante, PhantomCore, ReaverBits, Sapphire Cat, Lazy Koala, Obstinate Mogwai, TaxOff и др.
Идеологически мотивированные группы хакеров — хактивисты — продолжат обмениваться опытом и прокачают свои навыки и инструменты, что, несомненно, повысит эффективность их атак. В 2024 году не менее 17 таких группировок атаковали российские и белорусские организации, хотя еще годом ранее их было как минимум 13. В своих атаках хактивисты используют различные методы — как DDoS-атаки, так и шифрование, уничтожение данных.
Количество DDoS-атак в 2024 году выросло минимум на 50% как по количеству, так и по числу задействованных в ботнетах устройств. Наиболее активным атакующим остается группировка IT Army of Ukraine. Аналитики компании прогнозируют: пока продолжается геополитическое противостояние, атаки на российские цели будут идти с нарастающей мощностью.
На этом фоне, согласно авторам отчета, серьезно трансформируется сам ландшафт киберугроз. Размываются привычные границы классификации преступных групп — хактивистов, прогосударственных APT-групп, киберпреступников. В частности, хактивисты-диверсанты все чаще атакуют государственные органы и компании России, используя в своих атаках программы-шифровальщики — излюбленное оружие финансово-мотивированных злоумышленников. А кибершпионы выкладывают украденные базы данных в публичный доступ в Telegram-каналах, чтобы нанести российским компаниям максимальный урон.
Вымогатели открыли охоту за базами данных
Программы-вымогатели в 2025 году останутся среди главных киберугроз для российских компаний. На протяжении 2024 года специалисты F6 зафиксировали более 500 атак с использованием шифровальщиков в России — рост почти в полтора раза по сравнению с 2023 годом. К уже известным угрозам от вымогателей Shadow, Mimic, LokiLocker/BlackBit, Proxima, HsHarada и других атакующих российские компании добавились новые: например, группы MorLock, Head Mare, Masque, Sauron.
Суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса составляли от 100 тыс. до 5 млн рублей ($1 тыс. — $50 тыс.), а для крупных и средних компаний, на которые приходится каждая пятая атака вымогателей, запросы преступников начинались от 5 млн рублей ($50 тыс.). Жертвами вымогателей чаще всего становились российские производственные, строительные, фармацевтические и ИТ-компании, предприятия добывающей промышленности, ВПК, организации из сферы услуг.
Примечательно, что персональные данные остаются одной из главных целей вымогателей: атакующие сначала похищают чувствительную информацию и лишь затем шифруют инфраструктуру жертвы. Чем крупнее цель, тем больше она привлекает злоумышленников: заметен рост количества атак на крупные компании с целью компрометации их клиентов.
Как отмечают исследователи компании, техники и инструменты вымогателей становятся все более сложными и изощренными. В частности, под конец 2024 года наметился тренд к усложнению атак “персидских групп” (атакующие, предположительно, имеют отношение к странам, где распространен на персидский язык), стали все чаще атаковать Linux-системы и использовать для разработки такие современные языки программирования, как Rust.
В целом, за 12 месяцев прошлого года было обнаружено 455 не опубликованных ранее баз данных компаний из России и Белоруссии (в 2023 году их было — 246). Количество строк в утечках превысило 457 млн. Масштаб кражи и публикации баз данных в 2025 году, по прогнозам, останется на текущем высоком уровне или даже поставит новый антирекорд по сливам. Дополнительные риски в том, что кроме публикации в открытом доступе, злоумышленники используют эти данные для последующего проведения каскадных атак на крупных игроков коммерческого и государственного секторов.
Заработали по Ру
Еще один тренд последнего времени: у русскоязычных преступников исчезает правило «не работаем по Ру» — не атаковать российские организации. В андеграунде можно найти выставленные на продажу базы данных и корпоративные доступы в инфраструктуру компаний из стран СНГ. Так, например, в 2024 году обнаружена продажа 9 корпоративных доступов стран СНГ. Также было обнаружено сообщение с бесплатной «раздачей» 21 доступа к российским компаниям, одного — к организации из Белоруссии, а еще один доступ из сообщения относился к компании из Украины. Всего же количество «лотов» с предложением доступов в инфраструктуру организаций из стран СНГ в прошлом году выросло на 49% по сравнению с 2023 годом. Подобные предложения пользуются повышенным спросом со стороны операторов программ-вымогателей.
Доступы в аккаунты и учетные записи обычных пользователей, данные скомпрометированных банковских карт также являются довольно ходовым товаром у злоумышленников.
На прицеле — поставщики
В 2025 году продолжится рост числа фишинговых атак с использованием шпионских программ по модели Malware-as-a-Service (MaaS). Напомним, что в 2024 году вредоносные фишинговые рассылки оставались одним из самых популярных векторов проникновения в инфраструктуру цели. В подавляющем большинстве фишинговых писем вредоносное ПО доставлялось во вложениях, которые являются для злоумышленников наименее затратным способом доставки полезной нагрузки. Шпионское ПО и инфостилеры — самое популярное вредоносное ПО в рассылках, в течение 2024 года их доля варьировалась от 70% до 80% от всех вредоносных семейств, задействованных в фишинговых рассылках.
В 2025 году, по прогнозам экспертов, ожидается также увеличение числа атак на цепочки поставок (Supply Chain attack) и атак типа Trusted Relationship. В ходе последних хакеры могут получить и использовать легитимные учетные записи для входа в корпоративные сети клиентов поставщиков. В роли поставщиков могут выступать IT-интеграторы, разработчики ПО и другие компании.
Скам, фишинг и Android-трояны
Киберпреступники продолжают наращивать объемы фишинговых и скам-атак. Третий год подряд фиксируется рост количества создаваемых ресурсов, эксплуатирующих бренды компаний. В 2024 году среднее число поддельных ресурсов на один бренд выросло на 28% — с 7878 до 10112. Среднее количество создаваемых фишинговых сайтов на один бренд увеличилось на 52% по сравнению с 2023 годом, мошеннических ресурсов — на 18%. Рост угроз обусловлен продолжающимся развитием мошеннических сообществ и партнёрских программ.
С увеличением распространения мобильных устройств на базе Android хакеры продолжают совершенствовать комбинированные методы атак, включая использование фишинга, социальной инженерии и вредоносных приложений. Кроме фишинговых сайтов, похищающих данные банковских карт, в 2024 году злоумышленники активно использовали еще и RAT-трояны (трояны удаленного доступа) — их загрузка происходит прямо с фейковых страниц оплаты. Путь к заражению Android-устройств сократился до пары кликов. Начиная с лета 2024 г. злоумышленники распространяли в России и Беларуси троян CraxsRAT под видом легитимных обновлений мобильных приложений Госуслуг, Минздрава, Минцифры России, Центрального Банка РФ, операторов связи и антивирусов. Тогда же были зафиксированы первые успешные атаки на клиентов ведущих российских банков с использованием легитимного ПО NFCGate. Используя приёмы социальной инженерии, злоумышленники предлагают потенциальным жертвам установить на свои Android-устройства приложения на основе NFCGate, которые позволяют киберпреступникам получить через NFC-модуль данные банковской карты и использовать их для хищения денег с банковского счета.
Новый ежегодный отчет представляет собой самый полный источник стратегических и тактических данных о киберугрозах, актуальных для России и стран СНГ в условиях текущего геополитического противостояния. Исследование будет служить практическим руководством для разработки стратегии и тактики активной защиты от киберугроз для руководителей отделов кибербезопасности, аналитиков центров мониторинга и реагирования (SOC), команд реагирования на инциденты (CERT), специалистов по анализу угроз (Threat Intelligence) и охотников за угрозами (Threat Hunting), компаний различных отраслей.
«В этом году наша компания выпустила свой первый флагманский отчет под новым брендом, хотя за плечами у нас более чем 20-летний успешный опыт борьбы с компьютерной преступностью и исследования криминального подполья, — отметил Валерий Баулин, генеральный директор компании F6. — За последние годы не только прогосударственные хакерские группировки, но и киберпреступники, а также хактивисты получили доступ к вредоносным киберинструментам, которые могут погрузить мир в цифровые «тёмные века». Границы между различными типами злоумышленников — хактивистами, государственными хакерами и киберпреступниками — становятся едва различимыми, при этом растет число кибератак и преступных групп. Разумеется, программы-вымогатели и утечки баз данных будут оставаться в топе главных киберугроз, и 2025 год может преподнести и уже преподносит множество неприятных сюрпризов. В отчете мы представили прогнозы, которые, как показывает опыт, оказываются точны и незаменимы при планировании ИБ-стратегии».
Уникальные данные о тактиках, об инструментах и активности атакующих были получены благодаря использованию платформы киберразведки F6 Threat Intelligence, флагманского решения для защиты от сложных и неизвестных киберугроз F6 Managed XDR, реагирований на инциденты информационной безопасности в России и странах СНГ, платформы F6 для защиты цифровых активов Digital Risk Protection.
Скачать отчет «Киберугрозы в России и СНГ. Аналитика и прогнозы 2024/25» можно по ссылке — регистрация только с корпоративной почты!
Источник: habr.com
Похожие новости:
Циклон угроз: эксперты F.A.C.C.T. назвали основные тренды вымогателей, утечек и фишинга в 2024 году
Кибершпионы, хактивисты, вымогатели: аналитики F.A.С.С.T. назвали главные киберугрозы 2024 года
Обзор изменений в законодательстве ИТ и ИБ за ноябрь 2024 года
Обзор изменений в законодательстве за июнь 2024 года