19 Февраля 2025 13:43 19 Фев 2025 13:43 |

Поделиться

Названы главные киберугрозы 2025 года для России

Исследование по киберугрозам

Число киберинцидентов растет, DDoS-атаки становятся мощнее, а мошенничество переживает очередной ренессанс. Об этом CNews сообщили представители F6. Такие неутешительные выводы содержит новое исследование компании F6 (бывшей F.A.C.C.T.) «Киберугрозы в России и СНГ. Аналитика и прогнозы 2024-2025».

Согласно наблюдениям экспертов, границы между различными типами злоумышленников - хактивистами, государственными хакерами и киберпреступниками - становятся едва различимыми, а программы-вымогатели и утечки баз данных (БД) остаются в топе главных ИТ-угроз.

Киберугроза, называемая также угрозой кибербезопасности, - это термин, обозначающий возможность проведения кибератаки. Любая угроза, связанная с кибербезопасностью, которая в принципе может нанести вред ИТ-системе, устройству, сети, отдельному лицу, семье или организации, считается киберугрозой. Важно отметить, что киберугроза не обязательно должна приводить к кибератаке, чтобы считаться угрозой, но должна существовать вероятность того, что ИТ-атака может произойти.

По информации CNews, 17 февраля 2025 г. объявлено об успешном завершении сделки, в процессе которой создан бренд F6 - новой компании в сфере кибербезопасности, основанной на базе технологий и экспертизы F.A.C.C.T. Компания F6, созданная при поддержке фонда «Сайберус», сфокусируется на борьбе с ИТ-преступностью и разработке технологий и ИТ-сервисов для предотвращения и расследования киберпреступлений в России и за рубежом. В конце 2024 г. фонд развития результативной кибербезопасности «Сайберус» объявил о сделке с акционерами F.A.C.C.T., в результате которой ИТ-компании F6 перешли инженерные технологии, экспертиза, интеллектуальная собственность и текущие контракты F.A.C.C.T. Сделка была успешно закрыта 31 января 2025 г. Акционерами новой компании стали фонд «Сайберус» (47%) и частные инвесторы (53%).

Данные – это нескончаемый ресурс

В 2025 г., по прогнозам экспертов из F6, ожидается также увеличение числа кибератак на цепочки поставок (supply сhain attack) и кибератак типа trusted relationship т.е. ИТ-атаки через доверительные отношения. В ходе последних хакеры могут получить и использовать легитимные учетные записи для входа в корпоративные сети клиентов поставщиков. В роли поставщиков могут выступать ИТ-интеграторы, разработчики программного обеспечения (ПО) и другие компании.

По прогнозам аналитиков F6, в 2025 г. продолжится рост числа фишинговых атак с использованием шпионских программ по модели Malware-as-a-Service (MaaS). Это модель предоставления злоумышленникам вредоносного ПО в качестве услуги, которая позволяет им получить доступ к вредоносному ПО, инструментам и инфраструктуре. В 2024 г. вредоносные фишинговые рассылки оставались одним из самых популярных векторов проникновения в ИТ-инфраструктуру цели. В подавляющем большинстве фишинговых писем трояны доставлялись во вложениях, которые являются для хакеров наименее затратным способом доставки полезной нагрузки. Шпионское ПО и инфостилеры - самое популярное вредоносное ПО в рассылках, о чем уже информировал читателей CNews. В течение 2024 г. их доля варьировалась от 70% до 80% от всех вредоносных семейств, задействованных в фишинговых рассылках.

Как отмечают авторы исследования, в условиях продолжающегося геополитического конфликта количество кибератак и число хакерских групп будет и дальше расти. Если в 2023 г. насчитывалось 14 прогосударственных APT-групп, атакующих Россию и страны из группы Содружества независимых государств (СНГ), то в 2024 г. их стало в два раза больше - 27. За прошедший год было обнаружено 12 новых группировок: Unicorn, Dante, PhantomCore, ReaverBits, Sapphire Cat, Lazy Koala, Obstinate Mogwai, TaxOff и ряд других.

Количество DDoS-атак в 2024 г. выросло минимум на 50% как по количеству, так и по числу задействованных в ботнетах устройств. Наиболее активным атакующим остается группировка IT Army of Ukraine. Аналитики компании прогнозируют: пока продолжается геополитическое противостояние, атаки на российские цели будут идти с нарастающей мощностью.

Суммы первоначального выкупа за расшифровку данных в 2024 г. для малого бизнеса составляли от 100 тыс. до 5 млн руб. ($1-$50 тыс.), а для крупных и средних компаний, на которые приходится каждая пятая атака вымогателей, запросы преступников начинались от 5 млн руб. ($50 тыс.).

Смешанные группировки

Согласно авторам отчета, серьезно трансформируется сам ландшафт киберугроз. Размываются привычные границы классификации преступных групп - хактивистов, прогосударственных APT-групп, киберпреступников. В частности, хактивисты-диверсанты все чаще атакуют государственные органы и компании России, используя в своих атаках программы-шифровальщики - излюбленное оружие финансово-мотивированных злоумышленников. А кибершпионы выкладывают украденные базы данных в публичный доступ в Telegram-каналах, чтобы нанести российским компаниям максимальный урон.

Идеологически мотивированные группы хакеров - хактивисты - продолжат обмениваться опытом и прокачают свои навыки и ИТ-инструменты, что, несомненно, повысит эффективность их атак. В 2024 г. не менее 17 таких группировок атаковали российские и белорусские организации, хотя еще годом ранее их было как минимум 13. В своих ИТ-атаках хактивисты используют различные методы т.е. как DDoS-атаки, так и шифрование, уничтожение данных.

Количество DDoS-атак в 2024 г. выросло минимум на 50% как по количеству, так и по числу задействованных в ботнетах устройств. Наиболее активным атакующим остается группировка IT Army of Ukraine. Аналитики компании F6 прогнозируют, если последует продолжение геополитического противостояния, кибератаки на российские цели будут идти с нарастающей мощностью.

Большой риск Android-троянов

Хакеры продолжают наращивать объемы фишинговых и скам-атак по России и другим странам из Содружества независимых государств (СНГ). Третий год подряд фиксируется рост количества создаваемых ресурсов, эксплуатирующих бренды компаний. В 2024 г. среднее число поддельных ресурсов на один бренд выросло на 28% - с 7,8 тыс. до 10 тыс. Среднее количество создаваемых фишинговых сайтов на один бренд увеличилось на 52% по сравнению с 2023 г., мошеннических ресурсов - на 18%. Рост киберугроз обусловлен продолжающимся развитием мошеннических сообществ и партнерских программ.

С увеличением распространения мобильных устройств на базе Android хакеры продолжают совершенствовать и комбинированные методы кибератак, включая использование фишинга, социальной инженерии и вредоносных приложений. Кроме фишинговых сайтов, похищающих данные банковских карт, в 2024 г. злоумышленники активно использовали еще и RAT-трояны т.е. трояны удаленного доступа - их загрузка происходит прямо с фейковых страниц оплаты.

«Путь к заражению Android-устройств сократился до пары кликов», — пишут авторы отчета. С лета 2024 г. злоумышленники распространяли в России и Белоруссии троян CraxsRAT под видом легитимных обновлений мобильных приложений «Госуслуг»; Министерства здравоохранения (Минздрав) России; Министерства цифрового развития, связи и массовых коммуникаций (Минцифры); Центрального банка (ЦБ); и других операторов связи и антивирусов. Тогда же были зафиксированы первые успешные атаки на клиентов ведущих российских банков с использованием легитимного софта NFCGate.

Нарушение негласных правил

У русскоязычных хакеров нарушено правило «не работаем по России» т.е. не атаковать российские организации. В андеграунде можно найти выставленные на продажу БД и корпоративные доступы в ИТ-инфраструктуру компаний из стран СНГ. В 2024 г. обнаружена продажа девяти корпоративных доступов стран СНГ. Также было обнаружено сообщение с бесплатной раздачей 21 доступа к российским компаниям, одного — к организации из Белоруссии, а еще один доступ из сообщения относился к компании из Украины.

Всего же количество лотов с предложением доступов в ИТ-инфраструктуру организаций из стран СНГ в 2024 г. выросло на 49% по сравнению с 2023 г. Подобные предложения пользуются повышенным спросом со стороны операторов вирусов-вымогателей.

В целом, за 12 месяцев 2024 г. было обнаружено 455 не опубликованных ранее БД компаний из России и Белоруссии (в 2023 г. их было - 246). Количество строк в утечках превысило 457 млн. Масштаб кражи и публикации баз данных в 2025 г., по прогнозам, останется на текущем высоком уровне или даже поставит новый антирекорд по сливам. Дополнительные риски в том, что кроме публикации в открытом доступе, злоумышленники используют эти данные для последующего проведения каскадных атак на крупных игроков коммерческого и государственного секторов.

Антон Денисенко

Поделиться

Подписаться на новости Короткая ссылка