Компания Threat Zone исследовала его и определила динамику
Threat Zone 2025 — второе исследование годового ландшафта угроз, которое представила компания BI.ZONE. Оно основано на данных портала BI.ZONE Threat Intelligence, сервиса BI.ZONE TDR и BI.ZONE DFIR — команды реагирования на инциденты.
Больше всего кибератак пришлось на государственный сектор (15%), финансовую отрасль (13%), а также транспорт и логистику (11%). При этом злоумышленники стали чаще атаковать компании ради шпионажа и по идеологическим мотивам. Преступники продолжают экспериментировать с инструментами и методами, но самым популярным способом проникновения в IT-инфраструктуру по-прежнему остается фишинг, хотя его доля и снизилась к концу года.
Эксперты выделяют следующие ключевые особенности киберландшафта России и СНГ:
- Ритейл уступил госсектору первое место по числу кибератак
В 2024 году наибольшее количество атак (15%) пришлось на государственные организации. Годом ранее этот показатель составлял всего 9%.
Финансовая отрасль по-прежнему занимает второе место в списке наиболее атакуемых (13% в 2024-м и 12% в 2023 году).
На третьем месте, как и год назад, транспорт и логистика: в 2024 году на них пришлось 11% кибератак, а в 2023-м — 10%.
А вот доля ритейла сократилась. Если в 2023 году на отрасль приходилось 15% всех кибератак и по этому показателю она опережала все остальные, то в 2024-м представители розничной торговли становились целью всего в 4% случаев, а компании и з сферы электронной коммерции — в 9%.
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE, говорит: «Такие изменения во многом связаны со всплеском активности хактивистов, который пришелся на третий квартал 2024 года. В этот период каждая пятая кибератака была нацелена именно на госсектор.
То, какие цели атакующие выбирают в качестве приоритетных, неизбежно влияет на их методы, инструменты и подходы. Все эти изменения и ключевые особенности ландшафта угроз отражены в исследовании Threat Zone 2025».
- Хактивизма и атак с целью шпионажа стало больше, но финансовая мотивация по-прежнему остается для преступников основной
Доля атак, обусловленных финансовой мотивацией, снизилась с 76% до 67%. При этом суммы, которые злоумышленники запрашивают в качестве выкупа за расшифровку данных и восстановление доступа к IT-инфраструктуре, растут и все чаще достигают десятков миллионов рублей. Чтобы рассчитать и потребовать максимально возможный размер выкупа, преступники тщательно изучают жертву, в том числе ее финансовую отчетность.
В 2024 году 21% атак совершался с целью шпионажа. В 2023-м этот показатель был ниже и составлял 15%. Примечательно, что некоторые кластеры активности, занимающиеся шпионажем, больше не ограничиваются сбором и эксфильтрацией чувствительных данных и теперь совершают деструктивные действия в скомпрометированной IT-инфраструктуре. Такой почерк характерен для группировок с финансовой мотивацией, которые хотят получить выкуп за восстановление доступа к ресурсам организации, или для хактивистов, которые стремятся предать атаки максимально широкой огласке.
Незначительно (с 9% до 12%) выросла доля хактивистких атак. Такие преступники по-прежнему обнародуют на теневых ресурсах незаконно полученные персональные и чувствительные данные. При этом перед публикацией злоумышленники зачастую тщательно анализируют информацию, выявляя ту, что позволит атаковать другие организации.
В 2024 году вовлеченные в хактивизм преступники активно сотрудничали друг с другом. Такое взаимодействие влияет на набор методов и инструментов, используемых для атак, и затрудняет кластеризацию. С другой стороны, это позволяет специалистам эффективнее выявлять взаимосвязь между различными вредоносными активностями.
- Доля фишинга снизилась, но рассылок от имени государственных организаций стало больше
В 2023 году с фишингового письма начинались 68% целевых атак на российские организации. К середине 2024-го этот показатель достиг 76%, но к концу года снизился до 57%. При этом фишинг по-прежнему остается наиболее популярным методом получения первоначального доступа к IT-инфраструктуре.
В 2024 году атакующие стали чаще рассылать письма от имени государственных организаций и регуляторов. В первом полугодии доля таких сообщений составляла 4% от общего объема фишинговых писем, которые приходили в организации России и стран СНГ. К концу года этот показатель вырос в два раза — до 8%.
Такая тенденция во многом связана с увеличением доли атак на государственный сектор. Как правило, злоумышленники стараются, чтобы фишинговые рассылки выглядели максимально правдоподобно и не вызывали подозрений у потенциальных жертв, поэтому для атак на госорганизации маскируют письма под сообщения от регуляторов или других ведомств.
Вторым по популярности методом проникновения в инфраструктуру стало использование легитимных учетных записей (27%), доступ к которым киберпреступники получают различными способами: с помощью стилеров, перебора паролей, из утечек и т. д. Это позволяет злоумышленникам действовать практически незаметно по крайней мере на начальных этапах кибератаки.
На третьем месте — эксплуатация уязвимостей в общедоступных приложениях (13%).
- Атаки через подрядчиков остаются серьезной угрозой
Злоумышленники продолжают атаковать подрядчиков и поставщиков услуг, чтобы через их инфраструктуру скомпрометировать другие компании. Хотя в 2024 году атаки через подрядчиков составили всего 5% от общего числа, они представляют собой серьезную угрозу: успешная компрометация даже одного подрядчика позволяет преступникам получить доступ к конфиденциальным данным множества компаний. Это подтверждается данными сервиса мониторинга и реагирования на инциденты BI.ZONE TDR: в 2024 году количество киберинцидентов, связанных с атаками через подрядчиков, выросло почти в 2 раза. При этом в зоне риска оказываются не только крупные, но и небольшие провайдеры.
- Злоумышленники активно экспериментируют с инструментами и используют коммерческое вредоносное ПО с русскоязычных форумов
Использование непопулярных и малоизвестных инструментов, легитимного ПО, а также их различных комбинаций позволяет преступникам эффективнее обходить средства защиты и повышает шансы кибератаки на успех.
Так, атакующие активно экспериментируют с фреймворками постэксплуатации — инструментами, которые позволяют использовать уязвимости и ошибки в настройках, чтобы получить контроль над системой. Более того, в рамках одной атаки злоумышленники могут применять агенты фреймворков, что позволяет прочнее закрепляться в скомпрометированной IT-инфраструктуре и затрудняет реагирование на инцидент.
Также преступники активно используют легитимное ПО, в том числе средства туннелирования трафика, чтобы обойти часть средств защиты и получить персистентный резервный канал доступа в скомпрометированную IT-инфраструктуру.
Кроме того, злоумышленники не только применяют в скомпрометированной системе интерпретаторы команд и сценариев, но и загружают собственные, например Python или NodeJS. Последние используются значительно реже, что затрудняет обнаружение вредоносной активности.
Наконец, среди кластеров активности, атакующих российские организации, по-прежнему пользуется популярностью коммерческое вредоносное ПО, которое распространяется через русскоязычные теневые форумы и телеграм-каналы. Так злоумышленники получают готовые инструменты, не тратя силы и средства на их разработку.
О компании
BI.ZONE — компания по управлению цифровыми рисками, она помогает организациям безопасно развивать бизнес в киберпространстве. BI.ZONE разрабатывает собственные продукты для обеспечения устойчивости IT‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 года компания реализовала более 1600 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 800 клиентов в 15 странах мира.
