F6: Угрозы кибербезопасности 2025 года — Аналитика атак на Россию и СНГ в условиях растущих рисков

Компания F6, признанный лидер в области разработки энергий для противодействия киберугрозам, презентовала свой первый ежегодный аналитический отчет под названием «Киберугрозы в России и СНГ. Аналитика и прогнозы 2024/25». В данном отчете представлены подробные исследования ключевых киберугрози, ожидаемых в 2024 году, а также рекомендации и прогнозы на 2025 год. Результаты тревожат: количество инцидентов и активных атакующих растет, утечки и нападения со стороны вымогателей продолжают увеличиваться, DDoS-атаки становятся все более мощными, а мошенничество r ослабляется интересом.

Число атакующих увеличивается, границы стираются

Авторы отчета указывают, что в условиях продолжающегося геополитического конфликта количество кибератак и хакерских группировок будет продолжать расти. В 2023 году было зарегистрировано 14 прогосударственных APT-групп, осуществляющих атаки на Россию и СНГ, однако в 2024 году эта цифра удвоилась до 27. В течение прошлого года было идентифицировано 12 новых хакерских групп, таких как Unicorn, Dante, PhantomCore и ReaverBits.

Группы хактивистов, движимые идеологическими целями, продолжат обмениваться знаниями и улучшать свои навыки, что, безусловно, усилит их атакующую мощь. В 2024 году не менее 17 таких группировок нападали на организации в России и Беларуси, в то время как в предыдущем году их было как минимум 13. Подразумеваемые методы хактивистов варьируются — от DDoS-атак до шифрования и разрушения данных.

Количество DDoS-атак за 2024 год увеличилось как минимум на 50%, что касается как числа атак, так и устройств, входящих в ботнеты. Наиболее активной среди атакующих остается группировка IT Army of Ukraine. По прогнозам аналитиков компании, пока продолжается геополитическое противостояние, удары по российским объектам будут усиливаться.

На фоне этих событий, как утверждают авторы отчета, сам ландшафт киберугроз претерпевает серьезные изменения. Традиционные границы между киберпреступниками, хактивистами и государственными APT-группами стираются. Хактивисты все чаще выбирают цель — государственные структуры и компании в России, применяя шифровальщики, как это часто делают финансово мотивированные нарушители. Кибершпионы публикуют украденные базы данных в открытом доступе на платформах вроде Telegram, стремясь нанести максимальный урон российским компаниям.

Вымогатели охотятся на базы данных

В 2025 году программы-вымогатели останутся среди основных угроз для российских компаний. В 2024 году специалисты компании F6 зафиксировали свыше 500 атак с использованием шифровальщиков в России — что на 50% больше, чем в 2023 году. К уже известным группам вымогателей, таким как Shadow и Mimic, добавились новые игроки, включая MorLock и Masque.

Запросы на выкуп за расшифровку данных в 2024 году колебались от 100 тыс. до 5 млн рублей ($1 тыс. – $50 тыс.) для малого бизнеса, в то время как для крупных и средних компаний, которые составляют пятую часть всех атак, суммы начинались от 5 млн рублей ($50 тыс.). Чаще всего жертвами вымогателей становились компании из производственной, строительной, фармацевтической и IT-сфер, а также предприятия в сфере добычи и ВПК.

Важно отметить, что личные данные остаются одной из главных целей вымогателей: сначала злоумышленники крадут конфиденциальную информацию, а затем шифруют инфраструктуру жертвы. Чем крупнее цель, тем она привлекательнее для преступников: наблюдается рост атак на крупные организации с попытками компрометации их клиентов.

По мнению исследователей, методы и средства, используемые вымогателями, становятся все более продвинутыми. К концу 2024 года среди атакующих фиксируется тенденция усложнения действий так называемых “персидских групп”, которые всё чаще нацеливаются на системы Linux и используют для своих атак современные языки программирования, такие как Rust.

За прошедший год было выявлено 455 баз данных компаний из России и Беларуси, которые ранее не публиковались (в 2023 году их количество составило 246). Общее число строк в вытекших данных превысило 457 миллионов. Прогнозы на 2025 год предсказывают сохранение текущего высокого уровня краж и публикаций баз данных или даже установление новых антирекордов. Дополнительные опасности заключаются в том, что злоумышленники используют эти данные для проведения последующих атак на крупных игроков как в коммерческом, так и в государственном секторах.

Новый подход к атаке на “Ру”

Среди последних тенденций наблюдается исчезновение барьера у русскоязычных преступных групп относительно атак на российские организации. В недрах андеграунда можно встретить базы данных и корпоративные доступы к инфраструктуре компаний из стран СНГ, выставленные на продажу. В 2024 году было зафиксировано предложение о продаже 9 корпоративных доступов, а также обнаружено сообщение о бесплатной “раздаче” 21 доступа к российским компаниям. Общее количество таких предложений возросло на 49% по сравнению с 2023 годом, что свидетельствует о высоком интересе к данным со стороны операторов программ-вымогателей.

Доступы к аккаунтам пользователей и данные скомпрометированных банковских карт также пользуются высоким спросом среди злоумышленников.

Фокус на поставщиках

В 2025 году продолжится увеличение фишинговых атак с использованием шпионского ПО по модели Malware-as-a-Service (MaaS). В 2024 году вредоносные фишинговые рассылки оставались одним из самых распространенных методов злоумышленников для инфильтрации в целевые системы, причем подавляющее количество вредоносного ПО приходилось на вложения, что делает этот метод наиболее экономически выгодным для атакующих. Шпионское ПО и инфостилеры занимают лидирующие позиции среди всех вредоносных программ в рассылках, содержание которых варьируется от 70% до 80% всех фишинговых атак.

Эксперты предсказывают также рост числа атак на цепочки поставок (Supply Chain attack) и на тех, основанных на доверительных отношениях. Технология атакующего позволяет использовать легитимные учетные записи для входа в корпоративные сети клиентов поставщиков. Поставщиками могут выступать как IT-интеграторы, так и разработчики программного обеспечения.

Фишинг, скам и Android-трояны

Киберпреступники продолжают наращивать объем фишинговых и скам-атак. Третий год подряд фиксируется увеличение числа ресурсов, эксплуатирующих компании. В 2024 году среднее количество поддельных ресурсов на один бренд возросло на 28%, составив 10112 по сравнению с 7878 в 2023 году. Средние показатели фишинговых сайтов на один бренд выросли на 52%.

На фоне растущего использования мобильных устройств на базе Android, злоумышленники совершенствуют методы атак, включая фишинг, социальную инженерию и шпионские приложения. В 2024 году, среди прочего, хакеры использовали RAT-трояны, которые загружались с фейковых страниц оплаты. Путь к заражению Android-устройств стал короче — достаточно нескольких кликов. Летом 2024 года в России и Беларуси распространялся троян CraxsRAT, маскирующийся под легитимные обновления мобильных приложений. Первый раз были зарегистрированы атаки на клиентов ведущих российских банков с использованием приложения NFCGate. С помощью социальной инженерии злоумышленники предлагали жертвам установить приложение на устройства, которое позволяло получать данные банковских карт через NFC-модуль.

Новый ежегодный отчет является наиболее полным источником стратегической и тактической информации о киберугрозах, актуальных для России и СНГ в условиях напряженной геополитической обстановки. Исследование станет практическим пособием для руководителей служб кибербезопасности, аналитиков SOC, команд реагирования на инциденты (CERT), специалистов по анализу угроз и охотников за угрозами в различных отраслях.

«В этом году мы выпустили наш первый флагманский отчет под новым брендом, обладая более чем 20-летним опытом в борьбе с компьютерной преступностью и исследовании криминального подполья, — отметил Валерий Баулин, генеральный директор F6. — За последние годы не только прогосударственные хакерские группировки, но и киберпреступники, и хактивисты получили доступ к злоумышленным инструментам, способным вернуть мир в цифровую тьму. Границы между различными категориями злоумышленников стираются, и количество атак и преступных групп растет. Конечно, программы-вымогатели и утечки данных остаются основными киберугрозами, и 2025 год может удивить нас неприятными сюрпризами. В отчете мы представили прогнозы, которые, по опыту, бывают точными и необходимыми для планирования стратегий информационной безопасности.»

Специфическая информация о тактиках, инструментах и активности атакующих была собрана с использованием платформы киберразведки F6 Threat Intelligence, флагманского решения по защите от сложных и неизвестных киберугроз F6 Managed XDR, а также платформы F6 для защиты цифровых активов Digital Risk Protection.

Отчет «Киберугрозы в России и СНГ. Аналитика и прогнозы 2024/25» доступен для скачивания по ссылке — регистрация требуется только с корпоративной почты!