1037
F6 назвала главные киберугрозы 2025 года
Идеологически мотивированные группы хакеров — хактивисты — продолжат обмениваться опытом и прокачают свои навыки и инструменты, что, несомненно, повысит эффективность их атак. В 2024 году не менее 17 таких группировок атаковали российские и белорусские организации, хотя еще годом ранее их было как минимум 13. В своих атаках хактивисты используют различные методы — как DDoS-атаки, так и шифрование, уничтожение данных.
Количество DDoS-атак в 2024 году выросло минимум на 50% как по количеству, так и по числу задействованных в ботнетах устройств. Наиболее активным атакующим остается группировка IT Army of Ukraine. Аналитики компании прогнозируют: пока продолжается геополитическое противостояние, атаки на российские цели будут идти с нарастающей мощностью.
На этом фоне, согласно авторам отчета, серьезно трансформируется сам ландшафт киберугроз. Размываются привычные границы классификации преступных групп — хактивистов, прогосударственных APT-групп, киберпреступников. В частности, хактивисты-диверсанты все чаще атакуют государственные органы и компании России, используя в своих атаках программы-шифровальщики — излюбленное оружие финансово-мотивированных злоумышленников. А кибершпионы выкладывают украденные базы данных в публичный доступ в Telegram-каналах, чтобы нанести российским компаниям максимальный урон.
Вымогатели открыли охоту за базами данных
Программы-вымогатели в 2025 году останутся среди главных киберугроз для российских компаний. За 2024 год специалисты F6 зафиксировали более 500 атак с использованием шифровальщиков в России — рост почти в полтора раза по сравнению с 2023 годом. К уже известным угрозам от вымогателей Shadow, Mimic, LokiLocker/BlackBit, Proxima, HsHarada и других атакующих российские компании добавились новые: например, группы MorLock, Head Mare, Masque, Sauron.
Суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса составляли от 100 тыс. до 5 млн рублей ($1-$50 тыс.), а для крупных и средних компаний, на которые приходится каждая пятая атака вымогателей, запросы преступников начинались от 5 млн рублей ($50 тыс.). Жертвами вымогателей чаще всего становились российские производственные, строительные, фармацевтические и ИТ-компании, предприятия добывающей промышленности, ВПК, организации из сферы услуг.
Примечательно, что персональные данные остаются одной из главных целей вымогателей: атакующие сначала похищают чувствительную информацию и лишь затем шифруют инфраструктуру жертвы. Чем крупнее цель, тем больше она привлекает злоумышленников: заметен рост количества атак на крупные компании с целью компрометации их клиентов.
Как отмечают исследователи компании, техники и инструменты вымогателей становятся все более сложными и изощренными. В частности, под конец 2024 года наметился тренд к усложнению атак “персидских групп” (атакующие, предположительно, имеют отношение к странам, где распространен на персидский язык), стали все чаще атаковать Linux-системы и использовать для разработки такие современные языки программирования, как Rust.
В целом, за 12 месяцев прошлого года было обнаружено 455 не опубликованных ранее баз данных компаний из России и Белоруссии (в 2023 году их было — 246). Количество строк в утечках превысило 457 миллионов. Масштаб кражи и публикации баз данных в 2025 году, по прогнозам, останется на текущем высоком уровне или даже поставит новый антирекорд по сливам. Дополнительные риски в том, что кроме публикации в открытом доступе, злоумышленники используют эти данные для последующего проведения каскадных атак на крупных игроков коммерческого и государственного секторов.
Заработали по Ру
Еще один тренд последнего времени: у русскоязычных преступников исчезает правило «не работаем по Ру» — не атаковать российские организации. В андеграунде можно найти выставленные на продажу базы данных и корпоративные доступы в инфраструктуру компаний из стран СНГ. Так, например, в 2024 году обнаружена продажа 9 корпоративных доступов стран СНГ. Также было обнаружено сообщение с бесплатной «раздачей» 21 доступа к российским компаниям, одного — к организации из Белоруссии, а еще один доступ из сообщения относился к компании из Украины. Всего же количество «лотов» с предложением доступов в инфраструктуру организаций из стран СНГ в прошлом году выросло на 49% по сравнению с 2023 годом. Подобные предложения пользуются повышенным спросом со стороны операторов программ-вымогателей.
Доступы в аккаунты и учетные записи обычных пользователей, данные скомпрометированных банковских карт также являются довольно ходовым товаром у злоумышленников.
На прицеле — поставщики
В 2025 году продолжится рост числа фишинговых атак с использованием шпионских программ по модели Malware-as-a-Service (MaaS). Напомним, что в 2024 году вредоносные фишинговые рассылки оставались одним из самых популярных векторов проникновения в инфраструктуру цели. В подавляющем большинстве фишинговых писем вредоносное ПО доставлялось во вложениях, которые являются для злоумышленников наименее затратным способом доставки полезной нагрузки. Шпионское ПО и инфостилеры — самое популярное вредоносное ПО в рассылках, в течение 2024 года их доля варьировалась от 70% до 80% от всех вредоносных семейств, задействованных в фишинговых рассылках.
В 2025 году, по прогнозам экспертов, ожидается также увеличение числа атак на цепочки поставок (Supply Chain attack) и атак типа Trusted Relationship. В ходе последних хакеры могут получить и использовать легитимные учетные записи для входа в корпоративные сети клиентов поставщиков. В роли поставщиков могут выступать IT-интеграторы, разработчики ПО и другие компании.
Скам, фишинг и Android-трояны
Киберпреступники продолжают наращивать объемы фишинговых и скам-атак. Третий год подряд фиксируется рост количества создаваемых ресурсов, эксплуатирующих бренды компаний. В 2024 году среднее число поддельных ресурсов на один бренд выросло на 28% — с 7878 до 10112. Среднее количество создаваемых фишинговых сайтов на один бренд увеличилось на 52% по сравнению с 2023 годом, мошеннических ресурсов — на 18%. Рост угроз обусловлен продолжающимся развитием мошеннических сообществ и партнёрских программ.
