февраль    2025

Пн	Вт	Ср	Чт	Пт	Сб	Вс
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28

показать все 

12.02.2025

Роботизация бизнес-процессов: Итоги вебинара Сбер и DBI.

Читать далее 

12.02.2025

Исследование Threat Zone 2025: представили годовую динамику российского ландшафта угроз

Читать далее 

04.02.2025

BI.ZONE PAM 2.0: ускорено решение рутинных задач по управлению привилегированным доступом

Читать далее 

04.02.2025

Руководитель, архитектор, лидер: кто такой Delivery Manager?

Читать далее 

04.02.2025

DBI принял участие в PGProDay 2025

Читать далее 

показать все 

20.02.2025

Вы уже пользуетесь DeepSeek?

Читать далее 

20.02.2025

Машинное обучение в облаке

Читать далее 

13.01.2025

Лучшее, конечно, впереди?

Читать далее 

13.01.2025

Как управлять командой разработчиков в условиях постоянных изменений?

Читать далее 

13.01.2025

Как привлекать ИТ-таланты в условиях дефицита кадров?

Читать далее 

12.12.2024

Что следует учитывать ИТ-директорам, прежде чем претендовать на должность генерального директора?

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

показать все 

Главная / Новости партнеров / Исследование Threat Zone 2025: представили годовую динамику российского ландшафта угроз

Больше всего кибератак пришлось на государственный сектор (15%), финансовую отрасль (13%), а также транспорт и логистику (11%). При этом злоумышленники стали чаще атаковать компании ради шпионажа и по идеологическим мотивам.

Преступники продолжают экспериментировать с инструментами и методами, но самым популярным способом проникновения в IT-инфраструктуру по-прежнему остается фишинг, хотя его доля и снизилась к концу года.

Threat Zone 2025 — второе исследование годового ландшафта угроз, которое представила компания BI.ZONE. Оно основано на данных портала BI.ZONE Threat Intelligence, сервиса BI.ZONE TDR и BI.ZONE DFIR — команды реагирования на инциденты.

Эксперты выделяют следующие ключевые особенности киберландшафта России и СНГ:

1. Ритейл уступил госсектору первое место по числу кибератак.

В 2024 году наибольшее количество атак (15%) пришлось на государственные организации. Годом ранее этот показатель составлял всего 9%.

Финансовая отрасль по-прежнему занимает второе место в списке наиболее атакуемых (13% в 2024-м и 12% в 2023 году).

На третьем месте, как и год назад, транспорт и логистика: в 2024 году на них пришлось 11% кибератак, а в 2023-м — 10%.

А вот доля ритейла сократилась. Если в 2023 году на отрасль приходилось 15% всех кибератак и по этому показателю она опережала все остальные, то в 2024-м представители розничной торговли становились целью всего  в 4% случаев, а компании и з сферы электронной коммерции — в 9%.

Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE:

Такие изменения во многом связаны со всплеском активности хактивистов, который пришелся на третий квартал 2024 года. В этот период каждая пятая кибератака была нацелена именно на госсектор.

То, какие цели атакующие выбирают в качестве приоритетных, неизбежно влияет на их методы, инструменты и подходы. Все эти изменения и ключевые особенности ландшафта угроз отражены в исследовании Threat Zone 2025.

2. Хактивизма и атак с целью шпионажа стало больше, но финансовая мотивация по-прежнему остается для преступников основной.

Доля атак, обусловленных финансовой мотивацией, снизилась с 76% до 67%. При этом суммы, которые злоумышленники запрашивают в качестве выкупа за расшифровку данных и восстановление доступа к IT-инфраструктуре, растут и все чаще достигают десятков миллионов рублей. Чтобы рассчитать и потребовать максимально возможный размер выкупа, преступники тщательно изучают жертву, в том числе ее финансовую отчетность.

В 2024 году 21% атак совершался с целью шпионажа. В 2023-м этот показатель был ниже и составлял 15%. Примечательно, что некоторые кластеры активности, занимающиеся шпионажем, больше не ограничиваются сбором и эксфильтрацией чувствительных данных и теперь совершают деструктивные действия в скомпрометированной IT-инфраструктуре. Такой почерк характерен для группировок с финансовой мотивацией, которые хотят получить выкуп за восстановление доступа к ресурсам организации, или для хактивистов, которые стремятся предать атаки максимально широкой огласке.

Незначительно (с 9% до 12%) выросла доля хактивистких атак. Такие преступники по-прежнему обнародуют на теневых ресурсах незаконно полученные персональные и чувствительные данные. При этом перед публикацией злоумышленники зачастую тщательно анализируют информацию, выявляя ту, что позволит атаковать другие организации.

В 2024 году вовлеченные в хактивизм преступники активно сотрудничали друг с другом. Такое взаимодействие влияет на набор методов и инструментов, используемых для атак, и затрудняет кластеризацию. С другой стороны, это позволяет специалистам эффективнее выявлять взаимосвязь между различными вредоносными активностями. 

3. Доля фишинга снизилась, но рассылок от имени государственных организаций стало больше.

В 2023 году с фишингового письма начинались 68% целевых атак на российские организации. К середине 2024-го этот показатель достиг 76%, но к концу года снизился до 57%. При этом фишинг по-прежнему остается наиболее популярным методом получения первоначального доступа к IT-инфраструктуре.

В 2024 году атакующие стали чаще рассылать письма от имени государственных организаций и регуляторов. В первом полугодии доля таких сообщений составляла 4% от общего объема фишинговых писем, которые приходили в организации России и стран СНГ. К концу года этот показатель вырос в два раза — до 8%.

Такая тенденция во многом связана с увеличением доли атак на государственный сектор. Как правило, злоумышленники стараются, чтобы фишинговые рассылки выглядели максимально правдоподобно и не вызывали подозрений у потенциальных жертв, поэтому для атак на госорганизации маскируют письма под сообщения от регуляторов или других ведомств.

Вторым по популярности методом проникновения в инфраструктуру стало использование легитимных учетных записей (27%), доступ к которым киберпреступники получают различными способами: с помощью стилеров, перебора паролей, из утечек и т. д. Это позволяет злоумышленникам действовать практически незаметно по крайней мере на начальных этапах кибератаки.

На третьем месте — эксплуатация уязвимостей в общедоступных приложениях (13%). 

4. Атаки через подрядчиков остаются серьезной угрозой.

Злоумышленники продолжают атаковать подрядчиков и поставщиков услуг, чтобы через их инфраструктуру скомпрометировать другие компании. Хотя в 2024 году атаки через подрядчиков составили всего 5% от общего числа, они представляют собой серьезную угрозу: успешная компрометация даже одного подрядчика позволяет преступникам получить доступ к конфиденциальным данным множества компаний. Это подтверждается данными сервиса мониторинга и реагирования на инциденты BI.ZONE TDR: в 2024 году количество киберинцидентов, связанных с атаками через подрядчиков, выросло почти в 2 раза. При этом в зоне риска оказываются не только крупные, но и небольшие провайдеры. 

5. Злоумышленники активно экспериментируют с инструментами и используют коммерческое вредоносное ПО с русскоязычных форумов.

Использование непопулярных и малоизвестных инструментов, легитимного ПО, а также их различных комбинаций позволяет преступникам эффективнее обходить средства защиты и повышает шансы кибератаки на успех.

Так, атакующие активно экспериментируют с фреймворками постэксплуатации — инструментами, которые позволяют использовать уязвимости и ошибки в настройках, чтобы получить контроль над системой. Более того, в рамках одной атаки злоумышленники могут применять агенты фреймворков, что позволяет прочнее закрепляться в скомпрометированной IT-инфраструктуре и затрудняет реагирование на инцидент.

Также преступники активно используют легитимное ПО, в том числе средства туннелирования трафика, чтобы обойти часть средств защиты и получить персистентный резервный канал доступа в скомпрометированную IT-инфраструктуру.

Кроме того, злоумышленники не только применяют в скомпрометированной системе интерпретаторы команд и сценариев, но и загружают собственные, например Python или NodeJS. Последние используются значительно реже, что затрудняет обнаружение вредоносной активности.

Наконец, среди кластеров активности, атакующих российские организации, по-прежнему пользуется популярностью коммерческое вредоносное ПО, которое распространяется через русскоязычные теневые форумы и телеграм-каналы. Так злоумышленники получают готовые инструменты, не тратя силы и средства на их разработку.

BI.ZONE — компания по управлению цифровыми рисками, которая помогает организациям безопасно развивать бизнес в киберпространстве. Сайт: https://bi.zone.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи