Актуальные киберугрозы: IV квартал 2024 года — I квартал 2025 года

Отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на экспертизе компании Positive Technologies, результатах расследований, проводимых PT Expert Security Center, а также на данных авторитетных источников.

По нашей оценке, большинство кибератак не предаются огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная атака, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.

В IV квартале 2024 года количество инцидентов увеличилось на 5% по сравнению с предыдущим кварталом и на 13% в сравнении с аналогичным периодом прошлого года. Вредоносное ПО остается основным инструментом злоумышленников: оно применялось в 66% успешных атак на организации и 51% на частных лиц. Против организаций чаще всего использовались шифровальщики (42%) и ВПО для удаленного управления (38%), против частных лиц — шпионское ПО (48%). Мы наблюдали увеличение интереса к шпионскому ПО в атаках на организации (20%, на 4 п. п. больше, чем в предыдущем квартале). За рассматриваемый период в результате 53% успешных атак на организации была раскрыта конфиденциальная информация, а нарушение основной деятельности компаний наблюдалось в 32% инцидентов. В 48% успешных атак на частных лиц злоумышленники были нацелены на получение финансовой выгоды, что на 18 п. п. больше по сравнению с аналогичным периодом прошлого года. Мы делаем вывод, что финансовые потери среди частных лиц в целом являются характерной чертой IV квартала года.

По итогам IV квартала 2024 года социальная инженерия продолжает оставаться одним из наиболее популярных методов для атак как на организации (50%), так и на частных лиц (88%). Основным каналом социальной инженерии для организаций остается электронная почта (84%), для частных лиц — сайты (44%). Вместе с тем в атаках на частных лиц увеличилась доля использования соцсетей (на 10 п. п., до 22%) и мессенджеров (на 11 п. п., до 18%). Это связано с тем, что социальные сети и мессенджеры дают злоумышленникам широкий выбор возможностей для обмана пользователей. На таких платформах переписка развивается быстрее и мошенникам легче ввести жертву в заблуждение, не давая ей времени подумать. Кроме того, атакующие используют в атаках утекшие персональные данные, взломанные аккаунты других пользователей и организаций, а также создают на их основе дипфейки.

Документы Microsoft Word используются в организациях по всему миру. Широкое распространение этого типа документов дает злоумышленникам хороший повод разработать очередную схему для кибератак. В IV квартале 2024 года была обнаружена новая фишинговая кампания по рассылке электронных писем, содержащих вложения Microsoft Office, которые намеренно повреждены таким образом, что их нельзя проверить с помощью средств безопасности. Такие почтовые вложения обходят антивирусное ПО, предотвращают загрузку файлов в песочницы и обходят спам-фильтры Outlook, позволяя вредоносным документам доходить до адресата. При открытии документа появляется сообщение о том, что документ поврежден и для его открытия требуется запустить процедуру восстановления.

Конечная цель атаки — обманным путем заставить пользователей открыть зараженные документы, в которые встроены QR-коды. При сканировании они перенаправляют жертв на мошеннические сайты для установки вредоносного ПО или на поддельные страницы входа для кражи учетных данных. Напомним, что квишинг¹ вышел на пик популярности в первой половине 2024 года, о чем мы ранее рассказывали по итогам II квартала 2024 года. Эта техника сохраняла популярность и во второй половине года.

Мы предполагаем, что новая техника повреждения документов может быть взята на вооружение и другими злоумышленниками, которые используют документы Microsoft Office в качестве приманки для дальнейшей доставки вредоносного ПО. Атакующие внедряют в Word вредоносные макросы, шаблоны и эксплойты. Такие техники применяются давно и достаточно хорошо обнаруживаются такими средствами защиты информации, как шлюзы безопасности электронной почты (secure email gateways), антивирусные средства, песочницы и EDR-решения. По этой причине укрепляется тренд на многоэтапные сложные схемы доставки вредоносной нагрузки на скомпрометированные устройства, нацеленные на сокрытие от обнаружения. Новая техника повреждения документов может в ближайшие месяцы стать одним из эффективных инструментов для реализации таких сложных кампаний.

На протяжении всего 2024 года мы наблюдали фишинговые кампании Contagious Interview («Заразное собеседование»), направленные на разработчиков, которым предлагалось пройти фейковое собеседование и в результате загрузить вредоносный код на свое устройство. К концу года злоумышленники придумали новую схему с противоположной мотивацией. Новая фишинговая кампания нацелена на организации в разных отраслях и пугает получателей, заставляя их думать, что их могут уволить. Атака начинается с электронного письма, которое выглядит как официальное уведомление о судебном разбирательстве и прекращении трудовых отношений с сотрудником. Жертвам предлагается загрузить документ, чтобы получить доступ к соответствующей информации. Во вложении прикреплен архив RAR, содержащий вредоносный скрипт Visual Basic. Вредоносный скрипт обеспечивает доставку основной полезной нагрузки, предположительно банковского трояна, что говорит о финансовой мотивации злоумышленника. Предполагается, что в будущем эта кампания может выйти за пределы электронной почты и расшириться на социальные сети LinkedIn или Facebook.

В IV квартале 2024 злоумышленники стали массово использовать схему атак с поддельной CAPTCHA. Жертва заходит на вредоносный сайт, на котором отображается поддельная веб-страница CAPTCHA. При нажатии на кнопку «I'm not a robot», в буфер обмена устройства копируется зашифрованная строка PowerShell-команды. Злоумышленники предлагают пользователю вставить данные из буфера обмена в командную строку, что активирует скрипт для загрузки и установки вредоносной программы на устройство жертвы.

Эта схема появилась еще в III квартале и использовалась в атаках на геймеров для распространения популярного инфостилера Lumma Stealer, способного красть учетные данные из браузеров, а также доступы к криптокошелькам. В IV квартале 2024 эта фишинговая тактика приобрела по-настоящему масштабный характер. Злоумышленники использовали рекламную сеть Monetag для показа всплывающей рекламы и продвижения более трех тысяч вредоносных сайтов с поддельным ПО и пиратских платформ для просмотра видеоконтента с целью распространения Lumma Stealer через поддельную CAPTCHA. Помимо этого инфостилера киберпреступники распространяли вредоносную программу Amadey, которая крадет учетные данные из браузеров, подменяет адреса криптовалютных кошельков в буфере обмена на адреса, контролируемые злоумышленниками, а в ряде случаев еще загружает троян удаленного доступа Remcos RAT. Кроме того, страницы с поддельной CAPTCHA массово внедрялись во взломанные сайты на базе CMS WordPress для распространения нового вредоносного ПО CoinLurker, нацеленного на кражу данных из криптовалютных кошельков, а также из приложений Telegram, Discord и FileZilla. Техника поддельной проверки на робота была замечена не только в атаках на частных лиц, но и на организации. К примеру, в декабре была выявлена фишинговая кампания, нацеленная на гостиничный бизнес в Великобритании. Менеджерам отелей направлялись письма якобы от сервиса бронирования, которые содержали ссылку на фишинговую страницу. В результате атаки на устройствах сотрудников устанавливалась вредоносная программа XWorm RAT.

В IV квартале 2024 года в успешных атаках на организации чаще всего использовались шифровальщики (42%), ВПО для удаленного управления (38%) и шпионское ПО (20%). Программы-вымогатели продолжают оставаться актуальной угрозой для организаций в разных странах мира и активно используются не только для получения финансовой выгоды, но и для нанесения ущерба в хактивистских целях. На протяжении рассматриваемого периода наиболее активной оставалась группировка RansomHub, которая выбилась в лидеры по числу жертв после ухода LockBit. Значительное увеличение числа жертв также демонстрировала известная группировка программ-вымогателей Akira, которая, вероятно, проникала в инфраструктуры организаций путем эксплуатации уязвимости CVE-2024-40766 (9,8 по CVSS 3.1) в SonicWall VPN или путем эксплуатации уязвимости CVE-2024-40711 (9,8 по CVSS 3.1) на серверах Veeam Backup & Replication. Последний квартал 2024 года также был отмечен появлением нескольких новых групп вымогателей, таких как Interlock, Termite, SafePay и FunkSec, которые сразу стали активно атаковать инфраструктуры организаций и публично размещать заявления на своих DLS².

В успешных атаках на частных лиц в IV квартале 2024 года мы наблюдали сохранение тренда на использование шпионского ПО (48%) и увеличение интереса к банковским троянам (19%, на 8 п. п. больше по сравнению с предыдущим кварталом). По данным центра мониторинга киберугроз компании Cyble, с октября активизировалась кампания по распространению модифицированной версии известного банковского трояна Cerberus, код которого был обфусцирован для сокрытия от обнаружения. Вредоносное ПО маскировалось под установочный файл Google Play Store. Банковские трояны нередко маскируются под легитимные приложения. Так, в декабре вирусные аналитики Dr.Web выявили новые версии банковского трояна NGate, нацеленные на российских пользователей. Этот троян передает данные с NFC-чипа скомпрометированного устройства, позволяя злоумышленнику снимать деньги со счетов жертвы в банкоматах без участия самого пользователя. Вредоносное ПО скачивается в виде APK-файла по ссылке от злоумышленников и замаскировано под приложения портала Госуслуг или популярных российских банков.

Доли ВПО для удаленного доступа в успешных атаках на организации и на частных лиц в IV квартале 2024 года снизились на 6 п. п. по сравнению с предыдущим кварталом и составили 38% и 29% соответственно. Аналогичную тенденцию наблюдали исследователи Any.Run, по их оценкам общее число зафиксированных обнаружений троянов удаленного доступа по итогам рассматриваемого периода снизилось на 10,8%. Такое снижение мы считаем временным и связываем с возможными изменениями в стратегии и инструментах киберпреступников. Вместе с тем ВПО для удаленного доступа сохраняет высокие позиции по итогам 2024 года, а IV квартал показывает рост на 6 п. п. в сравнении с I кварталом 2024 года и на 16 п. п. по сравнению с IV кварталом 2023-го.

В рассматриваемый период мы наблюдали появление обновленных троянов удаленного доступа (RAT), использующих сложные методы обхода защиты. Так, злоумышленники модифицировали Remcos RAT, внедрив в него несколько уровней маскировки с использованием JavaScript, VBScript и PowerShell, чтобы избежать обнаружения средствами защиты. Еще один крайне популярный троян удаленного доступа AsyncRAT в последнем квартале 2024 года использовал сложную цепочку заражения, атака начиналась с текстового файла, в котором скрывался зашифрованный скрипт VBS, запускавший цепочку вредоносных команд, скрывающих следы заражения. Кроме того, центр анализа угроз AhnLab (ASEC) выявил новый способ доставки AsyncRAT через файлы формата SVG. Вредоносный файл направлялся по электронной почте и при его открытии пользователям предлагалось скачать PDF-документ, который незаметно загружал AsyncRAT в скомпрометированную систему. Опасности подверглись и разработчики: вредоносный пакет npm, замаскированный под инструмент для обнаружения уязвимостей в смарт-контрактах Ethereum, на самом деле устанавливал на устройства Quasar RAT. Вредоносный пакет, опубликованный 18 декабря 2024 года, при установке получал скрипт с удаленного сервера и незаметно выполнял его для развертывания RAT в системах Windows.

В IV квартале 2024 года мы наблюдали увеличение доли шпионского ПО в успешных атаках на организации на 4 п. п. по сравнению с предыдущим кварталом. Шпионское ПО при атаках на частных лиц, как мы уже отметили ранее, также не сдает позиции (48%) и лидирует среди других типов ВПО.

В атаках на российские организации злоумышленники часто использовали широко известные инфостилеры. Так, в середине ноября эксперты PT Expert Security Center Threat Intelligence зафиксировали кампанию по распространению Lumma Stealer и NetSupport RAT. Злоумышленники направляли фишинговые письма в организации с вложенными файлами форматов LNK и DOCX, при открытии которых происходила загрузка вредоносных программ из GitHub-репозитория киберпреступников или с их С2-сервера. Кроме того, в IV квартале была зафиксирована новая волна фишинговой кампании с использованием кейлоггера Snake на российские организации из сферы промышленности, сельского хозяйства и энергетики. Snake умеет перехватывать нажатия клавиш, создавать скриншоты, собирать данные из буфера обмена, а также красть учетные данные из популярных браузеров и почтовых клиентов. Злоумышленники рассылают фишинговые письма в целевые организации с поддельных или скомпрометированных адресов российских и зарубежных компаний. К письму прикладывается архив формата .bz, который содержит исполняемый файл .exe, отвечающий за доставку и установку ВПО в системе жертвы.

Оба инфостилера являются на данный момент одними из наиболее популярных у злоумышленников и выступают также основой для создания новых штаммов шпионского ПО. В IV квартале в атаках и на частных лиц, и на организации были замечены новые вредоносные программы — LummApp и Nova. Первое ВПО использует компоненты LummaStealer и предназначено для скрытой установки вредоносных расширений в браузер, для кражи данных. А второе является модификацией Snake с использованием протектора на базе AutoIt для усложнения детектирования средствами защиты.

Кроме того, атакующие нередко модернизируют вредоносные программы более узкого назначения, которые хорошо себя зарекомендовали в прошлом. Так, по данным PT Expert Security Center, в ходе атак на российские организации была замечена модификация известного вредоносного модуля Owowa, который нацелен на веб-серверы Microsoft IIS, работающие с Outlook Web Access (OWA), и позволяет злоумышленникам красть учетные данные пользователей Exchange. После того как атакующие проникают в инфраструктуру и находят почтовый сервер, они интегрируют вредоносную DLL-библиотеку Owowa в процесс целевого IIS-сервера, что усложняет обнаружение средствами защиты. Далее злоумышленники прослушивают веб-аутентификацию пользователей OWA, извлекая учетные данные через HTTP-запросы. В обновленной версии Owowa запись скомпрометированных учетных данных осуществляется в оперативную память сервера (с использованием структуры данных HashSet) вместо записи в журнал файловой системы. Такие изменения были внедрены с целью минимизации цифрового следа, обхода EDR-систем и оптимизации операций чтения и записи украденных данных.

В IV квартале 2024 года мы наблюдали рост активности ботнетов, успешно атакующих сетевое оборудование, IoT-устройства и веб-серверы. Скомпрометированные устройства и ресурсы затем используются для проведения DDoS-атак, майнинга криптовалюты, а также в целях кибершпионажа. По данным Cloudflare, в IV квартале 2024 года была зафиксирована самая масштабная из когда-либо зарегистрированных DDoS-атак мощностью 5,6 Тбит/с.

В качестве вектора первоначального доступа ботнеты используют непропатченные уязвимости в устройствах и ПО, а также методом подбора находят слабые пароли или пароли по умолчанию. Например, ботнет Ficora проявлял всплеск активности в октябре и ноябре в отношении популярных моделей маршрутизаторов D-Link, используемых организациями и частными лицами. Для первоначального доступа ботнет использует давно известные эксплойты уязвимостей, таких как CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 и CVE-2024-33112. Другой ботнет, Androxgh0st, активно использует уязвимости в веб-серверах Atlassian JIRA, GeoServer (CVE-2024-36401), Laravel и административных панелях сайтов на WordPress, чтобы проникать в критически значимые инфраструктуры. Еще один ботнет, Gafgyt, был нацелен на общедоступные неправильно настроенные серверы Docker Remote API. Злоумышленники создавали контейнер Docker на основе легитимного образа Docker, Alpine, и запускали в нем вредоносное ПО.

Помимо этого, злоумышленники прибегают к эксплуатации уязвимостей, не имеющих официальных обновлений от производителя и зарегистрированного идентификатора CVE. Так, новый ботнет Hail Cock на базе Mirai с ноября 2024 года активно эксплуатировал RCE-уязвимость в видеорегистраторах DigiEver DS-2105 Pro. Известно, что эксплуатируемая уязвимость была раскрыта исследователем на конференции по безопасности DefCamp в Бухаресте еще в 2023 году, но так и не получила номер и, по-видимому, не была устранена.

Одной из наиболее активных угроз для сетевого оборудования и IoT-устройств на текущий момент является XorBot, имеющий в своем арсенале по меньшей мере 12 эксплойтов для уязвимых устройств нескольких производителей. В последнее время это семейство вредоносного ПО является очень активным, а его скрипты демонстрируют совместимость с различными архитектурами ЦП, включая MIPS, PowerPC, ARM и x86_64. IoT-устройства, используемые частными лицами, также становятся объектами атак злоумышленников. В декабре 2024 года специализирующийся на устройствах Android ботнет BadBox разросся более чем до 192 000 устройств по всему миру, несмотря на недавнюю операцию по его уничтожению. По данным исследования BitSight Technologies, BadBox заражает устройства через атаки на цепочки поставок на этапе производства или непосредственно после него, однако точный вектор заражения остается неизвестным.

Центр мониторинга информационной безопасности AhnLab (ASEC) и центр мониторинга информационной безопасности Symantec во второй половине 2024 года независимо друг от друга выявили значительный рост распространения вредоносных программ, упакованных в скрипты AutoIt. AutoIt — это язык программирования, разработанный для автоматизации задач в Windows и позволяющий создавать исполняемые файлы .exe. AutoIt имеет меньше зависимостей от конфигурации и среды выполнения и не требует установки дополнительных библиотек, что делает его более простым в использовании по сравнению с разработкой в среде .NET. Выявленный тренд продолжал иметь место и в IV квартале 2024 года и показал некоторое снижение только в декабре. В течение IV квартала 2024 года были выявлены случаи использования AutoIt в цепочке атак по распространению вредоносного ПО DarkGate и Snake. А кроме того, как мы уже упоминали ранее, было обнаружено новое ВПО Nova, модификация кейлоггера Snake, которое для защиты от обнаружения использует протектор, написанный на AutoIt.

На протяжении всего 2024 года мы наблюдали, как злоумышленникам удается совершенствовать свои техники и инструменты, применяя технологии искусственного интеллекта, — и последний квартал не стал исключением.

Уже не первый квартал мы наблюдаем активное применение постоянно совершенствующихся платформ phishing as a service (PHaaS)³. Чтобы фишинговые страницы дошли до конечного пользователя, киберпреступникам приходится придумывать способы эффективного обхода фильтров обнаружения вредоносной активности в антивирусных средствах, а также обхода фильтров, встроенных в современные браузеры. Так, на теневых форумах появились новые антибот-сервисы, которые помогают фишинговым страницам обходить защитные механизмы Google Safe Browsing. Сервисы Otus Anti-Bot, Remove Red и Limitless Anti-Bot предлагают злоумышленникам необходимые функции и обеспечивают вредоносным сайтам возможность дольше оставаться незамеченными и активными. Среди представленных сервисов стоит выделить Limitless Anti-Bot, который использует технологии искусственного интеллекта и фильтрации трафика на основе данных о геолокации и провайдерах интернета. Сервисы способны отличать настоящих пользователей от автоматических сканеров, снижая риск обнаружения фишинговых ресурсов.

На фоне развития технологий искусственного интеллекта появляются новые инструменты, которые автоматизируют и ускоряют процесс поиска уязвимых устройств и эксплуатации уязвимостей. К примеру, в IV квартале 2024 года на GitHub был опубликован исследовательский проект Burpference — расширение для Burp Suite, которое собирает все in-scope ссылки из истории HTTP-запросов и отправляет их в удаленный API LLM в формате JSON — для автоматизации поиска уязвимостей в анализируемых ресурсах. Применение таких инструментов позволит атакующим ускорить выявление уязвимостей и сократить время от обнаружения уязвимости до ее эксплуатации.

В конце IV квартала 2024 года новая группировка вымогателей FunkSec стремительно ворвалась на киберпреступную арену и взяла на себя ответственность за атаки более чем на 80 жертв. По данным исследования Check Point, члены группировки FunkSec имеют низкую квалификацию, но компенсируют это тем, что свой вариант шифровальщика на языке Rust, вероятно, создали с помощью ИИ. Группировка требует низкие суммы выкупа, в некоторых случаях до 10 тыс. долл., и проявляет склонность к хактивизму. Однако в январе 2025 года FunkSec объявили, что готовится обновленная версия шифровальщика, которая будет распространяться по подписке (ransomware as a service, RaaS). Кроме того, группировка планирует организовать курсы для обучения новоиспеченных хакеров методам эксплуатации уязвимостей и техникам фишинга. После этих обновлений размер выкупа за расшифровку данных увеличится до 1 млн долл. Кроме того, группировка объявила об аукционе, где планирует продавать различные инструменты и украденные базы данных.

В IV квартале 2024 года мы наблюдали как финансово мотивированные злоумышленники и APT-группировки проводят успешные атаки на цепочки поставок. Так, в рассматриваемый период киберпреступники взломали репозиторий Python-библиотеки Ultralytics, широко используемой в задачах компьютерного зрения, и разместили на PyPI вредоносные версии библиотеки, предназначенные для майнинга криптовалюты. Получить доступ к публикации кода от имени разработчика удалось за счет выявленной уязвимости в написанных обработчиках действий в GitHub Actions. Уязвимость заключалась в возможности форматировать код проекта через pull-запросы. Разработчики оперативно устранили проблему и выпустили обновление, однако спустя два дня злоумышленники вновь опубликовали вредоносные версии, включающие другой код. Точное число скомпрометированных пользователей остается неизвестным, тем не менее инцидент подчеркивает важность внедрения процессов безопасной разработки на всех этапах жизненного цикла любого программного продукта.

В последний квартал года, как правило, происходит рост числа атак на веб-ресурсы компаний в сфере ритейла и e-commerce. Злоумышленники взламывают слабозащищенные сайты на базе WordPress, WooCommerce и «1С-Битрикс» с целью внедрить веб-скиммеры для кражи данных банковских карт клиентов. Однако в 2024 году злоумышленники реализовали более изощренную схему, взломав приложение FreshClick, используемое SaaS-платформой электронной коммерции BigCommerce. Неизвестный злоумышленник внедрил в приложение FreshClick вредоносный код, предназначенный для сбора данных кредитных карт. Неизвестно точное число ритейл-компаний, пострадавших в результате этой атаки, однако как минимум одна компания, производитель аксессуаров для бытовой электроники ZAGG, подала официальное уведомление о компрометации данных кредитных карт покупателей, оформивших заказы в период с 26 октября по 7 ноября.

Более масштабная атака на цепочку поставок в конце 2024 года привела ко взлому 35 расширений для Google Chrome и внедрению в них вредоносного кода для кражи учетных данных пользователей. Злоумышленники направляют разработчикам расширений фишинговое электронное письмо, которое выглядит так, будто оно пришло от Google. В письме утверждается, что расширение нарушает правила Chrome Web Store и может быть удалено. Разработчику предлагается перейти по ссылке якобы для принятия политики Chrome Web Store, а на деле он предоставляет сторонним приложениям разрешение на доступ к ресурсам его учетной записи Google. Первой об этом сообщила компания Cyberhaven, производитель решений по кибербезопасности, расширение которой тоже было скомпрометировано.

При планировании атаки злоумышленники использовали инструмент GoIssue, который позволяет автоматически извлекать адреса электронной почты из профилей GitHub и массово рассылать письма непосредственно на почтовые ящики разработчиков. В ходе расследования было установлено, что злоумышленники были нацелены на получение учетных данных от аккаунтов Facebook. Встроенный в расширение вредоносный код добавил прослушиватель событий щелчка мыши, предназначенный специально для взаимодействия жертвы с Facebook, и искал изображения QR-кодов, связанные с двухфакторной аутентификацией или механизмами CAPTCHA. Злоумышленники атаковали бизнес-аккаунты Facebook для того, чтобы совершать прямые платежи с кредитных карт жертв, распространять дезинформацию или монетизировать доступ к аккаунту, продавая его другим пользователям.

В IV квартале 2024 года мы наблюдали рост числа успешных атак на телекоммуникационные компании, их доля составила 6% среди всех успешных атак на организации и показала рост на 2 п. п. в сравнении с III кварталом. В атаках на телекоммуникации были замечены APT-группировки, финансово мотивированные киберпреступники и группировки хактивистов.

Телеком аккумулирует огромные объемы данных об абонентах, частных и юридических лиц, в том числе записи телефонных звонков; успешные атаки на провайдеров связи могут приводить к крупным утечкам и серьезным последствиям. К примеру, в декабре 2024 года государственная компания Намибии Telecom Namibia стала жертвой атаки программы-вымогателя Hunters International, в результате чего произошла утечка конфиденциальных данных клиентов объемом более 600 ГБ, включая персональные и финансовые данные. По данным новостного сайта The Namibian, в список пострадавших клиентов входят по меньшей мере восемь министерств республики, пять региональных советов и десять муниципальных органов власти, а также корпоративные клиенты, такие как Qatar Airways, Ethiopian Airlines.

Среди наиболее громких инцидентов рассматриваемого периода необходимо отметить продолжительную кампанию кибершпионажа в отношении ряда крупнейших телеком-провайдеров США, которая, предположительно, началась еще в начале 2024 года и продолжалась вплоть до президентских выборов в ноябре. Киберпреступникам удалось проникнуть в инфраструктуру по меньшей мере восьми крупных провайдеров, среди которых AT&T, Lumen Technologies, T-Mobile и Verizon. В результате кибератаки были скомпрометированы системы, используемые федеральным правительством США для санкционированной судом сетевой прослушки. Конечной целью, вероятно, являлась компрометация устройств кандидатов в президенты и других участников президентской кампании. В результате расследования было обнаружено, что киберпреступники проникли в сети телекоммуникационных компаний по всей стране путем эксплуатации уязвимостей устаревшего сетевого оборудования и из-за отсутствия механизмов двухфакторной аутентификации. За этой крупномасштабной кампанией, предположительно, стоит APT-группировка Salt Typhoon, которая, по данным Trend Micro, использует в своих атаках вредоносное ПО для удаленного доступа GhostSpider, Masol RAT и модульный бэкдор SnappyBee, а также руткит Demodex. Среди эксплуатируемых уязвимостей были отмечены CVE-2023-46805 и CVE-2024-21887 (Ivanti Connect Secure VPN), CVE-2023-48788 (Fortinet FortiClient EMS), CVE-2022-3236 (межсетевые экраны Sophos), CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 (Microsoft Exchange, ProxyLogon).

Российские телекоммуникационные компании также подвергались кибератакам в рассматриваемый период. К примеру, эксперты PT Expert Security Center выявили активную кампанию социальной инженерии Gapucino (GOFFEE), в ходе которой сотрудникам организаций из ряда отраслей, включая операторов связи и их подрядчиков, направлялись электронные письма с документами Microsoft Word, содержащими вредоносные макросы. 

Телеком-операторы предоставляют услуги связи организациям из ключевых отраслей — государственным, промышленным, финансовым. Операторы могут предоставлять свое оборудование корпоративным клиентам и иметь удаленный доступ к управлению им, поддерживая канал связи между инфраструктурами. Такая тесная интеграция делает телекоммуникационные компании привлекательными для киберпреступников, поскольку с получением доступа к инфраструктуре провайдера они могут совершить атаки на клиентов. Это подчеркивает актуальность угрозы атак на организации путем компрометации доверенных каналов связи (trusted relationship compromise).

По итогам анализа актуальных киберугроз конца 2024 года, а также на основе сведений о недавно выявленных уязвимостях, вредоносном ПО, о предоставлении широкого доступа к появляющимся информационным технологиям и на основе иных данных мы предполагаем, что в первом полугодии 2025 года будут наблюдаться следующие тенденции:

• Помимо атак с использованием документов Microsoft Word актуальную угрозу для организаций также представляют фишинговые атаки с вложенными архивами, 7-Zip и других форматов. Описанная в исследовании техника повреждения документа с дальнейшим извлечением вредоносной нагрузки при его восстановлении применима не только к Microsoft Word, но также и к архивам. Кроме того, в IV квартале 2024 года исследователи Perception Point сообщили о новом методе объединения ZIP-файлов для доставки вредоносных программ, который позволяет избежать обнаружения средствами защиты. Этот метод наравне с повреждением архива, вероятно, будет применяться злоумышленниками и далее. Помимо этого, в первом полугодии 2025 года злоумышленники будут нацелены на эксплуатацию недавно раскрытой уязвимости CVE-2025-0411 (оценка 7,0 по CVSS), которая позволяет злоумышленнику обойти механизм защиты Mark of the Web в уязвимых версиях 7-Zip и выполнить произвольный код с правами текущего пользователя, если пользователь перейдет на вредоносную страницу или откроет файл.
• Мы наблюдаем продолжительное развитие инструментов и техник злоумышленников, направленных на компрометацию учетных данных и процессов двухфакторной аутентификации. Эта тенденция проявляется в активном развитии PHaaS-платформ и в сложных кампаниях целевого фишинга с подделкой корпоративных веб-сервисов. К примеру, в конце октября 2024 года аналитики EclecticIQ выявили фишинговую кампанию, нацеленную на телеком- и финансовый секторы в США и Канаде. Фишинговые страницы имитировали процесс многофакторной аутентификации при входе в веб-почту Telstra для привлечения сотрудников компании AT&T. В перспективе всего 2025 года злоумышленники, вероятно, продолжат совершенствовать атаки на системы многофакторной аутентификации.
• Мы предполагаем, что в первом полугодии 2025 года злоумышленники продолжат использовать фишинговую схему с поддельной CAPTCHA, а также схему ClickFix, которая была популярна в III квартале 2024 года. На протяжении IV квартала 2024 года мы неоднократно встречали публикации о подобных кампаниях и встречаем их в начале 2025 года, что в конечном итоге должно привести к информированию целевой аудитории о мерах предосторожности.
• В IV квартале 2024 года шпионское ПО показало рост в успешных кибератаках на организации и чаще всего доставлялось посредством социальной инженерии. Злоумышленники прибегают к такой тактике для кражи учетных данных и дальнейшего развития атаки из-под легитимных учетных записей. К примеру, крупный американский ритейлер Hot Topic и связанные с ним бренды Box Lunch и Torrid столкнулись с утечкой персональных данных по меньшей мере 54 млн клиентов. В ходе расследования было установлено, что один из компьютеров в сети компании был заражен инфостилером. На скомпрометированном устройстве сотрудника исследователи обнаружили учетные записи, связанные с корпоративными системами Hot Topic и Torrid в Snowflake и Looker (Google Cloud). В атаках на частных лиц шпионское ПО успешно доставлялось за счет фишинговой кампании поддельных CAPTCHA и множественных атак типа SEO poisoning⁴ и malvertising⁵. В первом полугодии 2025 года мы ожидаем, что известные и наиболее популярные штаммы шпионского ПО продолжат активно применяться в атаках как на организации, так и на частных лиц. Стратегии развития шпионского ПО, как и других типов ВПО, будут направлены на уменьшение цифрового следа и улучшение функций компрометации MFA. В перспективе 2025 года мы ожидаем появления и активного использования в атаках нового типа инфостилеров — server side stealers, задачей которых станет обеспечить новую эффективность незаметной кражи данных из инфраструктуры.
• Атаки, нацеленные на компрометацию цепочек поставок ПО, стали серьезной угрозой безопасности для организаций и доказывали свою эффективность на протяжении всего 2024 года. Злоумышленники успешно эксплуатируют уязвимости, применяют сложные схемы социальной инженерии, а также используют инструменты автоматизации для поиска учетных данных и токенов аутентификации в открытых репозиториях кода. Такие атаки подчеркивают слабые места в существующих процессах разработки и доставки ПО, которым необходимо уделить повышенное внимание. Мы ожидаем, что APT-группировки, как и финансово мотивированные злоумышленники, продолжат искать возможности для совершения атак на цепочки поставок и будут совершенствовать свои инструменты. На фоне роста атак на телекоммуникации мы ожидаем возможного роста числа инцидентов, связанных с компрометацией доверенных каналов связи.
• В перспективе первых кварталов 2025 года мы предполагаем, что ботнеты сохранят повышенную активность. Как показывает практика, в сети находится огромное число уязвимых устройств и интерфейсов, на которые не были установлены обновления безопасности или для которых были указаны небезопасные конфигурации. Такие устройства и интерфейсы подвержены автоматизированному поиску и эксплуатации уязвимостей, особенно с учетом постоянного развития инструментов атакующих. Кроме того, по итогам IV квартала 2024 года и января 2025 года мы наблюдаем активное объединение известных группировок хактивистов в альянсы.
• Мы наблюдаем, как усложняются цепочки заражения вредоносным ПО, этот тренд характерен и для троянов удаленного доступа. Злоумышленники продолжат совершенствовать существующие версии популярных инструментов для защиты от обнаружения и применять их в сочетании с техниками BYOVD⁶, позволяющими злоумышленникам отключать журналирование в EDR-системах и оставаться незамеченными.
• Операторы шифровальщиков продолжат применять социальную инженерию и эксплуатировать уязвимости. Вместе с тем на фоне многочисленных утечек учетных данных многие киберпреступники, в том числе операторы шифровальщиков, вероятно, будут совершать попытки доступа в инфраструктуры с использованием скомпрометированных учетных данных или токенов аутентификации. К примеру, по данным аналитиков компании Halcyon, специализирующейся на изучении и предотвращении атак программ-вымогателей, в конце IV квартала 2024 года несколько организаций, использующих облачную инфраструктуру Amazon S3, были скомпрометированы за счет публично раскрытых ключей с разрешениями на запись и чтение объектов в хранилище. В результате корзины S3 были зашифрованы симметричным алгоритмом AES-256 и не могут быть восстановлены без получения ключа для их расшифровки. Мы также ожидаем, что в перспективе всего 2025 года группировка вымогателей FunkSec будет активно атаковать организации в разных странах мира и собирать вокруг себя начинающих хакеров. Модель RaaS позволит группировке конкурировать с более опытными группировками.

Эксплуатация уязвимостей продолжает оставаться одним из самых эффективных методов атак на организации (она использовалась в 32% успешных атак). Перечислим наиболее заметные уязвимости, которые активно эксплуатировались в IV квартале:

• CVE-2024-9680. Уязвимость, получившая оценку 9,8 баллов по шкале CVSS 3.1, связана с ошибкой типа use after free⁷ в анимации и позволяет выполнить произвольный код в ограниченном контексте (песочнице) Mozilla Firefox. Сочетание с уязвимостью в Microsoft Windows (CVE-2024-49039, 8,8 по CVSS 3.1) позволяет выйти за пределы песочницы браузера и выполнять код с правами текущего пользователя. APT-группировка RomCom использовала эти две уязвимости в недавних атаках в качестве эксплойта нулевого дня, который помог ей получить удаленный доступ к выполнению кода без взаимодействия с пользователем. Жертвам достаточно было посетить контролируемый злоумышленниками вредоносный сайт, который загружал и запускал RomCom RAT на скомпрометированном устройстве.
• CVE-2024-51567, CVE-2024-51568, CVE-2024-51378. Сразу три критически опасных уязвимости, связанных с возможностью удаленного выполнения кода (RCE), с оценкой 9,8 баллов по шкале CVSS 3.1 были обнаружены в программном обеспечении CyberPanel версий 2.3.6 и 2.3.7, которое представляет собой бесплатный хостинг-сервис для управления сайтами. Уязвимые экземпляры CyberPanel управляли более чем 152 тыс. доменов и баз данных. В течение нескольких дней после выпуска обновления безопасности число уязвимых экземпляров в сети значительно сократилось, однако киберпреступники все равно успели ими воспользоваться. Компания LeakIX сообщила, что злоумышленники массово использовали уязвимые серверы CyberPanel для установки программы-вымогателя PSAUX.
• CVE-2024-0012, CVE-2024-9474. Две активно эксплуатируемые уязвимости в интерфейсе межсетевого экрана Expedition от Palo Alto Networks с оценкой 9,3 и 6,9 по CVSS 4.0 соответственно, позволяют злоумышленнику без аутентификации получить права суперпользователя и удаленно загрузить код или выполнять команды на скомпрометированных устройствах. В результате эксплуатации этих двух уязвимостей в достаточно краткие сроки было взломано более 2000 устройств по всему миру. Межсетевые экраны Expedition оказались подвержены и другим уязвимостям, которые также активно эксплуатировались киберпреступниками в IV квартале 2024 года: это уязвимость, позволяющая внедрять команды ОС (CVE-2024-9463, оценка 9,9) и уязвимость, позволяющая внедрять SQL-код (CVE-2024-9465, оценка 9,2).
• CVE-2024-55956, CVE-2024-50623. Пара критически опасных уязвимостей, получивших оценку 9,8 баллов по CVSS 3.1, была обнаружена в продуктах Cleo Harmony, VLTrader и LexiCom, применяемых для безопасной передачи данных. Уязвимость CVE-2024-55956 позволяет без аутентификации импортировать и выполнять произвольные команды Bash или PowerShell в системе, используя параметры каталога автозапуска по умолчанию, а уязвимость CVE-2024-50623 дополняет первую возможностями неограниченной загрузки и выгрузки файлов с скомпрометированных устройств. Эти уязвимости в программных решениях для безопасной передачи данных Cleo были быстро взяты на вооружение группировкой программ-вымогателей Clop, и к завершению IV квартала группировка заявила о 66 неназванных жертвах, которые были успешно скомпрометированы. Воспользовавшись уязвимостями, злоумышленники загрузили бэкдор Malichus написанный на Java, который позволяет красть данные, выполнять команды и получать дальнейший доступ к взломанной сети.

С расширенным списком наиболее популярных уязвимостей можно ознакомиться в ежемесячном дайджесте на нашем сайте.

Успешные кибератаки в IV квартале минувшего года имели различные последствия, которые затронули как отдельных пользователей, так и организации, и даже целые регионы. Как и весь год, преступники сосредоточивали свое внимание на краже конфиденциальной информации (53% успешных атак) и нарушении основной деятельности предприятий (32%). В атаках на частных лиц утечка информации продолжает оставаться основным последствием (55%), при этом значительно увеличилась доля атак, завершившихся прямыми финансовыми потерями (48%), что соответствует тенденции, которую мы наблюдали год назад.

Атаки в IV квартале, которые повлекли за собой негативные последствия и вызвали большой резонанс:

• В начале октября кибератака вымогателей вывела из строя государственный ЦОД индийского штата Уттаракханд. Атака произошла 2 октября, в день государственного праздника Ганди джаянти (день рождения Махатмы Ганди). Кибератака привела к отключению 192 правительственных веб-порталов и других сайтов, включая официальный сайт полиции и сайт Агентства по развитию информационных технологий, которое в правительстве штата отвечает за ИТ и кибербезопасность. Атака также нарушила работу глобальной вычислительной сети, которая обеспечивает инфраструктуру для связи министерств, департаментов и местных органов власти по всему штату, поддерживает электронную передачу конфиденциальных данных и платежей. Отключенные ресурсы удалось восстановить только спустя несколько дней.
• Бесплатный онлайн-архив The Wayback Machine некоммерческой организации Internet Archive подвергся нескольким последовательным кибератакам в октябре. Инцидент начался с компрометации злоумышленниками открытых токенов аутентификации GitLab и кражи базы данных аутентификации пользователей, содержащей 31 млн уникальных записей, включая хешированные пароли. Спустя неделю Internet Archive снова подвергся атаке, на этот раз на платформу поддержки электронной почты Zendesk, которая произошла из-за отсутствия своевременных мер по замене ключей API, которые были раскрыты ранее в результате компрометации GitLab. Злоумышленник разослал всем пользователям Internet Archive письма о том, что организация не исправила проблемы безопасности и что в руках злоумышленника находится более 800 тыс. обращений в техподдержку Internet Archive. В результате этой атаки сервисы The Wayback Machine и Archive-It несколько дней были недоступны, а затем были восстановлены только в режиме чтения без возобновления функции создания архивных копий нового контента. Это событие могло повлиять на деятельность многих аналитиков, исследователей, журналистов, государственных библиотек, поскольку отслеживать изменения на сайтах стало невозможно. К середине ноября появилось обновление на официальном сайте Internet Archive с информацией, что сервисы постепенно восстанавливаются.
• Ведущий поставщик технологических решений для транспортной и логистической отрасли по всему миру Microlise подвергся кибератаке в конце октября 2024 года. Microlise предоставляет услуги по модели SaaS, по этой причине выход из строя их систем привел к нарушениям в работе сервисов отслеживания доставки. Сильнее всего последствия отразились на компании Serco, которая обеспечивает транспортировку заключенных по контракту с Министерством юстиции Великобритании. Сбой в системе Microlise привел к тому, что устройства отслеживания и тревожные кнопки в транспортных средствах Serco были выведены из строя. В результате системы слежения за заключенными не функционировали на протяжении нескольких дней. Компания Microlise впервые сообщила о взломе 31 октября, после чего цена акций компании упала на 16%. За совершение атаки взяла на себя ответственность новая группировка вымогателей SafePay, которая также заявила о краже 1,2 ТБ конфиденциальных данных.
• Крупная торговая группа Fourlis в ноябре 2024 года подверглась кибератаке неназванной программы-вымогателя, что повлияло на деятельность компаний группы в Греции, на Кипре, в Болгарии и Румынии, в частности на работу IKEA и Intersport. Инцидент вызвал значительные сбои в центральной инфраструктуре, к которой подключены компании группы Fourlis. Вышли из строя интернет-магазины IKEA в нескольких странах, и клиенты могли совершать покупки только в офлайн-магазинах. Атака произошла всего за несколько дней до «черной пятницы», нанеся серьезный удар по компании.
   

В успешных атаках на организации, повлекших утечки конфиденциальной информации, преступники чаще были нацелены на персональные данные (29% атак), учетные данные (26%) и коммерческую тайну (20%). В атаках на частных лиц целью злоумышленников чаще всего становились учетные данные (47%), персональные данные (22%) и данные платежных карт (12%).

Во многом благодаря развитию сервисов PHaaS и активному внедрению инфостилеров злоумышленникам удается успешно красть учетные данные как сотрудников организаций, так и частных лиц. Так, в IV квартале 2024 года доля утечек учетных данных из организаций показала рост на 4 п. п. в сравнении с предыдущим кварталом и на 16 п. п. в сравнении с аналогичным периодом прошлого года. В успешных атаках на частных лиц по итогам IV квартала 2024 доля учетных данных составила 47% (прирост 18 п. п. по сравнению с предыдущим кварталом и 20 п. п. в сравнении с аналогичным периодом прошлого года).

• Free, второй по величине интернет-провайдер во Франции, подтвердил, что в октябре 2024 года произошла кибератака на его системы и были похищены личные данные 19,2 млн клиентов (это около трети населения всей Франции), в том числе 5,11 млн номеров IBAN. Украденная база данных была выставлена злоумышленником на продажу на одном из теневых форумов. Спустя всего несколько недель после этого инцидента началась волна мошеннических атак, нацеленных на абонентов оператора связи. Мошенники звонили лицам, чьи данные были скомпрометированы, и убеждали их установить вредоносное ПО или напрямую сообщить одноразовый код, полученный по SMS, что в результате могло привести к краже денежных средств со счетов абонентов.
• Медицинская клиника Center for Vein Restoration, расположенная в американском штате Мэриленд, подверглась кибератаке, которая привела к серьезной утечке медицинских данных более чем 445 тыс. человек. Подозрительная активность в информационных системах клиники была обнаружена 6 октября. В результате действий злоумышленников были похищены такие конфиденциальные сведения, как имена пациентов, их адреса, даты рождения, номера социального страхования и водительских удостоверений, медицинские карты, диагнозы, результаты исследований, информация о лечении и страховых полисах, а также финансовые данные. Кроме того, пострадали сотрудники клиники, чьи трудовые договоры также оказались в распоряжении злоумышленников.
• Interbank, одно из ведущих финансовых учреждений Перу, подтвердило утечку данных после того, как злоумышленник, взломавший его системы, опубликовал украденные данные в интернете. Злоумышленники утверждают, что им удалось украсть полные имена клиентов Interbank, идентификаторы учетных записей, даты рождения, адреса, номера телефонов, адреса электронной почты и IP-адреса, а также номера кредитных карт и CVV, сроки действия кредитных карт, информацию о банковских транзакциях и другую конфиденциальную информацию, включая учетные данные в открытом виде. Точное число пострадавших в результате кибератаки на данный момент остается неизвестным.
• По данным компании DLBI, в открытый доступ были выложены данные клиентов сети быстрого питания Burger King. Утечка данных произошла в результате кибератаки на подрядчика Burger King, платформу автоматизации маркетинга Mindbox. Компания Mindbox подтвердила, что в августе был зафиксирован несанкционированный доступ третьих лиц к журналам в административной панели нескольких клиентов. Всего хакеры опубликовали более 5,6 млн строк, в которых было 4,8 млн уникальных номеров телефона и 3,1 млн уникальных адресов электронной почты. Данные содержали имена, телефоны, адреса электронной почты, даты рождения, пол, город, наименование любимого блюда, дату заказа.
• В последний месяц минувшего года Региональное агентство по управлению доходами, финансами и активами округа Блора в Индонезии подверглось кибератаке. В результате злоумышленники получили доступ к 82 ГБ конфиденциальных данных из Региональной информационной системы финансового управления. Атакующим, предположительно, удалось похитить данные за период с 2018 года по настоящее время, в число которых входят пользовательские данные, включая имена пользователей, хешированные пароли и адреса электронной почты сотрудников. Кроме того, были скомпрометированы сведения о финансовых операциях, бюджетных ассигнованиях и расходах регионального правительства, похищены данные налогоплательщиков, включая их имена, идентификационные номера и записи об уплате налогов.