Хакеры против компаний и людей: тренды и прогнозы

Итоги прошедшего года демонстрируют изменение ландшафта киберугроз. Так, например, все чаще в фокусе внимания киберпреступников оказываются ИТ-компании. Это связано в том числе с увеличением числа атак, в которых злоумышленники проникают в инфраструктуру жертвы через ее подрядчиков. Новые геополитические конфликты порождают еще больше хактивистких активностей, при этом их последствия становятся все серьезнее. Тем временем повышается скорость и качество атак за счет модификации инструментария и использования новых технологий.

В 2024 году мы отмечаем рост доли использования ВПО в атаках на организации. При этом в атаках на российские компании рост интенсивнее: за первые три квартала доля применения достигла 62%, что на 8 процентных пунктов больше показателей прошлого года. Основным типом ВПО в мире остаются шифровальщики, однако их используют все меньше: по сравнению с 2023 годом доля шифровальщиков упала на 15 п. п. — до 42%. Это среди прочего связано с тем, что злоумышленники чаще стали использовать ВПО для удаленного управления — этот тренд мы отметили уже в первом квартале 2024 года. При этом все реже злоумышленники разрабатывают уникальное ВПО, а вместо этого применяют хорошо известные постэксплуатационные фреймворки, утилиты для туннелирования и стилеры.

Кроме того, в 2024-м все чаще организации в России сталкивались с нарушением основной деятельности в результате кибератак. В течение последнего года наши IR-специалисты отмечали деструктивное воздействие на бизнес-процессы в 50% проектов по расследованию (для сравнения, в 2021–2023 годах доля составляла 32%). Это связано с активностью хактивистов и финансово мотивированных вымогателей.

Трендом этого года стало увеличение доли атак на ИТ-компании: каждая десятая успешная атака на организации пришлась на них, тем самым сделав эту отрасль второй по доле успешных атак (в прошлом году она занимала пятую позицию) после государственных организаций. Это мы видим и в России: по результатам расследований в 2024 году выросла доля обращений от ИТ-компаний за услугами команды Incident Response — с 8% до 13%. Это связано среди прочего с ростом количества trusted-relationship-атак — ИТ-компании атакуют для компрометации организаций других отраслей.

В первую очередь организации столкнутся с угрозами применения таких новых технологий, как квантовые вычисления и ИИ. Кроме того, мы предполагаем, что в ближайшем будущем появятся новые виды сервисов, позволяющие проводить кибератаки буквально в один клик. 

Еще одним возможным вариантом может стать развитие EaaS (exploit as a service). Как известно, стоимость уязвимостей нулевого дня может доходить до миллионов долларов, но не у всех злоумышленников имеются такие средства. Модель EaaS позволит киберпреступникам сдавать в аренду эксплойты, что приведет к увеличению числа злоумышленников, способных эксплуатировать уязвимости.

Группировки хактивистов, которые ранее активно публиковали украденную информацию, стали делать это реже. Теперь группировки все чаще пытаются монетизировать свою деятельность, используя в атаках шифровальщики или продавая полученные базы данных. Еще одной основной целью при атаке на компанию является выполнение деструктивных действий внутри сети организации для остановки процессов и нанесения максимального ущерба. В случае сохранения геополитической напряженности, с учетом полученного опыта и изменений приоритетов группировок, компании могут столкнуться с увеличением количества атак, в результате которых злоумышленники не ограничатся только получением корпоративной базы данных и ее публикацией в открытом доступе.

На теневых площадках активно идут обсуждения применения искусственного интеллекта для написания вредоносных программ, эксплойтов, писем для фишинговых рассылок и прочего. Количество технологий, в которых используется ИИ, растет, они становятся умнее, также появляются узконаправленные решения, например специализирующиеся на написании кода, генерации видео, голоса, картинок. Такое активное развитие этого направления позволит злоумышленникам получать готовый результат, требующий минимальных доработок или вообще не нуждающийся в них. Эти изменения приведут к избытку предложений на теневом рынке, что снизит их стоимость и вынудит продавцов добавлять новые уникальные фишки в свои продукты и услуги. Эта тенденция значительно снизит минимальный уровень вхождения в теневой мир и даст возможность даже низкоквалифицированным злоумышленникам проводить успешные атаки. Активное использование технологий на базе ИИ позволит киберпреступникам значительно сократить время, необходимое для написания эксплойта, в результате чего атаки будут иметь более массированный характер, что заставит компании повышать скорость установки патчей.

В 2024 году специалисты департамента исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружили пять новых АРТ-группировок. При этом обнародованные данные часто говорят о том, что группы проводят атаки не первый год. Конечными целями АРТ-группировок обычно являются шпионаж и передача данных. Что касается ситуации мирового масштаба, стоит отметить, что мир периодически захлестывает волна хактивизма. Это происходит вследствие новых геополитических конфликтов. Например, на фоне палестино-израильского конфликта 16 группировок хактивистов публично заявили, что будут атаковывать в поддержку Израиля, в то же время на противоборствующей стороне таких группировок оказалось 173.

Всего с 2022 года департамент исследования киберугроз экспертного центра безопасности Positive Technologies (PT ESC TI) отслеживает 35 новых групп хактивистов и 26 активных APT-группировок. Для сравнения: за период с 2019 по 2021 год в фокусе внимания экспертов хактивисты практически не были замечены; специалисты следили за АРТ-группировками, из которых особую активность проявляли 18.

Эффективность работы киберпреступников специалисты оценивают по разным критериям. По количеству атак в 2024 году PT ESC TI отмечает такие группы, как PhaseShifters, PseudoGamaredon, Fluffy Wolf. В подавляющем большинстве случаев они используют фишинг и в основном занимаются кражей данных с зараженных компьютеров. Если сравнивать группировки по времени, которое они оставались незамеченными в инфраструктурах организаций, то здесь специалисты выделяют Space Pirates, IAmTheKing, ExCobalt.

Специалисты PT Expert Security Center обращают внимание, что злоумышленники стали модифицировать свои инструменты для нападений. Есть предположение, что некоторые хакерские группы мониторят отчеты исследователей и, если видят разбор своих атак, меняют код или обфускацию ВПО. Например, так поступала группировка Hellhounds. А ExCobalt вовсе решила разработать свой инструмент — бэкдор GoRed.

Специалисты отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT ESC IR) отмечают, что в атаках внутри сети злоумышленники стали чаще использовать утилиты для туннелирования сетевого трафика. Это позволяет хакерам оставаться вне зоны видимости базовых средств защиты.

Проанализировав итоги 100 проектов по расследованию инцидентов за 2024 год, PT ESC IR отмечает, что в 39% компаний выявлены следы присутствия известных APT-группировок. В 35% организаций злоумышленники (из категории cybercrime) успешно шифровали либо уничтожали информацию и нарушали бизнес-процессы.

Растет число атак, в которых злоумышленники проникали в инфраструктуру организации через компанию-подрядчика. Если раньше это были единичные случаи, то за прошедший год доля атак, основанных на доверительных отношениях с подрядчиками, выросла до 15%. В 44% инцидентов точкой входа в инфраструктуру становились уязвимые веб-приложения на сетевом периметре.