Threat Zone 2025: в исследовании представили годовую динамику российского киберландшафта

Больше всего атакуют госсектор (15%), финансы (13%), транспорт и логистику (11%). Преступники стали чаще руководствоваться шпионажем и идеологическими мотивами. Они пробуют новые инструменты и методы, но фишинг остается самым популярным

6 февраля 2025 г.

Threat Zone 2025 — наше второе исследование годового ландшафта угроз. Оно основано на данных портала BI.ZONE Threat Intelligence, сервиса BI.ZONE TDR и BI.ZONE DFIR — команды реагирования на инциденты.

Мы выделили следующие ключевые особенности киберландшафта России и стран СНГ:

1. Ритейл уступил госсектору первое место по числу кибератак

В 2024 году наибольшее количество атак (15%) пришлось на государственные организации. Годом ранее этот показатель составлял всего 9%.

Финансовая отрасль по‑прежнему занимает второе место в списке наиболее атакуемых (13% в 2024‑м и 12% в 2023 году).

На третьем месте, как и год назад, транспорт и логистика: в 2024 году на них пришлось 11% кибератак, а в 2023‑м — 10%.

А вот доля ритейла сократилась. Если в 2023 году на отрасль приходилось 15% всех кибератак и по этому показателю она опережала все остальные, то в 2024‑м представители розничной торговли становились целью всего в 4% случаев, а компании из сферы электронной коммерции — в 9%.

Такие изменения во многом связаны со всплеском активности хактивистов, который пришелся на третий квартал 2024 года. В этот период каждая пятая кибератака была нацелена именно на госсектор.

То, какие цели атакующие выбирают в качестве приоритетных, неизбежно влияет на их методы, инструменты и подходы. Все эти изменения и ключевые особенности ландшафта угроз отражены в исследовании Threat Zone 2025.

Теймур Хеирхабаров

Директор департамента мониторинга, реагирования и исследования киберугроз

2. Хактивизма и атак с целью шпионажа стало больше, но финансовая мотивация по‑прежнему остается для преступников основной

Доля атак, обусловленных финансовой мотивацией, снизилась с 76% до 67%. При этом суммы, которые злоумышленники запрашивают в качестве выкупа за расшифровку данных и восстановление доступа к IT‑инфраструктуре, растут и все чаще достигают десятков миллионов рублей. Чтобы рассчитать и потребовать максимально возможный размер выкупа, преступники тщательно изучают жертву, в том числе ее финансовую отчетность.

В 2024 году 21% атак совершался с целью шпионажа. В 2023‑м этот показатель был ниже и составлял 15%. Примечательно, что некоторые кластеры активности, занимающиеся шпионажем, больше не ограничиваются сбором и эксфильтрацией чувствительных данных и теперь совершают деструктивные действия в скомпрометированной IT‑инфраструктуре. Такой почерк характерен для группировок с финансовой мотивацией, которые хотят получить выкуп за восстановление доступа к ресурсам организации, или для хактивистов, которые стремятся предать атаки максимально широкой огласке.

Незначительно (с 9% до 12%) выросла доля хактивистких атак. Такие преступники по‑прежнему обнародуют на теневых ресурсах незаконно полученные персональные и чувствительные данные. При этом перед публикацией злоумышленники зачастую тщательно анализируют информацию, выявляя ту, что позволит атаковать другие организации.

В 2024 году вовлеченные в хактивизм преступники активно сотрудничали друг с другом. Такое взаимодействие влияет на набор методов и инструментов, используемых для атак, и затрудняет кластеризацию. С другой стороны, это позволяет специалистам эффективнее выявлять взаимосвязь между различными вредоносными активностями.

3. Доля фишинга снизилась, но рассылок от имени государственных организаций стало больше

В 2023 году с фишингового письма начинались 68% целевых атак на российские организации. К середине 2024‑го этот показатель достиг 76%, но к концу года снизился до 57%. При этом фишинг по‑прежнему остается наиболее популярным методом получения первоначального доступа к IT‑инфраструктуре.

В 2024 году атакующие стали чаще рассылать письма от имени государственных организаций и регуляторов. В первом полугодии доля таких сообщений составляла 4% от общего объема фишинговых писем, которые приходили в организации России и стран СНГ. К концу года этот показатель вырос в два раза — до 8%.

Такая тенденция во многом связана с увеличением доли атак на государственный сектор. Как правило, злоумышленники стараются, чтобы фишинговые рассылки выглядели максимально правдоподобно и не вызывали подозрений у потенциальных жертв, поэтому для атак на госорганизации маскируют письма под сообщения от регуляторов или других ведомств.

Вторым по популярности методом проникновения в инфраструктуру стало использование легитимных учетных записей (27%), доступ к которым киберпреступники получают различными способами: с помощью стилеров, перебора паролей, из утечек и т. д. Это позволяет злоумышленникам действовать практически незаметно, по крайней мере на начальных этапах кибератаки.

На третьем месте — эксплуатация уязвимостей в общедоступных приложениях (13%).

4. Атаки через подрядчиков остаются серьезной угрозой

Злоумышленники продолжают атаковать подрядчиков и поставщиков услуг, чтобы через их инфраструктуру скомпрометировать другие компании. Хотя в 2024 году атаки через подрядчиков составили всего 5% от общего числа, они представляют собой серьезную угрозу: успешная компрометация даже одного подрядчика позволяет преступникам получить доступ к конфиденциальным данным множества компаний. Это подтверждается данными сервиса мониторинга и реагирования на инциденты BI.ZONE TDR: в 2024 году количество киберинцидентов, связанных с атаками через подрядчиков, выросло почти в 2 раза. При этом в зоне риска оказываются не только крупные, но и небольшие провайдеры.

5. Злоумышленники активно экспериментируют с инструментами и используют коммерческое вредоносное ПО с русскоязычных форумов

Использование непопулярных и малоизвестных инструментов, легитимного ПО, а также их различных комбинаций позволяет преступникам эффективнее обходить средства защиты и повышает шансы кибератаки на успех.

Так, атакующие активно экспериментируют с фреймворками постэксплуатации — инструментами, которые позволяют использовать уязвимости и ошибки в настройках, чтобы получить контроль над системой. Более того, в рамках одной атаки злоумышленники могут применять агенты фреймворков, что позволяет прочнее закрепляться в скомпрометированной IT‑инфраструктуре и затрудняет реагирование на инцидент.

Также преступники активно используют легитимное ПО, в том числе средства туннелирования трафика, чтобы обойти часть средств защиты и получить персистентный резервный канал доступа в скомпрометированную IT‑инфраструктуру.

Кроме того, злоумышленники не только применяют в скомпрометированной системе интерпретаторы команд и сценариев, но и загружают собственные, например Python или NodeJS. Последние используются значительно реже, что затрудняет обнаружение вредоносной активности.

Наконец, среди кластеров активности, атакующих российские организации, по‑прежнему пользуется популярностью коммерческое вредоносное ПО, которое распространяется через русскоязычные теневые форумы и телеграм‑каналы. Так злоумышленники получают готовые инструменты, не тратя силы и средства на их разработку.