Киберугрозы в России и СНГ. Аналитика и прогнозы 2024/25

F6: Первый ежегодный аналитический отчет «Киберугрозы в России и СНГ. Аналитика и прогнозы 2024/25»

Ссылки

🌐 Ссылка на отчёт 🗞️ Ссылка на новость 📁 Ссылка на файл

Текст отчёта

Ссылка на сохранённый отчёт в PDF

Быстрый просмотр (не на мобильных устройствах)

---

Об отчёте

В анализе детально исследованы основные киберугрозы 2024 года, а также представлены рекомендации и прогнозы на 2025 год. Выводы неутешительные: растет число инцидентов и атакующих, количество утечек и атак вымогателей не снижается, DDoS-атаки становятся мощнее, а мошенничество переживает очередной ренессанс.

Основные тезисы

• Рост количества APT-группировок: всего в 2024 году удалось обнаружить 27 прогосударственных групп, атакующих Россию и СНГ, что почти в два раза превышает количество групп, деятельность которых была раскрыта в 2023 году — тогда мы наблюдали 14 группировок. В 2024 году в исследуемых регионах мы не зафиксировали вредоносную активность со стороны пяти групп, указанных в прошлогоднем отчете, но при этом обнаружили активность 12 новых (Unicorn, Dante, PhantomCore, ReaverBits, Sapphire Cat, Lazy Koala, Obstinate Mogwai, TaxOff и др.).
• Рост числа атак на крупных игроков рынка, цель которых — последующая компрометация клиентов этих компаний.
• В 2024 году не менее 17 группировок хактивистов атаковали российские и белорусские организации. Годом ранее таких групп было как минимум 13.
• Обнаружено 9 финансово-мотивированных группировок, которые не используют программы-вымогатели.
• Наблюдается размытие классификации хактивистов, прогосударственных атакующих и вымогателей, их целью является проведение кибердиверсий — нарушение работы крупных, в том числе государственных организаций России, в своих атаках они могут использовать программы-шифровальщики.
• За 2024 год выявлено 455 новых баз данных по компаниям из России и Беларуси, они выложены в публичный доступ. Количество строк в утечках составляет более 457 миллионов. Помимо публикации в открытом доступе, злоумышленники используют такие данные для последующего проведения каскадных атак на крупных игроков коммерческого и государственного секторов.
• Периодические всплески утечек данных. Было замечено, что время от времени появляется злоумышленник, который активно «сливает» данные нескольких компаний. Его активность продолжается некоторое время, потом такой злоумышленник исчезает. Вероятно, подобная активность связана с тем, что новые никнеймы — это всего лишь маски одной и той же киберпреступной группы.
• Количество DDoS-атак выросло как минимум на 50% как по количеству, так и по числу задействованных в ботнетах устройств. Наиболее активно атакующей группировкой остается IT Army of Ukraine.
• В 2024 году наблюдался всплеск мошеннической и вредоносной активности, нацеленной на пользователей Android. Мы выделили несколько преступных групп в этой категории. Новыми вредоносными программами, направленными на клиентов банков, являются CraxsRAT и PhotoAndroidMalware. Также в конце года был обнаружен злоумышленник NfcGateCIS, который совершал атаки с помощью ВПО для Android, использующего чип NFC для кражи денег жертвы.
• Растёт число группировок, использующих шифровальщики в атаках на российские компании, увеличивается и количество таких атак. Как и в предыдущие годы, злоумышленники не используют новые уникальные программы и обходятся шифровальщиками на основе Lockbit 3.0 Black (чаще всего), Conti, Babuk, а иногда шифруют данные легитимными инструментами.
• Группировки-вымогатели по-прежнему не используют технику создания DLS-ресурсов и размещения слитых данных на них: если злоумышленники хотят опубликовать похищенные данные, они делают это в Telegram-каналах.
• В 2024 году в России и СНГ были выявлены атаки группировок-вымогателей Shadow (под новым брендом DarkStar), HsHarada, DCHelp, RCRU64, GazpromLocker. Также год запомнился появлением ряда новых группировок: Masque, TeslaRVNG (Secles), ToxUnit, Sauron, Muliaka, Head Mare.
• Активность нашумевших в 2023 году группировок-вымогателей HardBit, BlackShadow была низкой, активность Werewolves отсутствовала.
• Жертвами вымогателей чаще всего становились российские производственные, строительные, фармацевтические и ИТ-компании, предприятия добывающей промышленности, ВПК, организации из сферы услуг.
• Персональные данные остаются одной из главных целей вымогателей — атакующие похищают чувствительные данные и лишь затем шифруют инфраструктуру жертвы.
• Несмотря на мнение, что на даркнет-форумах существует запрет для работы против России и СНГ, мы находили объявления о продаже доступов в компании в этих регионах. В 2024 году мы обнаружили в продаже 9 корпоративных доступов стран СНГ.
• Возвращение финансово-мотивированных преступных групп, которые не были активны долгое время — Buhtrap и OldGremlin. Причем Buhtrap расширили арсенал вредоносной программой для Android.
• Рост количества атак на физических лиц с помощью социальной инженерии (схемы FakeBoss, «Мамонт» и подобные вариации). Используя социальную инженерию при совершении атак, злоумышленники применяют разные сценарии общения и способы кражи денежных средств, тем самым увеличивают свою прибыль. Обычно такие схемы нельзя осуществить, привлекая пользователей на шаблонные мошеннические сайты с помощью рекламных кампаний.
• Комбинация разных типов киберугроз в мошеннических схемах: например, в определенных сценариях происходит распространение Android-троянов через фишинговые страницы.
• Увеличение минимальной единоноразовой суммы списания с карты жертвы из-за возросших затрат кибепреступников на закупку банковских карт для приема платежей. Возросшие затраты связаны с массовыми блокировками банковских карт кибепреступников.
• Рост мошенничества в мессенджерах, в частности, в Telegram. Данный мессенджер предоставляет множество способов размещения мошеннического и фишингового контента: публичные каналы, публичные чаты, Telegram-боты.
• В 2024 году среднее количество создаваемых фишинговых сайтов на один бренд увеличилось на 52% по сравнению с 2023 годом, среднее количество создаваемых мошеннических ресурсов на один бренд увеличилось на 17%.
• Чаще всего для компрометации данных пользователей в России и Беларуси использовали такие стилеры, как RedLine Stealer, META Stealer, RisePro, Stealc, Phemedrone Stealer.

Краткий обзор от DeepSeek

Отчет от российской компании F6 посвящен основным трендам и угрозам в сфере кибербезопасности, актуальным для России и мира.

Ключевые выводы и тренды:

1. Главная угроза — Фишинг. Остается доминирующим методом атаки. Злоумышленники стали активно использовать:
   • SMS-фишинг (smishing): Рассылка ссылок на фишинговые сайты через SMS.
   • Голосовой фишинг (vishing): Звонки жертвам от имени сотрудников банков или госслужб.
   • QR-фишинг: Подмена QR-кодов для перенаправления на мошеннические ресурсы.
2. Взрывной рост мошенничества в сфере IT-аутсорсинга. Преступники создают фейковые компании-исполнители, заключают договоры с реальными заказчиками, получают предоплату и исчезают. Ущерб исчисляется миллиардами рублей.
3. Атаки на цепочки поставок (Supply Chain). Участились атаки через взлом программного обеспечения и сервисов, которые используются многими компаниями. Это позволяет злоумышленникам атаковать сразу множество жертв через одного уязвимого поставщика.
4. Таргетированные атаки на бизнес (Бизнес-PLC). Мошенники не просто крадут деньги, а погружаются в бизнес-процессы компаний-жертв. Они изучают документооборот, имитируют стиль руководства и выдают себя за партнеров или контрагентов, чтобы провести целевые и сложно обнаружимые транзакции.
5. Искусственный интеллект на службе у преступников. ИИ используется для:
   • Создания более убедительных фишинговых писем и текстов (без ошибок, на идеальном языке).
   • Генерации глубоких фейков (deepfake) для обмана систем биометрической идентификации и социальной инженерии.
   • Автоматизации и масштабирования атак.
6. Киберпреступность как сервис (Crime-as-a-Service). Расцвет теневого рынка, где можно арендовать инструменты для хакерских атак (например, ботнеты, программы-вымогатели), купить базы утекших данных или заказать атаку под ключ. Это снижает порог входа в киберпреступность.
7. Рекомендации по защите:
   • Повышение киберграмотности: Регулярное обучение сотрудников, в том числе проведение учебных фишинг-атак.
   • Техническая защита: Внедрение MFA (многофакторной аутентификации), систем мониторинга и анализа трафика (например, NTA/NDR), обновление ПО.
   • Процедурный контроль: Ужесточение регламентов проведения финансовых операций, особенно крупных и срочных платежей (например, введение обязательных устных подтверждений через другой канал связи).

Общий итог: Киберугрозы становятся более изощренными, массовыми и персонализированными. Бизнесу необходимо комбинировать технические средства защиты с постоянным обучением сотрудников и выстраиванием надежных процедурных барьеров.