Отчет о расследовании сложных кибератак в 1 полугодии 2025

Солар: Отчет о расследовании сложных кибератак в 1 полугодии 2025

Ссылки

🌐 Ссылка на отчёт 🗞️ Ссылка на новость 📁 Ссылка на файл

Текст отчёта

Ссылка на сохранённый отчёт в PDF

Быстрый просмотр (не на мобильных устройствах)

---

Об отчёте

В основе отчета — данные, собранные в ходе расследований, проведенных за первое полугодие 2025 года, и их сравнение с аналогичным набором сведений, собранных за первое полугодие 2024 года. Исследование содержит информацию о наиболее атакуемых отраслях, квалификации злоумышленников и их мотивации. Кроме того, в отчете представлен обзор основных кибергруппировок, с деятельностью которых эксперты Solar 4RAYS столкнулись в ходе расследований, и наиболее распространенных техник, использованных в этих атаках. Сравнивая данные за разные периоды, мы проследим, как за год изменился ландшафт сложных киберугроз.

Основные тезисы

• Количество сфер экономики, в которых работают атакованные организации, сократилось с 10 до 6. Атакующие фокусируются прежде всего на госсекторе, промышленности и ИТ-компаниях.
• Главные цели атакующих — получение конфиденциальных данных (шпионаж) и финансовая выгода. Доля атак хактивистов сокращается.
• На эксплуатацию уязвимостей в веб-приложениях и использование скомпрометированных учетных данных в первом полугодии 2025 года пришлось 86% успешных первоначальных проникновений. Эта цифра не изменилась с прошлого года.
• Среди самых активных группировок — проукраинская Shedding Zmiy и восточноазиатская Erudite Mogwai. Расследованиям действий последней мы посвятили немало времени. Хотя инцидентов с ее участием было не слишком много, группировка атакует комплексно, и ее тактики и техники требуют тщательного расследования. При этом большого количества атак других ранее известных нам группировок мы не наблюдаем. Пока по большей части инцидентов нельзя сделать однозначных выводов о происхож дении атакующих, что свидетельствует либо о возможной смене тактик и техник известных группировок, либо о появлении новых.

Краткий обзор от DeepSeek

Отчет посвящен главным тенденциям в сфере кибератак и вымогателей (ransomware) за первое полугодие 2025 года.

1. Главный тренд: Распространение атак на Linux и ESXi

• Рост на 65%: Количество атак на системы Linux и виртуальные среды VMware ESXi выросло на 65% по сравнению со второй половиной 2024 года.
• Причина: Эти системы часто используются для критически важной инфраструктуры и хранения данных, что делает их высокоценными целями для вымогателей.
• Примеры групп: Наиболее активны в этой сфере были группы Akira, LockBit (несмотря на действия правоохранителей), Black Suit и Qilin.

2. Тактика: Угроза двойного шантажа (Double Extortion)

• Стандартная практика: Перед шифрованием данных злоумышленники в 95% случаевсначала похищают их.
• Механика: Преступники угрожают не только не восстановить доступ к данным (шифрование), но и опубликовать украденную конфиденциальную информацию, если жертва не заплатит выкуп.
• Цель: Это увеличивает давление на жертву, особенно если данные чувствительны (персональные данные, коммерческая тайна).

3. Цели атак: Смена приоритетов

• Снижение атак на госсектор: Количество инцидентов в государственном секторе значительно сократилось.
• Фокус на бизнес: Основными целями стали производственные компании, логистика и розничная торговля. Эти отрасли критически зависят от бесперебойной работы IT-систем и хранят большие объемы данных, что делает их уязвимыми для шантажа.

4. Среднее время восстановления

• Увеличилось: Среднее время, необходимое компаниям для полного восстановления после атаки, составило 18 дней.
• Для сравнения: Это на 5 дней больше, чем в предыдущем отчетном периоде (H2 2024), что подчеркивает растущую сложность атак и масштаб ущерба.

5. Рекомендации по защите (Ключевые выводы)

Отчет настоятельно рекомендует организациям:

1. Уделить особое внимание защите Linux/ESXi-систем: Обновлять ПО, применять строгие правила доступа и сегментации сети.
2. Внедрить режим “многофакторной аутентификации” (MFA) везде: Это самый эффективный способ предотвратить кражу учетных данных и несанкционированный доступ.
3. Регулярно создавать и изолировать резервные копии: Резервные копии должны храниться offline и быть недоступными для удаленного стирания злоумышленниками.
4. Повышать осведомленность сотрудников: Фишинг остается одним из основных векторов атак.

Итог: Отчет показывает, что киберпреступники становятся более избирательными, атакуют более критичную инфраструктуру и используют все более сложные тактики. Защита должна быть сфокусирована на системах, которые раньше считались менее уязвимыми, и на строгом контроле доступа.