Мир киберугроз стремительно развивается, и хотя мы можем видеть эти изменения в целом, всегда важно понимать их конкретно. Отчет о глобальных угрозах CrowdStrike за 2025 год показывает нам, что ландшафт нашей отрасли меняется.

Мы подробно изучаем этот отчет, чтобы обсудить сложную тенденцию: отказ хакеров от вредоносных программ и традиционных атак в пользу использования проблем с управлением идентификационными данными.

Это изменение представляет собой фундаментальное переосмысление того, как действует современная киберпреступность и как она влияет на соблюдение нормативных требований.

Вредоносное ПО как вектор атаки продолжает отставать

Содержание

На протяжении десятилетий специалисты по кибербезопасности концентрировали свои усилия на обнаружении вредоносных двоичных файлов, реверс-инжиниринге вредоносных программ и создании антивирусных сигнатур. Сегодня эта тенденция не так актуальна, как 20–30 лет назад.

По данным CrowdStrike, в 2024 году 79% обнаружений не были связаны с вредоносным ПО, по сравнению с 40% в 2019 году. В течение пяти лет большинство успешных вторжений перестали использовать вредоносный код. Теперь злоумышленники полагаются на законные инструменты и украденные учетные данные перемещаться по сетям, фактически вписываясь в обычную деятельность пользователей.

Этот сдвиг отражает растущую изощренность как злоумышленников, так и защитников. Системы обнаружения и реагирования на конечные точки значительно усложнили деятельность вредоносных программ. Современные платформы EDR способны выявлять подозрительные двоичные файлы, выявлять аномальное поведение процессов и блокировать выполнение до развертывания полезной нагрузки.

Рост числа практических вторжений

CrowdStrike определяет эту новую категорию как «интерактивные вторжения». В этих операциях злоумышленники используют легитимные инструменты и учетные данные для проведения атак напрямую. Количество кампаний по интерактивным вторжениям в 2024 году выросло на 35% по сравнению с предыдущим годом, что стало седьмым годом роста подряд.

Наиболее целевыми отраслями были

Технология
консалтинг
Производство и
Ритейл

Злоумышленники используют эти уязвимости, используя социальную инженерию, вишинг и манипуляции службой поддержки, а не технические средства. Поскольку эти атаки выглядят как обычная административная деятельность, специалистам по безопасности сложно быстро их обнаружить. По данным CrowdStrike, среднее время выхода из системы сократилось до 48 минут, а максимальное наблюдаемое боковое перемещение произошло всего за 51 секунду.

Идентичность как новый периметр

Атаки на идентификационные данные нацелены на учетные данные и доверительные отношения, определяющие доступ в корпоративных средах. В отчете отмечается, что злоупотребление действительными учетными записями составило 35% всех инцидентов, связанных с облачными технологиями, в 2024 году.

Переход к атакам на основе идентификационных данных также отражает растущую важность облачных технологий. В отчёте подчёркивается, что число новых вторжений в облачные среды увеличилось на 26% по сравнению с 2023 годом. Злоумышленники всё чаще атакуют инструменты управления, неправильно настроенные разрешения и подключённые сервисы, а не физическую инфраструктуру.

Почему злоумышленники отказались от вредоносного ПО

CrowdStrike объясняет отход от вредоносного ПО двумя основными факторами: успехом современных средств контроля безопасности и эволюцией бизнес-моделей злоумышленников.

Во-первых, безопасность конечных точек достигла высокого уровня. Поведенческая аналитика, машинное обучение и облачная телеметрия сделали традиционную доставку вредоносных программ неэффективной. Злоумышленники осознали, что пользовательские вредоносные программы часто дают меньшую отдачу по сравнению с более простыми атаками, ориентированными на учетные данные.
Во-вторых, злоумышленники теперь действуют скорее как компании. В отчёте неоднократно упоминается «предприимчивый противник» — термин, отражающий то, как группы злоумышленников оптимизируют свою деятельность для получения прибыли и масштабирования. Например, брокеры доступа специализируются на получении и продаже учётных данных.

В отчете отмечается, что количество объявлений от брокеров по предоставлению доступа увеличилось на 50% по сравнению с прошлым годом.

Социальная инженерия и человеческий фактор

Атаки с целью получения идентификационных данных часто начинаются с социальной инженерии. В 2024 году CrowdStrike зафиксировала взрывной рост популярности телефонной социальной инженерии, особенно голосового фишинга (вишинга), количество которого выросло на 442% в период с первой по вторую половину года. Злоумышленники выдавали себя за сотрудников ИТ-отдела или службы поддержки и убеждали сотрудников установить инструменты удалённого управления.

CrowdStrike выделяет нескольких злоумышленников, которые использовали социальную инженерию в качестве основного метода вторжения, в том числе:

КУДРЯВЫЙ ПАУК: Сочетание спам-бомбардировки и вишинга. Злоумышленники заваливали почтовый ящик жертвы спамом, а затем звонили, выдавая себя за сотрудников службы поддержки. Они убедили жертв установить инструменты удалённого доступа, получили контроль в течение 4 минут и обеспечили себе постоянное присутствие. CURLY SPIDER часто сотрудничал с WANDERING SPIDER для распространения вируса-вымогателя Black Basta.
Болтливый паук: Использовали фишинг с обратным вызовом. Злоумышленники отправляли поддельные электронные письма с предложениями оплаты или счета, которые заставляли жертв звонить по номеру телефона. После звонка они устанавливали инструменты удалённой кражи данных, такие как WinSCP или Rclone. CHATTY SPIDER в основном атаковал юридический и страховой секторы, требуя выкуп в размере до 8 миллионов долларов.
ПУХЛЫЙ ПАУК: Основное внимание уделялось организациям, базирующимся в Бразилии. Злоумышленники звонили жертвам, выдавая себя за специалистов ИТ-поддержки, и предлагали им загрузить инструменты RMM, такие как RDP или Supremo. Получив доступ, они манипулировали платёжными системами для совершения мошенничества с использованием электронных средств связи, а иногда вербовали инсайдеров для помощи.
РАССЕЯННЫЙ ПАУК: Злоумышленники использовали процедуры службы поддержки. Злоумышленники звонили на линии ИТ-поддержки, выдавая себя за сотрудников, и запрашивали сброс паролей или сброс MFA, часто в нерабочее время. Они использовали общедоступные персональные данные для прохождения проверки и регистрировали свои устройства в MFA для сохранения долгосрочного доступа.

Эти примеры показывают, как современные злоумышленники превратили социальную инженерию в профессиональную операцию.

Проблемы безопасности в облаке

Атака на личностьs и эксплуатация облачных сервисов теперь идут рука об руку. В отчёте CrowdStrike отмечается, что 52% уязвимостей, обнаруженных в 2024 году, были связаны с первоначальным доступом, что отражает рост рынка «доступ как услуга». Облачные среды, основанные на едином входе и федеративных удостоверениях, представляют собой привлекательные цели. Взломав действующую учётную запись, злоумышленник зачастую может переключаться между локальными системами и несколькими облачными сервисами, не активируя традиционные оповещения.

Злоумышленники также совершенствуют тактику, чтобы избежать обнаружения. Многие больше не меняют пароли после взлома учётных записей, зная, что сброс приведёт к тревоге пользователя. Вместо этого они регистрируют свои устройства для многофакторной аутентификации или заставляют службы поддержки делать это за них. CrowdStrike зафиксировал всплеск использования социальной инженерии в службах поддержки, когда злоумышленники звонят в ИТ-отдел, чтобы запросить сброс пароля или многофакторной аутентификации, выдавая себя за сотрудников.

Защитные последствия

Защитникам необходимо адаптироваться к этой новой реальности. Обнаружения на основе вредоносного ПО уже недостаточно. Организациям необходимо сосредоточиться на защите персональных данных, поведенческой аналитике и мониторинге активности пользователей в режиме реального времени.

CrowdStrike рекомендует несколько упреждающих мер:

Усилить проверку личности и постоянно контролировать использование учетных данных.
Внедрите исправления на основе оценки рисков, особенно для уязвимостей первоначального доступа.
Своевременно выявляйте и реагируйте на злоупотребления учетными данными, чтобы предотвратить их распространение.
Используйте поиск угроз на основе искусственного интеллекта для выявления аномалий в поведении пользователей.

Защитникам также необходимо пересмотреть подход к обучению сотрудников. В программах повышения осведомленности приоритет следует отдавать угрозам социальной инженерии, особенно телефонным атакам, и проверке данных через службу поддержки. Теперь злоумышленники используют доверие, а не код.

Будущее угроз, основанных на идентификации

В перспективе атаки на основе идентификации продолжат расширяться, поскольку они эффективно масштабируются. Они требуют минимальных технических затрат и эксплуатируют фундаментальные человеческие и процедурные уязвимости. Это утверждение отражает неотложную необходимость адаптации средств защиты к новым темпам и методам вторжений.

Генеративный ИИ, вероятно, усилит эту тенденцию. Злоумышленники уже используют модели ИИ для создания убедительного фишингового контента и голосовых клонов, автоматизации разведки и даже разработки скриптов. Когда сообщения, генерируемые ИИ, станут неотличимы от подлинных, проверка личности станет одновременно более важной и сложной.

Укрепите безопасность и соответствие требованиям с Lazarus Alliance

Отчёт CrowdStrike предоставляет чёткие данные, подтверждающие этот вывод: атаки без использования вредоносного ПО сейчас доминируют, злоупотребление доступом к действительным учётным записям является причиной большинства инцидентов в облаке, а социальная инженерия — основной способ взлома. Крайне важно внедрить и должным образом задокументировать все необходимые средства контроля, чтобы гарантировать, что вы справитесь с этой задачей (и будете соответствовать стандартам соответствия).

Чтобы узнать больше о том, как Lazarus Alliance может помочь, напишите нам.

Идентификация и отказ от вредоносных программ