Киберпреступники переключились на обман пользователей вместо взлома
3 мин
51
Stroz Friedberg опубликовала отчёт о трендах киберугроз в 2025 году. Команда реагирования на инциденты выявила три основных тренда, изменивших традиционный ландшафт угроз в уходящем году.
В 2025-м получила широкое распространение техника Callback phishing, главным образом благодаря использованию группировкой Luna Moth. В рамках атаки почту жертвы сначала атакуют спамом, а потом присылают фишинговое письмо якобы от ИТ-службы или ИБ-службы организации. В письме содержится просьба связаться или перезвонить по указанным контактам для решения проблемы.
После того как жертва связывается со злоумышленником, на устройство обманом устанавливается решение для обеспечения удалённого доступа вроде Zoho Assist или Atera. Злоумышленник получает все возможности для шифрования устройства и дальнейшего шантажа организации.
Специалисты также отметили возросшую активность аффилиатов Akira и два отдельных тренда, заданных ими. Группировка эксплуатировала две уязвимости в межсетевых экранах SonicWall для получения первоначального доступа к инфраструктуре организаций.
CVE-2024-40766 была опубликована в августе 2024 года и связана с некорректным контролем доступа в устройствах SonicWall. Пароли локальных пользователей передавались во время миграции и не сбрасывались впоследствии. CVE-2024-53704 опубликована в январе 2025 года. С её помощью злоумышленники обходили аутентификацию, затрагивающую SSL VPN компонент межсетевых экранов SonicWall.
Специалисты также проследили использование поддельных доменов для обмана жертв с целью установки вредоносной версии RVTools. Эти сайты были разработаны так, чтобы появляться в результатах поисковых систем. После запуска вредоносного установщика разворачивался вредонос Bumblebee. Эти вторжения быстро эскалировали от одного заражённого хоста к латеральному перемещению по окружению, сбору учётных данных, установке постоянных инструментов удалённого доступа и эксфильтрации данных через SFTP-клиенты. Атаки завершались развёртыванием ransomware Akira с шифрованием критичных систем.
Третий тренд, который выделили эксперты, — злоупотребление Microsoft Quick Assist. Специалисты наблюдали рост вредоносной активности с использованием этого инструмента для проведения кампаний социнженерии.
Атаки обычно начинались с голосовых звонков или сообщений в Microsoft Teams от внешних аккаунтов. В некоторых случаях злоумышленник предварял звонки в Teams email bombing. Это создавало повышенное чувство срочности и беспокойства у получателей.
Взаимодействие было разработано так, чтобы убедить жертв в том, что они получают техподдержку от внутренних ИТ-команд или команд безопасности. Во время звонка злоумышленник убеждал жертв запустить Quick Assist и предоставить доступ к их устройствам. Поскольку Quick Assist работает в контексте залогиненного пользователя, предоставление доступа давало атакующему те же привилегии.
Все три тренда объединяет активное использование методов социальной инженерии и злоупотребление легитимными инструментами, что затрудняет обнаружение атак традиционными средствами защиты. Это отражает общую направленность атак в уходящем году.
