Главные тренды кибербезопасности в 2025 году
4 мин
196
6
Три тренда
Во-первых, профессиональные группировки атакующих становятся разнообразнее. В этом году мы отслеживаем 18 групп и кластеров вредоносной активности, семь из них ранее нам не встречались. При этом ряд ранее активных кластеров значительно снизили свое присутствие. Например, стало гораздо меньше инцидентов, в которых участвовала восточноазиатская группировка Obstinate Mogwai. Масштаб деятельности проукраинских группировок, таких как Shedding Zmiy, тоже значительно сократился. Если в первые 10 месяцев 2024 года на них приходилось около 70% расследованных инцидентов, то в 2025 году их доля — менее 20%.
Второй яркий тренд — атакующие активно охотятся за ИТ-подрядчиками крупных организаций, чтобы через них получить доступ к целевой инфраструктуре.
Мы видим рост количества таких случаев. Расчёт злоумышленников прост: небольшие организации могут быть защищены слабее, чем их крупные заказчики, но при этом они имеют с ними прямую сетевую связь. В итоге атакующие взламывают подрядчика и используют его доступ к ИТ-системам цели. Они могут месяцами находиться в их инфраструктуре и собирать данные.
Ещё один тренд — смена предпочтений злоумышленников в выборе инструментов для атак. Со второго квартала мы стали фиксировать снижение доли заражений с помощью программ-стилеров и рост RAT. Предполагаем, что это связано с тем, что активность RAT сложнее выделить в общем потоке телеметрии, ведь подобные программы могут использоваться и в легитимных целях. Например, в работе технической поддержки. При этом возможности RAT гораздо шире, чем у стилеров. С их помощью можно не только похищать данные, но и устанавливать на заражённую систему дополнительное вредоносное ПО, а также предоставлять доступ другим нападающим. Это открывает для владельцев RAT дополнительные возможности монетизации атак.
Новые техники в арсенале хакеров
Особенность этого года в том, что злоумышленники начинают понемногу осваивать вредоносный потенциал GPT-сервисов. Пока это не массовое явление, но мы уже сталкивались с кодом вредоносных программ, часть которого могла быть написана методом вайб-кодинга.
По данным исследователей рынка, расширяется инструментарий, который позволяет управлять вредоносными атаками и масштабировать их. Предполагаем, что это явление получит заметное развитие в следующем году.
Из других нововведений — злоумышленники стали активнее использовать язык Rust для создания вредоносов. Пока что для ИБ-индустрии это является проблемой, поскольку анализировать сэмплы вредоносов, написанных на Rust, сложнее, чем сэмплы на любом другом языке. Это серьёзно затрудняет и замедляет выработку защитных мер против таких вредоносов.
Кто под ударом
Из года в год мы видим, что хакеры охотятся прежде всего за наиболее потенциально «прибыльными» компаниями, у которых есть данные и денежные средства. Это организации из госсектора, здравоохранения, промышленности и топливно-энергетической отрасли. Атаки на госсектор и ТЭК обусловлены в том числе и геополитикой — обе сферы оказывают сильное влияние на экономику страны. Данные таких организаций представляют высокую ценность для атакующих, которые желают нанести существенный ущерб или работают в интересах иностранных разведок.
Интересно, что в первом полугодии многие группировки снизили активность, количество расследований масштабных инцидентов в нашей практике уменьшилось. Но уже в июле ситуация стала меняться. Последовала серия заявлений о масштабных атаках против ретейла и других компаний. С точки зрения последствий это был один из самых напряжённых периодов года.
Новая волна атак происходит прямо сейчас — во время праздничных распродаж. Они стартовали 11 ноября и продлятся до конца декабря.
Традиционно этот сезон сопровождается активизацией злоумышленников, которые нацелены на хищение денег: атаки банковских троянов, мошеннические схемы, паразитирующие на скидочных предложениях и прочие угрозы.
Как киберпреступники зарабатывают на «чёрной пятнице»
Актуальные методы защиты
В последние несколько лет российские организации столкнулись с беспрецедентным количеством атак. Отечественная ИТ-инфраструктура переживает масштабный тест на проникновение, и пока мы вынуждены констатировать, что атакующим скорее удаётся достичь своих целей, чем нет, хотя с каждым кварталом и каждой атакой делать им это становится сложнее.
Мы считаем, что сейчас самым актуальным подходом к защите от угроз в России является концепция Assume Compromise. Согласно ей защита информации и сервисов в организации строится, исходя из предположения, что атакующим уже удалось проникнуть в сеть. Этот подход, помимо использования стандартных корпоративных средств защиты информации, предполагает пристальное внимание к политикам разграничения доступа к информации, создания резервных копий, а также практикам обнаружения инцидентов на раннем этапе, например с помощью регулярной оценки компрометации сети.
Этот подход не гарантирует стопроцентную защиту от факта атаки, но он надёжно защищает то, за чем охотятся атакующие: конфиденциальные данные и работоспособность критически важных бизнес-систем.
В следующем году кибербезопасность снова выйдет на новый уровень развития и самим специалистам понадобятся не только навыки, которые у них уже есть, но ещё и желание и умение постоянно осваивать новые.
