Компания Mandiant (дочка Google) подготовила довольно интересное исследование кибератак. Отчет основан на 500 тысячах часов расследований кибератак, проведенных Mandiant в 2025.
Делимся с вами подробностями.
Главное направления кибератак — эксплуатация уязвимостей
Прочное первое место в отчёте в качестве первичных направлений кибератак — 32%. Всё больше становится инцидентов, связанных с социальной инженерией с использованием голосового фишинга и приложений для обмена сообщениями. Голосовой фишинг стал значительно опережать фишинг по электронной почте, на его долю пришлось 11% инцидентов, а вот на почту — только 6%.
Всё чаще используют голосовой фишинг
Отмечаются случаи голосового фишинга, при которых жертву убеждают предоставить учетные данные и авторизовать контролируемую злоумышленником версию законного программного обеспечения как услуги (SaaS) для доступа к данным компании
Кроме этого жертвами голосового фишинга становились даже сотрудники службы поддержки, когда злоумышленники выдавали себя за сотрудников, запрашивающих сброс паролей и изменение настроек многофакторной аутентификации.
Предварительная компрометация стала третьим по распространенности способом атаки. На нее пришлось 10%. На четвертом месте украденные учетные данные — 9%.
В топе кибератак — хайтек, финансы, сервисы и медицина
По данным Mandiant, на предприятия высоких технологий приходится наибольшее количество кибератак — 17%, за ними следуют финансовые организации — 14,6%. На третьем месте организации, оказывающие деловые и профессиональные услуги —13,3%.
Замыкают отрасли, лидирующие по атакам — здравоохранение, на его долю приходится 11,9% атак. Далее с большим отрывом следует торговля —7,3% атак, госорганизации — 5,8% атак, образование и телекоммуникации — по 4,6% атак и строительство c индустрией развлечений — по 4,1% атак.
В конце статистики — транспортные организации — 3,4% атак, предприятия ВПК — 2,7% атак, энергетика и водоснабжение — по 2,2% атак.
Мотив большинства кибератак — вымогательство
Вторжения с целью вымогательства, к которым относятся атаки с использованием программ-вымогателей, а также вымогательство с целью кражи данных без шифрования с помощью программ-вымогателей, составили 23% от общего числа вторжений в прошлом году и примерно три четверти вторжений, совершенных с финансовой целью.
Mandiant обнаружила признаки кражи данных в 40% расследований, проведенных в прошлом году. Инциденты, связанные с вымогательством в результате кражи данных, составили 10% расследований.
Во многих расследованиях, в ходе которых Mandiant выявила доказательства кражи данных, злоумышленники охотились за учетными данными и данными, которые были полезны для закрепления в системе, горизонтального перемещения и повышения привилегий. Другие случаи кражи данных носили массовый и спонтанный характер.
В нескольких случаях злоумышленников интересовали персональные данны, такие как контактная информация клиентов и данные о заказах. Mandiant выявила кластеры угроз, в которых использовались украденные персональные данные для последующих попыток голосового фишинга.
Mandiant выявила группы злоумышленников, которые подкупали подрядчиков, чтобы те предоставляли им корпоративные учетные данные или другой доступ к целевым организациям, что приводило к краже данных и попыткам вымогательства.
Компания отмечает, что из новых вредоносных программ, которые были впервые обнаружены и получили название в прошлом году, 33% составляют бэкдоры, 14% — дропперы, 14% — загрузчики, 6% — программы-вымогатели, 6% — лаунчеры, 5% — программы для кражи учетных данных и 5% — программы для майнинга данных.
В ходе расследований случаев использования программ-вымогателей Mandiant выявила множество операций с использованием программ-вымогателей, основанных на партнерских отношениях с целью получения первоначального доступа, чаще всего к услугам по распространению вредоносного ПО- 30 % всех наблюдаемых атак. Вторым по распространенности способом заражения были уязвимости — 27 %. Атаки методом перебора паролей стали причиной 20 % вторжений, связанных с программами-вымогателями, за ними следуют кража учетных данных и компрометация веб-ресурсов — по 10 %.
Традиционное представление о программах-вымогателях как о двойной угрозе — шифровании и краже данных — уже не отражает реалии современных операций по вымогательству. Операторы программ-вымогателей и связанные с ними лица все чаще ставят перед собой цель лишить целевые организации возможности восстановления данных. Злоумышленники нацеливаются на системные и административные уровни, также известные как инфраструктура доверенных сервисов.
Термин «инфраструктура доверенных сервисов» обычно ассоциируется с интерфейсами управления платформами и технологиями, которые предоставляют организации базовые сервисы, такие как технологии резервного копирования и платформы виртуализации. Это позволяет хакерам снижать способность организации к восстановлению, оказывая максимальное давление с целью заставить ее заплатить. Для этого они атакуют службы идентификации, системы управления виртуализацией и системы резервного копирования.
Такая эволюция тактики привела к сокращению сроков проникновения, зафиксированных компанией Mandiant в ходе расследований. Операторы программ-вымогателей сократили время пребывания в системе по сравнению с предыдущими годами, часто захватывая административный контроль уже через несколько часов после получения первоначального доступа.
ИИ на службе хакеров
В отчете отмечается интерес хакерских группировок к искусственному интеллекту. В прошлом году хакеры все чаще применяли инструменты ИИ для повышения эффективности на разных этапах жизненного цикла атаки, особенно при выполнении таких задач, как разведка, социальная инженерия и разработка вредоносного ПО. В прошлом году в ходе расследований, проведенных Mandiant, были выявлены группировки, которые использовали приманки, связанные с ИИ, похищали учетные данные для доступа к приложениям с ИИ и атаковали компании, разрабатывающие технологии ИИ.
Примечательно, что кластеры угроз также используют инструменты искусственного интеллекта в скомпрометированной среде для выполнения своих операций. Например, Mandiant расследовала компрометацию цепочки поставок программного обеспечения менеджера пакетов NPM, которая привела к установке программы для кражи учетных данных QUIETVAULT. После активации QUIETVAULT проверяет, установлены ли на целевом компьютере инструменты с интерфейсом командной строки (CLI), и если да, то выполняет заранее заданную команду для поиска файлов конфигурации. Затем инструмент пытается собрать токены GitHub и NPM и, если они найдены, скопировать их в общедоступный репозиторий GitHub.
Случайное заражение грозит большими проблемами
Mandiant отмечает, что многие хакеры из тех, кто получает первоначальный доступ, полагаются на случайное заражение, а не на целенаправленный взлом. Это приводит к тому, что хакеры, получающие первоначальный доступ не вызывают должного беспокойства у служб информационной безопасности. Однако, хакеры, получившие первоначальный доступ случайно, часто предоставляют доступ более квалифицированным хакерским группам, которые действуют уже внутри корпоративной сети. Это требует пересмотра принципов работы и сценариев реагирования служб информационной безопасности, которым поручено защищать организацию и обеспечивать непрерывность бизнес-процессов.
Платформы виртуализации тоже под прицелом
В последние годы злоумышленники все чаще нацеливаются на виртуализированную инфраструктуру для достижения своих целей. Платформы виртуализации часто состоят из трех основных компонентов: выделенного централизованного сервера управления для администрирования виртуальных машин, гипервизоров для распределения аппаратных ресурсов и самих виртуальных машин.
Mandiant отметила активность злоумышленников, нацеленных на каждый из трех компонентов виртуализированной инфраструктуры на протяжении всего жизненного цикла атаки — от получения первоначального доступа до кражи конфиденциальных данных.
SaaS-приложения в группе риска
Современная система информационной безопасности предприятий перешла от традиционного сетевого периметра к сложной экосистеме, состоящей из взаимосвязанной инфраструктуры и платформ «программное обеспечение как услуга» (SaaS). Эти интегрированные платформы играют важную роль в управлении идентификацией, совместной работе сотрудников, оптимизации внутренних процессов и других сферах. Однако из-за взаимосвязи SaaS-платформ с корпоративной облачной инфраструктурой злоумышленники могут использовать идентификационные данные, используемые в SaaS, для проникновения в другие части системы. Такие инциденты часто происходят из-за сочетания нескольких факторов: использования сторонних интеграций, слишком широких прав доступа и неправильных настроек.
Из-за тесной интеграции облачных технологий и SaaS взлом одного SaaS-приложения может позволить злоумышленникам легко проникнуть в другие сегменты. В таких случаях сбой в работе одного доверенного компонента запускает цепную реакцию во всей организации. По мере того как организации все активнее переходят на облачную инфраструктуру, такие недочеты, как неконтролируемые разрешения OAuth и широкие права доступа к API, повышают риск того, что один скомпрометированный токен приведет к существенному инциденту. В прошлом году произошел стратегический сдвиг: злоумышленники стали обходить традиционные средства защиты, такие как межсетевые экраны и многофакторную аутентификацию, используя нечеловеческие идентификаторы (Non-Human Identities, NHI) и украденные секретные данные, такие как токены OAuth и обновления.
Нацеливаясь на платформы поставщиков, которые выступают в качестве централизованного «источника достоверных данных» для интеграции идентификационных данных, злоумышленники могут получить легитимные, предварительно авторизованные токены для компрометации последующих сред. Таким образом, взлом одного поставщика превращается в крупномасштабную атаку на всю цепочку поставок, где украденные токены используются в качестве многоразовых ключей для доступа к хранилищам конфиденциальных данных клиентов.
Хорошая страховка от атак — проактивная киберзащита
Mandiant делает вывод, что аналитики компании по анализу киберугроз заметили, что злоумышленники используют искусственный интеллект для ускорения атак, переходя от массовых рассылок по электронной почте к гиперперсонализированной социальной инженерии с использованием голосовых технологий и внедряя вредоносное ПО, способное запрашивать большие языковые модели в процессе выполнения. Однако, несмотря на стремительное развитие технологий, инциденты, расследованные Mandiant, в основном были вызваны фундаментальными человеческими и системными ошибками.
Наблюдались значительные расхождения в действиях злоумышленников. В то время как киберпреступные группировки стремились к немедленному нанесению ущерба и преднамеренному отказу в восстановлении, целенаправленно атакуя системы резервного копирования, службы идентификации и системы управления виртуализацией, группы кибершпионажа стремились к максимальной скрытности. Действуя с неконтролируемых периферийных устройств и используя встроенные сетевые функции для уклонения от обнаружения, эти злоумышленники довели среднее время пребывания в системе до 14 дней.
Чтобы защититься от этих тактик, методов и процедур, организациям необходимо действовать с той же скоростью, что и злоумышленники. Проактивная и устойчивая защита не может ограничиваться статичными инструментами. Она требует постоянной проверки подлинности, тщательной защиты критически важных уровней управления и полного контроля над всей экосистемой, включая уровень виртуализации и сетевые устройства.
Команды специалистов по безопасности должны проходить тщательную проверку в ходе реалистичных «красных» тестов, включающих современные тактики с использованием искусственного интеллекта. Кроме того, организациям следует регулярно проводить практические занятия по обновлению схем реагирования на инциденты.
Автор: InfoWatch
