Аналитика кибератак от Google

Компания Mandiant (дочка Google) подготовила довольно интересное исследование кибератак. Отчет основан на 500 тысячах часов расследований кибератак, проведенных Mandiant в 2025.

Делимся с вами подробностями.

Главное направления кибератак — эксплуатация уязвимостей

Прочное первое место в отчёте в качестве первичных направлений кибератак — 32%. Всё больше становится инцидентов, связанных с социальной инженерией с использованием голосового фишинга и приложений для обмена сообщениями. Голосовой фишинг стал значительно опережать фишинг по электронной почте, на его долю пришлось 11% инцидентов, а вот на почту — только 6%.

Всё чаще используют голосовой фишинг

Отмечаются случаи голосового фишинга, при которых жертву убеждают предоставить учетные данные и авторизовать контролируемую злоумышленником версию законного программного обеспечения как услуги (SaaS) для доступа к данным компании

Кроме этого жертвами голосового фишинга становились даже сотрудники службы поддержки, когда злоумышленники выдавали себя за сотрудников, запрашивающих сброс паролей и изменение настроек многофакторной аутентификации.

Предварительная компрометация стала третьим по распространенности способом атаки. На нее пришлось 10%. На четвертом месте украденные учетные данные — 9%.

В топе кибератак — хайтек, финансы, сервисы и медицина

По данным Mandiant, на предприятия высоких технологий приходится наибольшее количество кибератак — 17%, за ними следуют финансовые организации — 14,6%. На третьем месте организации, оказывающие деловые и профессиональные услуги —13,3%.

Замыкают отрасли, лидирующие по атакам — здравоохранение, на его долю приходится 11,9% атак.  Далее с большим отрывом следует торговля —7,3% атак, госорганизации — 5,8% атак, образование и телекоммуникации — по 4,6% атак и строительство c индустрией развлечений — по 4,1% атак.

В конце статистики — транспортные организации — 3,4% атак, предприятия ВПК — 2,7% атак, энергетика и водоснабжение — по 2,2% атак.

Мотив большинства кибератак — вымогательство

Вторжения с целью вымогательства, к которым относятся атаки с использованием программ-вымогателей, а также вымогательство с целью кражи данных без шифрования с помощью программ-вымогателей, составили 23% от общего числа вторжений в прошлом году и примерно три четверти вторжений, совершенных с финансовой целью.

Mandiant обнаружила признаки кражи данных в 40% расследований, проведенных в прошлом году. Инциденты, связанные с вымогательством в результате кражи данных, составили 10% расследований.

Во многих расследованиях, в ходе которых Mandiant выявила доказательства кражи данных, злоумышленники охотились за учетными данными и данными, которые были полезны для закрепления в системе, горизонтального перемещения и повышения привилегий. Другие случаи кражи данных носили массовый и спонтанный характер.

В нескольких случаях злоумышленников интересовали персональные данны, такие как контактная информация клиентов и данные о заказах. Mandiant выявила кластеры угроз, в которых использовались украденные персональные данные для последующих попыток голосового фишинга.

Mandiant выявила группы злоумышленников, которые подкупали подрядчиков, чтобы те предоставляли им корпоративные учетные данные или другой доступ к целевым организациям, что приводило к краже данных и попыткам вымогательства.

Компания отмечает, что из новых вредоносных программ, которые были впервые обнаружены и получили название в прошлом году, 33% составляют бэкдоры, 14% — дропперы, 14% — загрузчики, 6% — программы-вымогатели, 6% — лаунчеры, 5% — программы для кражи учетных данных и 5% — программы для майнинга данных.

В ходе расследований случаев использования программ-вымогателей Mandiant выявила множество операций с использованием программ-вымогателей, основанных на партнерских отношениях с целью получения первоначального доступа, чаще всего к услугам по распространению вредоносного ПО- 30 % всех наблюдаемых атак. Вторым по распространенности способом заражения были уязвимости — 27 %. Атаки методом перебора паролей стали причиной 20 % вторжений, связанных с программами-вымогателями, за ними следуют кража учетных данных и компрометация веб-ресурсов — по 10 %.

Традиционное представление о программах-вымогателях как о двойной угрозе — шифровании и краже данных — уже не отражает реалии современных операций по вымогательству. Операторы программ-вымогателей и связанные с ними лица все чаще ставят перед собой цель лишить целевые организации возможности восстановления данных. Злоумышленники нацеливаются на системные и административные уровни, также известные как инфраструктура доверенных сервисов.

Термин «инфраструктура доверенных сервисов» обычно ассоциируется ^[1] с интерфейсами управления платформами и технологиями, которые предоставляют организации базовые сервисы, такие как технологии резервного копирования и платформы виртуализации. Это позволяет хакерам снижать способность организации к восстановлению, оказывая максимальное давление с целью заставить ее заплатить.  Для этого они атакуют службы идентификации, системы управления виртуализацией и системы резервного копирования.

Такая эволюция ^[2] тактики привела к сокращению сроков проникновения, зафиксированных компанией Mandiant в ходе расследований.  Операторы программ-вымогателей сократили время пребывания в системе по сравнению с предыдущими годами, часто захватывая административный контроль уже через несколько часов после получения первоначального доступа.

ИИ на службе хакеров

В отчете отмечается интерес ^[3] хакерских группировок к искусственному интеллекту ^[4]. В прошлом году хакеры все чаще применяли инструменты ИИ для повышения эффективности на разных этапах жизненного цикла атаки, особенно при выполнении таких задач, как разведка, социальная инженерия и разработка вредоносного ПО. В прошлом году в ходе расследований, проведенных Mandiant, были выявлены группировки, которые использовали приманки, связанные с ИИ, похищали учетные данные для доступа к приложениям с ИИ и атаковали компании, разрабатывающие технологии ИИ.

Примечательно, что кластеры угроз также используют инструменты искусственного интеллекта в скомпрометированной среде для выполнения своих операций.  Например, Mandiant расследовала компрометацию цепочки поставок программного обеспечения менеджера пакетов NPM, которая привела к установке программы для кражи учетных данных QUIETVAULT.  После активации QUIETVAULT проверяет, установлены ли на целевом компьютере инструменты с интерфейсом командной строки (CLI), и если да, то выполняет заранее заданную команду для поиска файлов конфигурации. Затем инструмент пытается собрать токены GitHub и NPM и, если они найдены, скопировать их в общедоступный репозиторий GitHub.

Случайное заражение грозит большими проблемами

Mandiant отмечает, что многие хакеры из тех, кто получает первоначальный доступ, полагаются на случайное заражение, а не на целенаправленный взлом. Это приводит к тому, что хакеры, получающие первоначальный доступ не вызывают должного беспокойства у служб информационной безопасности.  Однако, хакеры, получившие первоначальный доступ случайно, часто предоставляют доступ более квалифицированным хакерским группам, которые действуют уже внутри корпоративной сети. Это требует пересмотра принципов работы и сценариев реагирования ^[5] служб информационной безопасности, которым поручено защищать организацию и обеспечивать непрерывность бизнес-процессов.

Платформы виртуализации тоже под прицелом

В последние годы злоумышленники все чаще нацеливаются на виртуализированную инфраструктуру для достижения своих целей.  Платформы виртуализации часто состоят из трех основных компонентов: выделенного централизованного сервера управления для администрирования виртуальных машин, гипервизоров для распределения аппаратных ресурсов и самих виртуальных машин.  

Mandiant отметила активность злоумышленников, нацеленных на каждый из трех компонентов виртуализированной инфраструктуры на протяжении всего жизненного цикла атаки — от получения первоначального доступа до кражи конфиденциальных данных.

SaaS-приложения в группе риска

Современная система информационной безопасности предприятий перешла от традиционного сетевого периметра к сложной экосистеме, состоящей из взаимосвязанной инфраструктуры и платформ «программное обеспечение как услуга» (SaaS). Эти интегрированные платформы играют важную роль в управлении идентификацией, совместной работе сотрудников, оптимизации внутренних процессов и других сферах. Однако из-за взаимосвязи SaaS-платформ с корпоративной облачной инфраструктурой злоумышленники могут использовать идентификационные данные, используемые в SaaS, для проникновения в другие части системы. Такие инциденты часто происходят из-за сочетания нескольких факторов: использования сторонних интеграций, слишком широких прав доступа и неправильных настроек.

Из-за тесной интеграции облачных технологий и SaaS взлом одного SaaS-приложения может позволить злоумышленникам легко проникнуть в другие сегменты. В таких случаях сбой в работе одного доверенного компонента запускает цепную реакцию во всей организации. По мере того как организации все активнее переходят на облачную инфраструктуру, такие недочеты, как неконтролируемые разрешения OAuth и широкие права доступа к API, повышают риск того, что один скомпрометированный токен приведет к существенному инциденту.  В прошлом году произошел стратегический сдвиг: злоумышленники стали обходить традиционные средства защиты, такие как межсетевые экраны и многофакторную аутентификацию, используя нечеловеческие идентификаторы (Non-Human Identities, NHI) и украденные секретные данные, такие как токены OAuth и обновления.

Нацеливаясь на платформы поставщиков, которые выступают в качестве централизованного «источника достоверных данных» для интеграции идентификационных данных, злоумышленники могут получить легитимные, предварительно авторизованные токены для компрометации последующих сред.  Таким образом, взлом одного поставщика превращается в крупномасштабную атаку на всю цепочку поставок, где украденные токены используются в качестве многоразовых ключей для доступа к хранилищам конфиденциальных данных клиентов.

Хорошая страховка от атак — проактивная киберзащита

Mandiant делает вывод, что аналитики компании по анализу киберугроз заметили, что злоумышленники используют искусственный интеллект для ускорения атак, переходя от массовых рассылок по электронной почте к гиперперсонализированной социальной инженерии с использованием голосовых технологий и внедряя вредоносное ПО, способное запрашивать большие языковые модели в процессе выполнения. Однако, несмотря на стремительное развитие технологий, инциденты, расследованные Mandiant, в основном были вызваны фундаментальными человеческими и системными ошибками.

Наблюдались значительные расхождения в действиях злоумышленников.  В то время как киберпреступные группировки стремились к немедленному нанесению ущерба и преднамеренному отказу в восстановлении, целенаправленно атакуя системы резервного копирования, службы идентификации и системы управления виртуализацией, группы кибершпионажа стремились к максимальной скрытности.  Действуя с неконтролируемых периферийных устройств и используя встроенные сетевые функции для уклонения от обнаружения, эти злоумышленники довели среднее время пребывания в системе до 14 дней.

Чтобы защититься от этих тактик, методов и процедур, организациям необходимо действовать с той же скоростью, что и злоумышленники. Проактивная и устойчивая защита не может ограничиваться статичными инструментами. Она требует постоянной проверки подлинности, тщательной защиты критически важных уровней управления и полного контроля над всей экосистемой, включая уровень виртуализации и сетевые устройства.

Команды специалистов по безопасности должны проходить тщательную проверку в ходе реалистичных «красных» тестов, включающих современные тактики с использованием искусственного интеллекта. Кроме того, организациям следует регулярно проводить практические занятия по обновлению схем реагирования на инциденты.