В 2025 году российским компаниям и госструктурам предстоит столкнуться с ростом числа кибератак и увеличением активности хакерских группировок. К такому выводу пришли эксперты компании F6 (бывшая F.A.C.C.T.). Ключевые угрозы останутся прежними: программы-вымогатели, фишинговые схемы, трояны для мобильных устройств и утечки персональных данных. По прогнозам аналитиков, тенденция к масштабированию атак, впервые зафиксированная в 2024 году, сохранится, а ущерб от действий злоумышленников возрастёт.

Источник изображения: KeepCoding / Unsplash

В отчёте «Новые риски кибератак в России и СНГ. Аналитика и прогнозы 2024/2025» эксперты F6 отмечают, что продолжающийся геополитический конфликт способствует увеличению числа атак и появлению новых хакерских группировок. В 2023 году было зафиксировано 14 активных групп, действовавших против России и стран СНГ, а уже в 2024 году их число возросло до 27. Эти группы применяют широкий спектр методов: от DDoS-атак, направленных на перегрузку серверов и нарушение работы IT-инфраструктуры, до атак с шифрованием и уничтожением данных жертвы. Помимо традиционных финансово мотивированных злоумышленников активизировались так называемые «хактивисты-диверсанты», которые всё чаще атакуют государственные учреждения и частный бизнес, преследуя политические цели.

Вредоносные программы в фишинговых рассылках в 2024 году. Источник изображения: f6.ru

Программы-вымогатели остаются одной из самых серьёзных угроз для бизнеса. В 2024 году F6 зафиксировала более 500 атак с использованием шифровальщиков — это в полтора раза больше, чем годом ранее. Для малого бизнеса сумма выкупа варьировалась от 100 тыс. до 5 млн руб., а для средних и крупных компаний, на долю которых приходилась каждая пятая атака, минимальные требования хакеров начинались от 5 млн руб. Основными жертвами вымогателей стали компании производственного, строительного и фармацевтического секторов экономики. Также под удар попали IT-компании, предприятия добывающей отрасли и военно-промышленного комплекса. Эксперты подчёркивают, что киберпреступники сначала похищают конфиденциальную информацию, а затем шифруют инфраструктуру жертвы.

Источник изображения: Wesley Tingey / Unsplash

Фишинговые атаки, основанные на социальной инженерии и подмене доверенных ресурсов, продолжают набирать обороты. В 2024 году среднее количество поддельных веб-ресурсов, имитирующих официальные сайты крупных брендов, увеличилось на 28 % — с 7878 до 10 112. При этом число фишинговых сайтов, приходящихся на один бренд, возросло на 52 %, а количество мошеннических ресурсов — на 18 %. Отдельную угрозу представляют шпионские программы, распространяемые по модели Malware-as-a-Service (MaaS) — «вредоносное ПО как услуга». Эта схема позволяет киберпреступникам, не обладающим глубокими техническими знаниями, арендовать вредоносные программы и серверную инфраструктуру для рассылки шпионского ПО. В результате злоумышленники массово распространяют фишинговые ссылки, вредоносные вложения и трояны, расширяя масштабы атак.

Доменные зоны фишинговых и скам-ресурсов. Источник изображения: f6.ru

Одним из ключевых трендов 2025 года станет эскалация атак с использованием троянов для Android-устройств. Современные вредоносные программы распространяются через поддельные страницы оплаты, мошеннические ссылки в соцсетях и мессенджерах, а также под видом легитимных обновлений приложений. В результате пользователи заражают свои устройства всего за несколько кликов. Особенность новых троянов заключается в их способности перехватывать SMS-коды двухфакторной аутентификации, похищать финансовые данные и предоставлять злоумышленникам удалённый доступ к заражённому устройству. В 2024 году утечки информации достигли катастрофических масштабов. Так, данные 59 % российских организаций уже оказались в даркнете. В ряде случаев злоумышленники требуют у руководства компаний выкуп до 10 млн руб. за неразглашение информации.

Хакерская группировка «Соляной тайфун» (Salt Typhoon) продолжает атаковать мировые телекоммуникационные сети, игнорируя международные санкции и активное освещение в СМИ. С декабря 2024 года по январь 2025 года злоумышленники активно эксплуатировали уязвимости сетевого оборудования Cisco, атакуя университеты, интернет-провайдеров и телеком-компании в США, Италии, Таиланде, ЮАР и ряде других стран. Эта кибершпионская операция уже стала одной из крупнейших в истории кибератак на американские телекоммуникации.

Источник изображения: Wesley Tingey / Unsplash

Попытки американских властей остановить деятельность Salt Typhoon не принесли ощутимого результата. Напротив, группировка, действующая, как предполагается, при поддержке госструктур Китая, не только продолжает свои атаки, но и расширяет географию вторжений, компрометируя организации в разных странах. Аналитическая компания Recorded Future подчёркивает, что злоумышленники адаптируются к мерам киберзащиты, используя проверенные методы и находя новые уязвимости в сетевой инфраструктуре.

ФБР и Агентство по кибербезопасности и защите инфраструктуры США (CISA) ещё в 2024 году заявили, что Salt Typhoon ведёт длительную кампанию взломов американских телекоммуникационных провайдеров. Хакеры активно эксплуатируют известные уязвимости, в том числе «специфичные функции» оборудования Cisco, широко используемого в отрасли связи. Основной целью атак, по мнению экспертов, является получение компрометирующей информации о высокопоставленных чиновниках США.

В декабре 2024 года крупнейшие телекоммуникационные операторы США, AT&T и Verizon, заявили, что не фиксируют активности Salt Typhoon в своих сетях. Однако исследование Recorded Future, проведённое в декабре 2024 — январе 2025 годов, показало, что злоумышленники продолжают атаки, используя уязвимости незащищённых устройств Cisco. В отчёте отмечается, что хакеры целенаправленно компрометируют телекоммуникационную инфраструктуру, ориентируясь на наиболее уязвимые узлы сети.

Среди атакованных организаций — интернет-провайдеры в США и Италии, телекоммуникационные компании в Таиланде и ЮАР, а также американский филиал одной из британских телекоммуникационных корпораций. Масштаб атак свидетельствует о системной и целенаправленной стратегии. Аналитики Insikt Group, подразделения Recorded Future, зафиксировали более 12 000 сетевых устройств Cisco, веб-интерфейсы которых оказались открытыми для доступа из интернета. По данным отчёта, хакеры Salt Typhoon пытались взломать более 1 000 из них, выбирая цели на основе их связи с телекоммуникационными сетями.

Помимо телекоммуникационных компаний, хакерские атаки затронули университеты в США, Аргентине, Бангладеше, Индонезии, Малайзии, Мексике, Нидерландах, Таиланде и Вьетнаме. Эксперты предполагают, что целью атак было получение доступа к исследованиям в областях телекоммуникаций, инженерии и высоких технологий. Среди ключевых целей группы выделяются Калифорнийский университет в Лос-Анджелесе (UCLA) и Делфтский технический университет (TU Delft).

Компрометация сетевой инфраструктуры телеком-компаний и университетов предоставляет злоумышленникам возможность перехватывать голосовые вызовы, текстовые сообщения и интернет-трафик. Recorded Future характеризует эти атаки как «стратегическую разведывательную угрозу», поскольку они позволяют не только осуществлять перехват конфиденциальной информации, но и вмешиваться в передачу данных, манипулировать информационными потоками и даже дестабилизировать работу коммуникационных систем.

Специалисты предупреждают, что телекоммуникационные компании должны незамедлительно устранять уязвимости в своих сетевых устройствах. В отчёте Recorded Future подчёркивается, что отсутствие своевременного обновления оборудования Cisco создаёт критическую брешь в безопасности, превращая эти устройства в уязвимые точки входа для хакеров. CISA и ФБР настоятельно рекомендуют переходить на использование сквозного шифрования для защиты конфиденциальной информации и минимизации рисков несанкционированного перехвата данных.

В 2024 году число хакерских атак с использованием программ-вымогателей увеличилось, однако, несмотря на это, злоумышленникам удалось получить значительно меньше средств в качестве выкупа за восстановление доступа к заблокированным данным, выяснила аналитическая компания Chainalysis.

Источник изображений: Chainalysis

Согласно данным Chainalysis, пострадавшие компании выплатили хакерам-вымогателям за 2024 год $814 млн, что на 35 % меньше, чем в 2023 году, когда эта сумма достигла рекордных $1,25 млрд. Также отмечено, что впервые с 2022 года доходы злоумышленников от программ-вымогателей снизились. Причинами сокращения выплат стали активизация правоохранительных органов в борьбе с киберпреступностью, повышение эффективности международного сотрудничества спецслужб и нежелание пострадавших организаций выплачивать крупные суммы, несмотря на риск потери данных. Запрашиваемые суммы выкупа оказались на 53 % выше, чем в итоге получили хакеры.

После ряда операций по изъятию серверов, проведённых в начале 2024 года правоохранительными органами нескольких стран против хакерской группировки LockBit, платежи за снятие блокировки с использованием этого вируса-вымогателя сократились во второй половине года на 79 %. Напомним, что 51-летний Ростислав Панев, один из ключевых разработчиков LockBit, был арестован в Израиле в августе 2024 года. В настоящее время он ожидает экстрадиции в США.

Лиззи Куксон (Lizzie Cookson), старший директор Coveware — компании, специализирующейся на реагировании на инциденты с программами-вымогателями, — сообщила Chainalysis, что рынок так и не восстановился после краха группировок LockBit и BlackCat/ALPHV. «Текущая экосистема программ-вымогателей заполнена множеством новичков, которые, как правило, сосредотачивают усилия на малом и среднем бизнесе. В свою очередь, это приводит к более скромным требованиям выкупа», — отметила она.

В первом полугодии 2024 года объёмы полученных хакерами выкупов оставались примерно на уровне аналогичного периода 2023 года — около $459,8 млн, что на 2,38 % больше в годовом исчислении. Эта сумма включает рекордный выкуп в размере $75 млн, выплаченный хакерской группировке Dark Angels за восстановление информации. Однако во втором полугодии 2024 года пострадавшие компании стали гораздо реже соглашаться на выплату выкупа, что привело к снижению доходов хакеров на 34,9 % по сравнению с первой половиной года.

Хакерская группировка Lazarus, которую связывают с властями КНДР, провела крупномасштабную операцию Phantom Circuit — они скомпрометировали сотни систем по всему миру с целью кражи секретной информации. Для этого злоумышленники клонировали легитимное ПО с открытым кодом и внедряли в него бэкдоры в надежде, что разработчики и другие потенциальные жертвы, преимущественно работающие в криптовалютной отрасли, случайно воспользуются ими и сделают свои машины уязвимыми. Вредоносные проекты распространялись через крупные платформы, включая GitLab.

Источник изображения: AltumCode / unsplash.com

Схему обнаружили эксперты в области кибербезопасности из компании SecurityScorecard. В минувшем ноябре жертвами хакеров стали 181 разработчик преимущественно из европейского технологического сектора. В декабре их число выросло до 1225 человек, включая 284 из Индии и 21 из Бразилии. В январе к их числу добавились ещё 233 жертвы, в том числе 110 из технологического сектора Индии. Киберпреступникам удалось похитить учётные данные своих жертв, токены аутентификации, пароли и другую конфиденциальную информацию.

В число клонированных и изменённых хакерами репозиториев вошли такие проекты как Codementor, CoinProperty, Web3 E-Store, менеджер паролей на основе Python, а также другие приложения, связанные с криптовалютой и web3, рассказали в SecurityScorecard. Когда жертва неосознанно загружала и устанавливала такое приложение-форк, на его машину также устанавливался бэкдор, позволяющий злоумышленникам подключаться к ней, похищать конфиденциальные данные и отправлять их на свои ресурсы. Участвующие в схеме Phantom Circuit управляющие (C2) серверы Lazarus Group, как выяснилось, начали работу ещё в сентябре — они использовались для связи с заражёнными системами, доставки вредносного ПО и копирования украденных данных. Экспертам так и не удалось выяснить, «как обрабатывались извлечённые данные, и какая инфраструктура использовалась для управления этим серверами».

Эксперты обнаружили скрытую административную систему, размещённую на каждом сервере — она обеспечивала централизованное управление атакой; система была написана на основе React и Node.js. Чтобы скрыть происхождение кампании, хакеры Lazarus Group применяли многослойную обфускацию. Чтобы скрыть географическое происхождение, использовался VPN, а на прокси-уровне вредоносная активность смешивалась с безобидным сетевым трафиком. Серверы размещались в инфраструктуре Stark Industries — специалисты SecurityScorecard установили, что к ним подключались не менее чем с шести северокорейских адресов, один из которых ранее был связан с атаками Lazarus на платформу Codementor. Похищенные данные выгружались в облачное хранилище Dropbox.

Хакерские группировки, предположительно связанные с Ираном, Северной Кореей, Китаем и Россией, пытались использовать искусственный интеллект Google Gemini для развёртывания различных атак. Значительного успеха киберпреступникам добиться не удалось, но система помогла им автоматизировать некоторые задачи, рассказали в Google.

Источник изображения: Kevin Ku / unsplash.com

«Хотя ИИ может оказаться полезным средством для злоумышленников, он пока не настолько меняет правила игры, как его порой изображают», — говорится в блоге Google. Хакеры смогли использовать возможности Gemini в противоправных целях: для перевода контента, совершенствования фишинговых атак и написания программного кода. Наиболее активными пользователями Gemini оказались киберпреступники, связанные, по версии Google, с Ираном. Они применяли ИИ для изучения организаций в оборонной отрасли, исследования уязвимостей и генерации контента для фишинговых кампаний.

Использовать Gemini для непосредственного взлома систем у них не получилось, но автоматизировать некоторые свои задачи злоумышленники всё-таки смогли: ИИ помог им в исследованиях, разъяснении сложных концепций, создании и отладке кода. При попытке применить систему для захвата учётных записей или взлома самого Gemini сработали защитные механизмы. Система отказалась подготовить руководство по неправомерному использованию продуктов Google, разработать продвинутые методы фишинга, помочь в создании средств кражи информации из браузера Chrome и методов обхода средств проверки при регистрации учётных записей в Google. Gemini не стал создавать вредоносное ПО или другой контент, который можно было бы использовать при реализации атак.

Но всё-таки ИИ помог киберпреступникам повысить качество перевода пропагандистских материалов, сопроводительных писем для связи со специалистами через профессиональную соцсеть LinkedIn и получения информации об обмене работниками за рубежом. Схожий доклад в прошлом году опубликовали Microsoft и OpenAI: киберпреступники смогли автоматизировать часть своих задач при помощи ИИ, но не добились каких-то прорывов. В Google заявили, что внимательно изучают случаи злоупотребления продуктами компании, стремятся пресекать подобные инциденты и при необходимости привлекают правоохранительные органы.

В 2024 году утечек персональных данных россиян стало гораздо меньше, хотя их объёмы заметно выросли, пишут «Ведомости» со ссылкой на данные компании DLBI и Роскомнадзора.

Источник изображения: Mika Baumeister/unsplash.com

Согласно исследованию DLBI, проанализировавшей утечки данных, опубликованные в даркнете, на закрытых и публичных форумах и в Telegram-каналах, в 2024 году были зафиксированы 382 утечки, что меньше 445 утечек в 2023 году. Вместе с тем вырос объём утечек в прошлом году — были скомпрометированы 438 млн телефонных номеров и 227 млн адресов электронной почты, что на 70 % больше, чем годом ранее.

Как и в 2023 году, в 2024 году на первом месте по количеству утечек оказалась отрасль электронной коммерции, в которой произошло 148 инцидентов, а доля утечек в общем объёме составила 38 %. Второе место сохранил сегмент развлекательных ресурсов с 33 случаями утечек (8 %) против 49 случаев (11 %) в 2023 году. На третьем месте по утечкам — медицинские сервисы (7 %), тогда как в 2023 году тройку замыкали финансовые организации.

Как отметили специалисты DLBI, чем меньше компания, тем меньше у неё возможностей по борьбе с утечками данных, и тем чаще она сталкивается с подобными инцидентами.

Сократилось количество утечек и по данным Роскомнадзора, который учитывает только те инциденты, которые были проверены и подтверждены специалистами регулятора. В ведомстве сообщают, что в 2024 году были зафиксированы 135 случаев утечек, в которых содержалось более 710 млн записей, годом ранее — 168 фактов утечек с более 300 млн записей.

Как сообщают в DLBI, по объёму скомпрометированных данных в 2024 году лидирует сегмент развлекательных ресурсов с утечкой 37 % общего объёма кражи хакерами телефонных номеров и 47 % e-mail-адресов. На втором месте — финансовый сектор, на долю которого приходится 28 % утёкших номеров телефонов и 17 % адресов электронной почты. На третьем месте — сектор электронной коммерции с 10 % утёкших номеров телефонов и 13 % e-mail-адресов. В 2023 году лидировал по утечкам финансовый сектор (52 % утёкших номеров телефонов и 21 % адресов e-mail) с электронной коммерцией и развлекательными ресурсами на втором и третьем местах соответственно.

В DLBI отметили, что в 2023–2024 гг. на распределение утечек по объёму повлияло небольшое число крупных инцидентов. Например, развлекательные ресурсы за два года оказались на втором месте из-за утечки из крупного онлайн-казино (73 млн телефонных номеров и 84 млн e-mail адресов), а сегмент финансовых организаций — благодаря утечке почти 70 млн телефонных номеров и 8 млн e-mail адресов клиентов одного из производителей программного обеспечения для микрофинансовых организаций.

В основном утечки данных происходят посредством взлома инфраструктуры благодаря обнаруженным уязвимостям либо с использованием украденных паролей учётных записей с административным доступом, сообщили в DLBI. По словам экспертов, за большинством взломов по-прежнему стоят злоумышленники, которые, как правило, не пытаются продать полученные данные, а спешат выложить их в открытый доступ. Наиболее часто для взлома используются программы-стилеры, похищающие сохранённые пароли с компьютеров или мобильных устройств.

Согласно прогнозу аналитиков, в условиях геополитического конфликта в 2025 году будут продолжаться атаки как хактивистов, так и прогосударственных преступных группировок на российские государственные и коммерческие организации. Ожидается, что с развитием технологий, используемых хакерами, новые атаки будут мощнее.

«Ростелеком» прокомментировал появившуюся в интернете информацию об утечке данных пользователей в результате взлома систем хакерской группировкой. В сообщении для ТАСС компания предположила, что утечка могла произойти у одного из подрядчиков, у которого ранее уже фиксировались инциденты в информационной безопасности.

Источник изображения: Arif Riyanto/unsplash.com

«В ответ на анонимные сообщения об утечке данных, приписываемой интернет-ресурсам “Ростелекома”, компания сообщает, что ранее фиксировала инциденты информационной безопасности у одного из своих подрядчиков, обслуживавших данные ресурсы. Наиболее вероятно, что утечка произошла из инфраструктуры подрядчика, — сообщили в «Ростелекоме» новостному агентству. — "Ростелеком" предпринял меры по устранению выявленных угроз».

Ранее профильные Telegram-каналы сообщили об возможной утечке данных у «Ростелекома», к которой якобы причастна хакерская группа Silent Crow, известная громкими взломами. В частности, канал «Утечки информации» написал, что хакеры заполучили базы данных сайтов company.rt.ru и zakupki.rostelecom.ru, информация в которых датирована сентябрем 2024 года. Всего было скомпрометировано 154 тыс. уникальных адресов электронной почты и 101 тыс. номеров телефонов. Silent Crow ранее заявляла о взломе Росреестра, компаний «Киа Россия и СНГ», «АльфаСтрахование-Жизнь» и «Клуб клиентов Альфа-Банка».

В «Ростелекоме» сообщили «Коммерсанту», что данные интернет-ресурсы не предназначены для обслуживания клиентов-физических лиц. «На этих ресурсах не хранятся и не обрабатывается персональные данные частных клиентов», — пояснили в компании.

По предварительным данным «Ростелекома», утечки «особо чувствительных» персональных данных не было. Компания сообщила, что были приняты меры по устранению выявленных угроз, и в настоящий момент изучается опубликованная база данных с целью определить, «какая часть данных была скомпрометирована и относится ли она к компании».

Как передают «Ведомости» со ссылкой на представителя «Ростелекома», в утекших базах содержатся контактные данные сотрудников и представителей юрлиц, то есть речь о корпоративных данных, а не пользовательских. Вместе с тем пользователям было рекомендовано сбросить пароли и включить двухфакторную аутентификацию.

Антон Антропов, технический директор IT Task с более чем 20-летним стажем работы в сфере информационной безопасности, прокомментировал ситуацию следующим образом: «Здесь мы наблюдаем то, что я бы назвал классическим риск-ориентированным подходом из серии "зачем нам защищать все, если можно защитить только важные части сайта?". Учитывая, что информация говорит нам о взломе именно формы обратной связи, это то, о чем меньше всего обычно задумываются компании. Люди оставляют реальные имена, телефоны, почты и, как мы видим, взломщики не гнушаются взламывать никакие разделы сайта. Поэтому здесь можно смело говорить о том, что защита слаба настолько, и защищать необходимо все качественно».

Обновлено:

В Минцифры РФ заявили, что утечка данных у «Ростелекома» не затронула пользователей Госуслуг. В министерстве подчеркнули, что все данные портала под надежной защитой. В свою очередь Роскомнадзор заявил, что пока не получал официального уведомления от «Ростелекома» об утечке. Согласно закону «О персональных данных», оператор, допустивший утечку персональных данных, обязан уведомить об инциденте Роскомнадзор в течение 24 часов.

Стоимость хакерской атаки с использованием вируса-шифровальщика на начало 2025 года в среднем составляет $20 тыс., пишут «Ведомости» со ссылкой на данные Positive Technologies, основанные на анализе более 20 тыс. объявлений на 40 площадках — крупных теневых форумах, маркетах и Telegram-каналах.

Источник изображения: Hack Capital/unsplash.com

Атака на объект проходит в несколько этапов, включая сбор данных о компании, аренду или подготовку инфраструктуры, покупку необходимых инструментов, получение доступа к инфраструктуре и закрепление в ней. В случае успеха злоумышленники могут получить $100–130 тыс. чистой прибыли, подсчитали в Positive Technologies. При этом жертва атаки может столкнуться с колоссальным финансовым ущербом в результате нарушения бизнес-процессов. Например, в 2024 году из-за атаки вымогателей серверы американской компании CDK Global не работали две недели. Чтобы их разблокировать, компания выплатила киберпреступникам $25 млн, тогда как из-за простоя потеряла более $600 млн.

Вредоносное ПО — один из основных инструментов в арсенале злоумышленников, говорится в исследовании Positive Technologies. В 19 % объявлений на теневых форумах и площадках предлагаются инфостилеры, предназначенные для кражи данных, с медианной стоимостью $70. В 17 % от общего количества объявлений предлагаются крипторы и инструменты обфускации кода, позволяющие скрываться от средств защиты, по средней цене $400, и в 16 % — загрузчики стоимостью в пределах $500. Также большой популярностью пользуются эксплойты, стоимость которых в 31 % случаев находится в пределах от $20 тыс. до нескольких миллионов долларов. Среди киберпреступных услуг наиболее популярен взлом ресурсов (49 % сообщений). Тариф на компрометацию личного аккаунта в электронной почте начинается от $100, корпоративного — от $200.

Цена на вредоносное ПО зависит от используемых технологий и репутации продавца, сообщил аналитик направления аналитических исследований Positive Technologies Дмитрий Стрельцов. «Инструменты, эксплуатирующие уязвимости нулевого дня, могут стоить миллионы долларов, в то время как вредоносное ПО на основе известных уязвимостей стоит гораздо дешевле», — пояснил он, добавив, что большинство инструментов предлагаются по подписке на определённый срок, например, неделю, месяц или год.

По словам эксперта, самым дорогим типом вредоносного ПО является шифровальщик с медианной стоимостью от $7,5 тыс. до $320 тыс. Высокая стоимость объясняется сложностью разработки и высокой эффективностью: он быстро распространяется во взломанной инфраструктуре, хорошо маскируется и может удалить следы атаки.

Атаки могут быть более многоуровневыми и неоднократными, из-за чего стоимость подготовки может быть гораздо больше $20 тыс., говорит гендиректор группы компаний ST IT, эксперт рынка TechNet НТИ Антон Аверьянов. При этом успех больше зависит от качества подготовки и выбранной цели, чем от суммы вложений, утверждает глава отдела исследований в области ИИ дирекции разработки и развития цифровой платформы «Университета 2035» Ярослав Селиверстов.

Эксперты отмечают заметный рост стоимости проведения атак за последние два-три года, что связано с увеличением их сложности, а также внедрением защитных мер со стороны компаний. Цены также растут в связи с повышением стоимости услуг профессиональных хакеров, ростом затрат на эксплуатацию уязвимостей и обход защиты. Кроме того, на этот процесс влияет инфляция.

За прошедший год количество кибератак на российские компании выросло в 2,5 раз до 130 тыс. инцидентов, а совокупное количество высококритичных инцидентов (которые привели или могли привести к финансовым потерям или остановке работы организации) достигло 26 тыс. При этом основная часть атак пришлась на значимые промышленные и инфраструктурные объекты. Об этом пишет «Коммерсантъ» со ссылкой на данные RED Security (входит в состав МТС).

Источник изображения: pexels.com

В «Информзащите» подтвердили динамику роста количества хакерских атак. В компании сообщили, что совокупное число инцидентов в сфере информационной безопасности в российских компаниях за минувший год достигло 140 тыс., что в 2,7 раза больше по сравнению с аналогичным показателем за 2023 год. Там также добавили, что во втором полугодии наблюдался рост относительно первого, количество ИБ-инцидентов выросло примерно на 30 %.

По данным RED Security, хакерским атакам в прошедшем году чаще всего подвергались организации отраслей критической информационной инфраструктуры, такие как банки, объекты промышленности, телекоммуникации и др. На их долю пришлось около 64 % от общего количества атак за год, а самой атакуемой отраслью была промышленность. В прошлом году на КИИ было направлено 47 % от общего количества хакерских атак. Если учитывать только высококритичные инциденты, то доля отраслей КИИ выросла до 68 %.

Эксперты из RED Security считают, что для бизнеса наибольшую угрозу представляют политически мотивированные хакеры, которые совершают атаки не с целью извлечения финансовой выгоды, а для нанесения ущерба той или иной компании. Генеральный директор Innotage Айдар Гузаиров добавил, что помимо политически мотивированных хакеров, киберпреступления с целью извлечения финансовой выгоды также чрезвычайно актуальны. Он отметил рост количества таких инцидентов, а также рост компетенций злоумышленников, модернизацию методов атак и использование хакерами новых инструментов.

Отмечается, что с начала 2025 года некоторые российские компании уже подверглись кибератакам. К примеру, злоумышленники атаковали IT-ресурсы электронной торговой площадки «Росэлторг» (9 января компания ограничила доступ к своим сервисам). Позднее компания объявила о проведении «внеплановых технических работ», связанных с внешней попыткой уничтожения данных и всей инфраструктуры проведения электронных торгов. К настоящему моменту все данные и инфраструктура уже восстановлены.

«Сбер» выявил деятельность онлайн-университета по подготовке мошенников, в том числе хакеров для атак на российские компании, в котором уже прошли обучение порядка 10 тыс. слушателей. В нём имеются курсы, по завершению обучения сдаются экзамены — всё как в обычном учебном заведении. Об этом рассказал «РИА Новости» зампред правления банка Станислав Кузнецов.

Источник изображения: Azamat E/unsplash.com

«Для подготовки хакеров, которые атакуют российские компании, есть даже целые “университеты”. “Сбер” вскрыл работу одного такого учреждения», — сообщил новостному агентству Кузнецов. Он рассказал, что этот «университет» регулярно набирает «слушателей» в даркнете. Срок обучения — семь недель, подготовка поставлена на поток. «По нашим данным, обучение прошли 10 тысяч человек. Хотели обучиться 20 тысяч, то есть, там ещё и конкурс имеется», — сообщил зампреда банка.

По словам Кузнецова, мошенничество сейчас представляет собой целую сферу теневой экономики с большим количеством специализаций. Её нижнему звену — обзвонщикам — особых знаний не нужно. Они работают по шаблонным скриптам, и ключевым навыком у них является умение втираться в доверие и достоверно играть свою роль. Сейчас в эту категорию всё чаще набирают людей со знанием языков — восточноевропейских, западноевропейских, стран Балтии, говорит зампреда «Сбера».

По словам Кузнецова, в 2024 году мошенники похитили у россиян 250–300 млрд руб. В этом году, по его мнению, самыми популярными схемами у аферистов будут получение обманным путём данных для хищения аккаунта на «Госуслугах», обращение к пользователям через мессенджеры под видом руководителя и фальшивые звонки из ведомств.

Вчера вечером Telegram-канал «Утечки информации» обнаружил объявление хакеров, которые заявили, что им удалось похитить около 1 Тбайт личных данных из Росреестра. В ведомстве утечку информации из Единого государственного реестра объектов недвижимости не подтвердили.

Источник изображения: Glenn Carstens Peters / Unsplash

«В настоящее время проводятся дополнительные проверки информации, опубликованной в ряде телеграмм-каналов», — сказано в сообщении, опубликованном в Telegram-канале Росреестра.

Хакеры утверждают, что в их распоряжении находится около 1 Тбайт данных, похищенных у Росреестра. В доказательство этого злоумышленники выложили в открытый доступ архив с базой данных, в которой содержатся ФИО, адреса электронной почты, номера телефонов, адреса, паспортные данные, СНИЛС россиян, а также названия компаний.

Напомним, в ноябре прошлого года был принят закон, ужесточающий наказание за утечку персональных данных. На данный момент допустившим утечку данных клиентов компаниям грозит штраф до 100 тыс. рублей, а при повторных инцидентах — до 300 тыс. рублей. В пояснительной записке к закону говорилось, что «указанный размер штрафа не соразмерен с возможными последствиями от произошедших утечек». Поэтому для компаний были введены оборотные штрафы — до 3 % годовой выручки. Кроме того, за использование, передачу, сбор и хранение персональных данных, полученных незаконным путём, а также за создание интернет-ресурсов для распространения таких данных, предусмотрена уголовная ответственность.

Министерство финансов США уведомило в понедельник Конгресс США о взломе его систем, осуществлённом хакерами, связанными с Китаем. Инцидент произошёл в начале месяца. По данным ведомства, в результате кибератаки злоумышленники получили доступ к рабочим станциям государственных служащих и несекретным документам. Об этом пишет газета The New York Times, ознакомившаяся с письмом Минфина Конгрессу США.

Источник изображения: Hack Capital/unsplash.com

В письме сообщается, что 8 декабря подрядчик компании-поставщика программного обеспечения BeyondTrust уведомил Министерство финансов о том, что хакер завладел ключом безопасности, позволившим ему получить удалённый доступ к рабочим станциям, на которых хранились несекретные документы. Поскольку в организации кибератаки подозревается спонсируемая КНР хакерская группировка APT (Advanced Persistent Threat), инцидент классифицирован как «крупный инцидент кибербезопасности», говорится в письме Министерства финансов США.

В настоящее время BeyondTrust, совместно с Агентством по обеспечению инфраструктурной и кибербезопасности (CISA) и ФБР, проводит расследование. Согласно информации, размещённой на веб-сайте BeyondTrust, компания обслуживает более 20 тысяч клиентов в более чем 100 странах. Её инструменты удалённого доступа используют 75 % организаций из списка Fortune 100.

Как сообщил представитель BeyondTrust, компания была уведомлена 5 декабря о скомпрометированном ключе API, который немедленно отозвали. В настоящее время она сотрудничает с клиентами, затронутыми инцидентом, для устранения последствий атаки, связанной с продуктом Remote Support. BeyondTrust также подчеркнула, что других её продуктов этот инцидент не затронул.

США не впервые обвиняют связанных с Китаем хакеров в атаках на объекты инфраструктуры страны. Ранее в этом году сообщалось о взломе электронной почты министра торговли Джины Раймондо (Gina Raimondo), когда она принимала решения о новых мерах экспортного контроля, ограничивающих доступ китайских фирм к передовым технологиям. Аналогичные действия хакеры предприняли против Госдепартамента США, пишет The New York Times.

По данным Белого дома, по меньшей мере девять американских телекоммуникационных компаний подверглись кибератакам со стороны поддерживаемой китайским государством хакерской группировки Salt Typhoon. Злоумышленники также получили почти полный список телефонных номеров, которые Министерство юстиции использовало для прослушивания в рамках слежки за подозреваемыми в преступлениях или шпионаже.

В ответ на действия Salt Typhoon Министерство торговли США заявило в этом месяце, что запретит оставшиеся операции China Telecom в Соединённых Штатах.

В посольстве КНР в Вашингтоне (США) заявили ТАСС в конце октября, что США следует прекратить хакерские атаки по всему миру и воздержаться от клеветы в отношении других стран под предлогом обеспечения кибербезопасности. «США сами являются источником и крупнейшим исполнителем кибератак», — отметил представитель китайской дипмиссии, комментируя заявления ФБР и CISA.

Власти США предъявили обвинения гражданину России и Израиля Ростиславу Паневу (Rostislav Panev), который предположительно являлся одним из ключевых разработчиков в группировке киберпреступников, ответственных за распространение вируса-вымогателя LockBit. 51-летний Панев был арестован в Израиле в августе и сейчас ожидает экстрадиции в США.

Источник изображения: Desola Lanre-Ologun / unsplash.com

По версии американского минюста, Панев играл важную роль в деятельности LockBit с момента её создания в 2019 году как минимум до февраля 2024 года. За это время LockBit стала одной из самых активных и опасных группировок киберпреступников — вымогателей, жертвами которой оказались более 2500 частных лиц и организаций в 120 странах мира, в том числе 1800 в США. Вирус заражал системы малых предприятий, многонациональных корпораций, больниц, школ, объектов критической инфраструктуры и государственных учреждений. Группировка получила от жертв не менее $500 млн, общий ущерб от её действий исчисляется миллиардами.

Панев обвиняется в разработке вредоносного кода и поддержании инфраструктуры, необходимой для работы LockBit. На его компьютере сотрудники правоохранительных органов обнаружили учётные данные администратора репозитория в даркнете с исходным кодом LockBit и средства для организации атак. Задержанный, как сообщается, признался, что занимался в LockBit программированием и консультационной деятельностью, создал код для отключения антивирусной защиты, распространения вируса по локальным сетям и вывода писем с требованием выкупа на печать на всех доступных принтерах. С июня 2022 по февраль 2024 года Панев, гласят судебные материалы, ежемесячно получал переводы в криптовалюте на сумму около $10 000 — всего примерно на $230 000.

В феврале правоохранительные органы нескольких стран провели операцию, в результате которой была нарушена работа инфраструктуры LockBit. По делу группировки к настоящему моменту в округе Нью-Джерси предъявлены обвинения семи предполагаемым её членам. Основным разработчиком и создателем группировки LockBit считается уроженец Воронежа Дмитрий Хорошев — за сведения, которые приведут к его аресту, обещано вознаграждение в размере до $10 млн; за информацию о прочих участниках LockBit американские власти обещают заплатить до $5 млн.

Общая стоимость украденной в 2024 году криптовалюты выросла на 21 % и достигла $2,2 млрд. Более половины этой суммы было похищено киберпреступниками, предположительно связанными с КНДР, гласит доклад Chainalysis.

Источник изображения: Traxer / unsplash.com

В период с 2017 по 2023 год северокорейские хакеры украли криптовалютные активы на $3 млрд, сообщили в совете безопасности ООН. В 2024 году на долю киберпреступников из этой страны пришлись 61 % от общей суммы украденных активов — $1,34 млрд и 47 инцидентов, уточнили в Chainalysis. Большинство взломов, которые привели к кражам криптовалют, произошло в период с января по июль этого года — сумма украденных за это время средств превысила $1,58 млрд, что на 84,4 % больше, чем за тот же период годом ранее. С июля подобные инциденты стали происходить значительно реже, что эксперты соотнесли с изменением геополитической обстановки, связанной с КНДР.

Источник изображения: chainalysis.com

За последнее десятилетие объёмы годовых краж криптовалюты четырежды превышали миллиард долларов: в 2018 ($1,5 млрд), 2021 ($3,3 млрд), 2022 ($3,7 млрд) и 2023 ($1,8 млрд) годах. Самыми уязвимыми представляются платформы децентрализованных финансов (DeFi) — за последние три года сервисы с недостаточной защитой стали наиболее частыми целями атак; наибольшей «популярностью» у хакеров они пользовались и в I квартале 2024 года, а во II и III кварталах киберпреступники переключились на централизованные платформы.

Самыми громкими случаями атак на централизованные сервисы в этом году стали взломы японской криптобиржи DMM Bitcoin, которая в результате инцидента потеряла $305 млн, и индийской WazirX — она после взлома системы безопасности в июле приостановила вывод средств.

Главный радиочастотный центр (ГРЧЦ, входит в состав Роскомнадзора) закупит лицензии на использование программного обеспечения, предназначенного для генерации приманок и ловушек для хакеров. Данные на портале госзакупок указывают на то, что поставщик таких решений был выбран 13 декабря. Им стал отечественный разработчик ПО в сфере информационной безопасности ООО «Ангара ассистанс».

Источник изображения: KeepCoding / Unsplashроссия

✶

Исполнитель должен установить ПО Xello Deception за 13,1 млн рублей. За счёт этого в инфраструктуре ведомства появится несколько серверов-ловушек с сотнями устройств, имитирующих реальные. ГРЧЦ сможет использовать данное решение в течение года. «Xello Deception нужен для обеспечения информационной безопасности предприятия», — прокомментировал данный вопрос представитель Роскомнадзора.

Напомним, компания Xello Deception выпускает одноимённый софтверный продукт класса Distributed Deception Platforms, который используется для введения в заблуждение хакеров, получивших доступ к защищённой инфраструктуре. Софтверные продукты такого типа способны имитировать элементы инфраструктуры, делая их реальными для хакеров. В виртуальной среде заказчик разворачивает поддельную инфраструктуру, включая компьютеры, серверы, принтеры, сетевые устройства, разные подключённые к сети промышленные и бытовые устройства. При этом на всех этих устройствах имитируются реальные действия — трафик, вход-выход и др.

Для реальных пользователей такие ловушки скрыты, поскольку в их работе взаимодействие с ними не предусмотрено. В этом случае любое использование такой ловушки расценивается как потенциальная активность злоумышленников. Когда злоумышленник пытается получить доступ к ресурсам предприятия, система осуществляет его перенаправление на ловушку — какой-то поддельный сервис, базу данных или что-то иное. За счёт этого хакера удаётся отвлечь от реальных целей, и чем дольше злоумышленник будет отвлечён, тем больше шансов его обнаружить и нейтрализовать.

По данным источника, общий объём рынка в категории Deception составит около 1 млрд рублей в 2024 году. По мнению некоторых экспертов, при дальнейшей популяризации технологии объём рынка может удвоиться в ближайшие годы. Кроме Xello Deception на российском рынке в данном направлении работают и другие компании, включая «Гарда Deception», AVSoft, LOKI, R-Vision TDP и др. Некоторые организации продолжают использовать купленные ранее аналоги от иностранных поставщиков, среди которых наибольшей популярностью пользуется израильский продукт TrapX.