BI.ZONE представили годовую динамику российского ландшафта угроз

В 2024 году наибольшее количество атак (15%) пришлось на государственные организации. Годом ранее этот показатель составлял всего 9%.

Финансовая отрасль по-прежнему занимает второе место в списке наиболее атакуемых (13% в 2024-м и 12% в 2023 году).

На третьем месте, как и год назад, транспорт и логистика: в 2024 году на них пришлось 11% кибератак, а в 2023-м — 10%.

А вот доля ритейла сократилась. Если в 2023 году на отрасль приходилось 15% всех кибератак и по этому показателю она опережала все остальные, то в 2024-м представители розничной торговли становились целью всего в 4% случаев, а компании и з сферы электронной коммерции — в 9%.

Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE:

- Такие изменения во многом связаны со всплеском активности хактивистов, который пришелся на третий квартал 2024 года. В этот период каждая пятая кибератака была нацелена именно на госсектор. То, какие цели атакующие выбирают в качестве приоритетных, неизбежно влияет на их методы, инструменты и подходы. Все эти изменения и ключевые особенности ландшафта угроз отражены в исследовании Threat Zone 2025.

Доля атак, обусловленных финансовой мотивацией, снизилась с 76% до 67%. При этом суммы, которые злоумышленники запрашивают в качестве выкупа за расшифровку данных и восстановление доступа к IT-инфраструктуре, растут и все чаще достигают десятков миллионов рублей. Чтобы рассчитать и потребовать максимально возможный размер выкупа, преступники тщательно изучают жертву, в том числе ее финансовую отчетность.

В 2024 году 21% атак совершался с целью шпионажа. В 2023-м этот показатель был ниже и составлял 15%. Примечательно, что некоторые кластеры активности, занимающиеся шпионажем, больше не ограничиваются сбором и эксфильтрацией чувствительных данных и теперь совершают деструктивные действия в скомпрометированной IT-инфраструктуре. Такой почерк характерен для группировок с финансовой мотивацией, которые хотят получить выкуп за восстановление доступа к ресурсам организации, или для хактивистов, которые стремятся предать атаки максимально широкой огласке.

Незначительно (с 9% до 12%) выросла доля хактивистких атак. Такие преступники по-прежнему обнародуют на теневых ресурсах незаконно полученные персональные и чувствительные данные. При этом перед публикацией злоумышленники зачастую тщательно анализируют информацию, выявляя ту, что позволит атаковать другие организации.

В 2024 году вовлеченные в хактивизм преступники активно сотрудничали друг с другом. Такое взаимодействие влияет на набор методов и инструментов, используемых для атак, и затрудняет кластеризацию. С другой стороны, это позволяет специалистам эффективнее выявлять взаимосвязь между различными вредоносными активностями.

В 2023 году с фишингового письма начинались 68% целевых атак на российские организации. К середине 2024-го этот показатель достиг 76%, но к концу года снизился до 57%. При этом фишинг по-прежнему остается наиболее популярным методом получения первоначального доступа к IT-инфраструктуре.

В 2024 году атакующие стали чаще рассылать письма от имени государственных организаций и регуляторов. В первом полугодии доля таких сообщений составляла 4% от общего объема фишинговых писем, которые приходили в организации России и стран СНГ. К концу года этот показатель вырос в два раза — до 8%.

Такая тенденция во многом связана с увеличением доли атак на государственный сектор. Как правило, злоумышленники стараются, чтобы фишинговые рассылки выглядели максимально правдоподобно и не вызывали подозрений у потенциальных жертв, поэтому для атак на госорганизации маскируют письма под сообщения от регуляторов или других ведомств.

Вторым по популярности методом проникновения в инфраструктуру стало использование легитимных учетных записей (27%), доступ к которым киберпреступники получают различными способами: с помощью стилеров, перебора паролей, из утечек и т. д. Это позволяет злоумышленникам действовать практически незаметно по крайней мере на начальных этапах кибератаки.

На третьем месте — эксплуатация уязвимостей в общедоступных приложениях (13%).