51 секунда — всё, что нужно хакерам, чтобы прорваться в вашу сеть и начать её захват. Ваша защита бесполезна.

Компания CrowdStrike опубликовала отчет Global Threat Report 2025, в котором зафиксирован качественный скачок в поведении киберпреступников и государственных группировок. Специалисты называют 2024-й «годом предприимчивого противника» — атакующие действуют как зрелые бизнес-структуры, внедряя инновации, выстраивая устойчивые цепочки поставок доступа и активно применяя искусственный интеллект.

Главный показатель — время «прорыва» (breakout time), то есть период от первоначального проникновения до начала бокового перемещения по сети, — сократился до исторического минимума: в среднем 48 минут против 62 минут годом ранее. Абсолютный рекорд — 51 секунда, что фактически лишает защитников времени на реагирование.

В 79% выявленных случаев злоумышленники не использовали вредоносные файлы, действуя через легитимные инструменты администрирования и ручные операции (hands-on-keyboard). Такой подход позволяет маскироваться под обычную активность пользователей и обходить EDR. Особенно часто применяются средства удаленного администрирования (RMM), в том числе Microsoft Quick Assist и TeamViewer.

За год зафиксирован взрывной рост атак с использованием Вишинга — на 442% во втором полугодии 2024-го по сравнению с первым. Группировки CURLY SPIDER, CHATTY SPIDER и PLUMP SPIDER активно применяли телефонные звонки в качестве первичного вектора, нередко в сочетании со «спам-бомбингом» — массовой рассылкой писем-жалоб, служащей предлогом для звонка «от службы поддержки». В ряде случаев эти схемы завершались установкой бэкдоров и запуском вымогательского ПО Black Basta.

Дополнительно распространяются атаки через службы технической поддержки (help desk social engineering), когда злоумышленники, выдавая себя за сотрудников компании, убеждают операторов сбросить пароли или отключить многофакторную аутентификацию. Эта тактика используется, в частности, SCATTERED SPIDER, и уже стала одним из ключевых способов компрометации облачных учетных записей и SaaS-приложений.

2024-й стал переломным в использовании генеративного ИИ (GenAI) киберпреступниками и государственными операторами. Модели LLM применялись для:

• создания фальшивых профилей и изображений (например, у северокорейской FAMOUS CHOLLIMA);

• генерации фишинговых писем и сайтов, показавших на 54% больший CTR, чем сообщения, написанные людьми;

• дипфейков в схемах BEC — в одном случае с их помощью похищено $25,6 млн;

• написания вредоносных скриптов и инструментов;

• создания «декой»-сайтов в кампаниях NITRO SPIDER.

Появился и новый феномен — LLMJacking: кража доступа к корпоративным ИИ-сервисам в облаке для перепродажи или использования в других атаках.

Число атак с китайским следом выросло на 150% в среднем и на 200–300% в финансовом, медийном, производственном и инженерном секторах. Выявлены новые специализированные группы: LIMINAL PANDA, LOCKSMITH PANDA, OPERATOR PANDA, VAULT PANDA и ENVOY PANDA, каждая со своей нишевой специализацией — от телекоммуникаций и финансов до дипломатических ведомств. Китайские операторы активно используют ORB-сети из сотен и тысяч взломанных устройств для скрытия трафика и совместно применяют уникальные ранее инструменты, такие как малварь KEYPLUG.

Группа FAMOUS CHOLLIMA масштабировала кампании с использованием фиктивных IT-работников, которые устраиваются в зарубежные компании, получают корпоративные устройства и передают их в «фермы ноутбуков» для установки бэкдоров. CrowdStrike зафиксировала 304 инцидента с их участием, из которых 40% связаны с инсайдерскими угрозами.

Количество облачных взломов выросло на 26%. 35% из них начались с компрометации действующих учетных записей, при этом злоумышленники предпочитают не менять пароли, чтобы не вызывать тревогу. Используются как кражи учетных данных через инфостилеры (Stealc, Vidar), так и злоупотребление доверенными связями между компаниями.

Значительная часть атак строится на комбинировании эксплойтов (exploit chaining) и злоупотреблении легитимными функциями ПО. Например, OPERATOR PANDA использовала цепочку уязвимостей в Cisco IOS для атак на телекомы и консалтинговые фирмы в США.

CrowdStrike прогнозирует дальнейший рост скорости атак и масштабного применения ИИ, особенно в социальной инженерии и облачных средах. Для защиты эксперты рекомендуют приоритизировать защиту идентификаций, внедрять проактивное патчинг-планирование, усиливать контроль облачных учетных записей и использовать ИИ-ориентированные средства охоты за угрозами.