"Год предприимчивого врага": хакеры поставили новый рекорд скорости и изощренности атак в 2024 году

Компания CrowdStrike опубликовала отчет Global Threat Report 2025 , в котором зафиксирован качественный скачок в поведении киберпреступников и государственных группировок. Специалисты называют 2024-й «годом предприимчивого противника» — атакующие действуют как зрелые бизнес-структуры, внедряя инновации, выстраивая устойчивые цепочки поставок доступа и активно применяя искусственный интеллект .

Главный показатель — время «прорыва» (breakout time), то есть период от первоначального проникновения до начала бокового перемещения по сети, — сократился до исторического минимума: в среднем 48 минут против 62 минут годом ранее. Абсолютный рекорд — 51 секунда, что фактически лишает защитников времени на реагирование.

В 79% выявленных случаев злоумышленники не использовали вредоносные файлы, действуя через легитимные инструменты администрирования и ручные операции (hands-on-keyboard). Такой подход позволяет маскироваться под обычную активность пользователей и обходить EDR . Особенно часто применяются средства удаленного администрирования (RMM), в том числе Microsoft Quick Assist и TeamViewer.

За год зафиксирован взрывной рост атак с использованием Вишинга — на 442% во втором полугодии 2024-го по сравнению с первым. Группировки CURLY SPIDER, CHATTY SPIDER и PLUMP SPIDER активно применяли телефонные звонки в качестве первичного вектора, нередко в сочетании со «спам-бомбингом» — массовой рассылкой писем-жалоб, служащей предлогом для звонка «от службы поддержки». В ряде случаев эти схемы завершались установкой бэкдоров и запуском вымогательского ПО Black Basta .

Дополнительно распространяются атаки через службы технической поддержки (help desk social engineering), когда злоумышленники, выдавая себя за сотрудников компании, убеждают операторов сбросить пароли или отключить многофакторную аутентификацию. Эта тактика используется, в частности, SCATTERED SPIDER, и уже стала одним из ключевых способов компрометации облачных учетных записей и SaaS-приложений.

2024-й стал переломным в использовании генеративного ИИ (GenAI) киберпреступниками и государственными операторами. Модели LLM применялись для:

• создания фальшивых профилей и изображений (например, у северокорейской FAMOUS CHOLLIMA);

• генерации фишинговых писем и сайтов, показавших на 54% больший CTR, чем сообщения, написанные людьми;

• дипфейков в схемах BEC — в одном случае с их помощью похищено $25,6 млн;

• написания вредоносных скриптов и инструментов;

• создания «декой»-сайтов в кампаниях NITRO SPIDER.

Появился и новый феномен — LLMJacking : кража доступа к корпоративным ИИ-сервисам в облаке для перепродажи или использования в других атаках.

Число атак с китайским следом выросло на 150% в среднем и на 200–300% в финансовом, медийном, производственном и инженерном секторах. Выявлены новые специализированные группы: LIMINAL PANDA, LOCKSMITH PANDA, OPERATOR PANDA, VAULT PANDA и ENVOY PANDA, каждая со своей нишевой специализацией — от телекоммуникаций и финансов до дипломатических ведомств. Китайские операторы активно используют ORB-сети из сотен и тысяч взломанных устройств для скрытия трафика и совместно применяют уникальные ранее инструменты, такие как малварь KEYPLUG.

Группа FAMOUS CHOLLIMA масштабировала кампании с использованием фиктивных IT-работников, которые устраиваются в зарубежные компании, получают корпоративные устройства и передают их в «фермы ноутбуков» для установки бэкдоров. CrowdStrike зафиксировала 304 инцидента с их участием, из которых 40% связаны с инсайдерскими угрозами.

Количество облачных взломов выросло на 26%. 35% из них начались с компрометации действующих учетных записей, при этом злоумышленники предпочитают не менять пароли, чтобы не вызывать тревогу. Используются как кражи учетных данных через инфостилеры (Stealc, Vidar), так и злоупотребление доверенными связями между компаниями.

Значительная часть атак строится на комбинировании эксплойтов (exploit chaining) и злоупотреблении легитимными функциями ПО. Например, OPERATOR PANDA использовала цепочку уязвимостей в Cisco IOS для атак на телекомы и консалтинговые фирмы в США.

CrowdStrike прогнозирует дальнейший рост скорости атак и масштабного применения ИИ, особенно в социальной инженерии и облачных средах. Для защиты эксперты рекомендуют приоритизировать защиту идентификаций, внедрять проактивное патчинг-планирование, усиливать контроль облачных учетных записей и использовать ИИ-ориентированные средства охоты за угрозами.