Москва, 6 февраля, 2025, 21:23 — ИА Регнум. Государственные организации стали основной целью для кибербатак, следует из исследования Threat Zone 2025 компании Bi. Zone. Оно основано на данных портала Bi. Zone Threat Intelligence, сервиса Bi. Zone TDR и Bi. Zone DFIR — команды реагирования на инциденты.

ИЗВЕСТИЯ/Сергей Лантюхов

Доля атак на государственные организации в общем количестве выросла до 15% в 2024 году, в то время как годом ранее этот показатель составлял всего 9%. На втором месте — финансовая отрасль, на которую пришлось 13% атак по сравнению с 12% в 2023 году. На третьем месте, как и год назад, — транспорт и логистика: в 2024 году на них пришлось 11% кибератак, а в 2023-м — 10%.

Между тем доля ритейла сократилась: в 2023 году на отрасль приходилось 15% всех кибератак, и по этому показателю она опережала все остальные, а в 2024-м представители розничной торговли становились целью всего в 4% случаев, а компании из сферы электронной коммерции — в 9%.

Такие изменения во многом связаны со всплеском активности хактивистов, который пришелся на третий квартал 2024 года. В этот период каждая пятая кибератака была нацелена именно на госсектор. «То, какие цели атакующие выбирают в качестве приоритетных, неизбежно влияет на их методы, инструменты и подходы», — пояснил директор департамента мониторинга, реагирования и исследования киберугроз Bi. Zone Тимур Херихабаров.

Доля атак, обусловленных финансовой мотивацией, снизилась с 76% до 67%. При этом суммы, которые злоумышленники запрашивают в качестве выкупа за расшифровку данных и восстановление доступа к IT-инфраструктуре, растут и всё чаще достигают десятков миллионов рублей. Чтобы рассчитать и потребовать максимально возможный размер выкупа, преступники тщательно изучают жертву, в том числе её финансовую отчётность.

Примерно каждая пятая атака совершалась с целью шпионажа. В 2023-м этот показатель был ниже и составлял 15%. Примечательно, что некоторые кластеры активности, занимающиеся шпионажем, больше не ограничиваются сбором и эксфильтрацией чувствительных данных и теперь совершают деструктивные действия в скомпрометированной IT-инфраструктуре. Такой почерк характерен для группировок с финансовой мотивацией, которые хотят получить выкуп за восстановление доступа к ресурсам организации, либо для хактивистов, которые стремятся предать атаки максимально широкой огласке.

В 2023 году с фишингового письма начинались 68% целевых атак на российские организации. К середине 2024-го этот показатель достиг 76%, но к концу года снизился до 57%. При этом фишинг по-прежнему остается наиболее популярным методом получения первоначального доступа к IT-инфраструктуре.

В 2024 году атакующие стали чаще рассылать письма от имени государственных организаций и регуляторов. В первом полугодии доля таких сообщений составляла 4% от общего объёма фишинговых писем, которые приходили в организации России и стран СНГ. К концу года этот показатель вырос в два раза — до 8%. Такая тенденция во многом связана с увеличением доли атак на государственный сектор. Как правило, злоумышленники стараются, чтобы фишинговые рассылки выглядели максимально правдоподобно и не вызывали подозрений у потенциальных жертв, поэтому для атак на госорганизации маскируют письма под сообщения от регуляторов или других ведомств.

Злоумышленники продолжают атаковать подрядчиков и поставщиков услуг, чтобы через их инфраструктуру скомпрометировать другие компании. Хотя в 2024 году атаки через подрядчиков составили всего 5% от общего числа, они представляют собой серьёзную угрозу: успешная компрометация даже одного подрядчика позволяет преступникам получить доступ к конфиденциальным данным множества компаний. Это подтверждается данными сервиса мониторинга и реагирования на инциденты Bi. Zone TDR: в 2024 году количество киберинцидентов, связанных с атаками через подрядчиков, выросло почти в два раза. При этом в зоне риска оказываются не только крупные, но и небольшие провайдеры.