Злоумышленники, использующие программы-вымогатели, меняют тактику в пользу более скрытного проникновения, поскольку угроза публичного раскрытия конфиденциальных корпоративных данных становится основным механизмом вымогательства.
Ежегодный отчет Picus Security о red-teaming показывает, что злоумышленники отходят от громких сбоев в пользу тихого, долгосрочного доступа — или от «хищнической» тактики «ударил и убежал» к «паразитическому» тихому присутствию.
Четыре из пяти наиболее распространенных методов атак, используемых штаммами программ-вымогателей, разработаны для сохранения скрытности после того, как злоумышленники получают первоначальный доступ. Например, по данным Picus Security, кибербезопасной фирмы, специализирующейся на моделировании взломов и атак, операции с программами-вымогателями все чаще используют методы уклонения от защиты и обеспечения постоянства присутствия по мере развития их методов работы.
Злоумышленники также все чаще направляют трафик командно-контрольных центров (C2) через доверенные корпоративные сервисы, такие как OpenAI и AWS, чтобы вредоносная активность больше походила на обычный рабочий трафик.
Выводы Picus Security основаны на симуляциях атак в сочетании с анализом 1,1 миллиона вредоносных файлов и 15,5 миллионов враждебных действий, сопоставленных с фреймворком MITRE ATT&CK.
Выводы Picus о том, что злоумышленники предпочитают скрытность и постоянство присутствия громким сбоям, согласуются с результатами исследования программ-вымогателей от Securin, которое сообщает, что злоумышленники выстраивают цепочки уязвимостей в своих атаках на корпоративные системы.
«Группы программ-вымогателей больше не рассматривают уязвимости как изолированные точки входа», — говорит Авирал Верма, ведущий аналитик по угрозам в фирме по тестированию на проникновение и кибербезопасности Securin. «Они собирают их в преднамеренные цепочки эксплуатации, выбирая слабые места не только по степени серьезности, но и по тому, насколько эффективно они могут подорвать доверие, постоянство присутствия и оперативный контроль на всех платформах».
ИИ теперь широко доступен для субъектов угроз, но он в основном функционирует как множитель силы, а не как движущая сила в атаках программ-вымогателей.
Двойное наказание
Группы программ-вымогателей обычно предпочитают двойное вымогательство, когда шантаж, основанный на угрозе утечки украденной информации, сочетается со сбоями, вызванными шифрованием данных после взлома корпоративных сетей.
Picus сообщает о 38%-ном падении шифрования за последние 12 месяцев, поскольку все больше киберпреступников переходят к тихому выводу данных для вымогательства в качестве своего основного промысла.
Предположение Picus о снижении числа атак программ-вымогателей оспаривается другими экспертами.
Тони Анскомб, главный евангелист по безопасности в поставщике решений для защиты конечных точек Eset, представил противоположную точку зрения.
«В недавнем Отчете Eset об угрозах за второе полугодие 2025 года данные обнаружений показывают 13%-ный рост между первым и вторым полугодиями, а число публично заявленных жертв, о которых сообщает ecrime.ch, увеличилось на 40%, так что [программы-вымогатели] не демонстрируют спада», — говорит Анскомб в интервью CSO.
Ник Хаятт, старший консультант по разведке угроз в фирме по кибербезопасности GuidePoint Security, заявляет, что в прошлом году были опубликованы данные о более чем 7000 жертвах, и эта цифра, вероятно, не включает «жертв, которые заплатили и о которых не сообщали субъекты угроз».
По данным GuidePoint, число активных групп программ-вымогателей, далекое от признаков консолидации, достигло рекордно высокого уровня в прошлом году.
«Субъекты угроз оптимизировали свои возможности для атак, используя комбинацию устоявшихся методов, эксплуатации уязвимостей и новых атак для достижения своих целей», — говорит Хаятт.
Галерея злодеев
Эксперты, опрошенные CSO, обычно называли Qilin, Cl0p и Akira одними из самых активных групп программ-вымогателей, но не было недостатка и в других претендентах.
«Akira выделяется как группа программ-вымогателей № 1 на сегодняшний день по данным Huntress за 2025 год», — говорит Дрей Ага, старший менеджер по операциям безопасности в фирме по управляемому обнаружению и реагированию Huntress. «Их методы работы быстро развиваются специально для нейтрализации существующих решений безопасности, и мы видим, как они агрессивно нацеливаются на уровень гипервизора, чтобы полностью обойти традиционные средства защиты конечных точек».
Коллин Хог-Спирс, старший директор, выдающийся технический эксперт в фирме по безопасности приложений Black Duck Software, утверждает, что операторы программ-вымогателей перестали действовать как организованная преступность и начали действовать как платформенный бизнес.
«Qilin опубликовала данные о более чем 1000 жертвах в 2025 году, что в семь раз больше, чем в предыдущем году», — сообщает Хог-Спирс. «LockBit 5.0 восстановила свою операционную мощность после ее ликвидации».
Тем временем федерация Scattered Spider/Lapsus$/ShinyHunters (SLSH) предоставляет услуги вымогательства как услугу (extortion-as-a-service), подход, который облегчает менее технически подкованным киберпреступникам нечестный заработок.
SLSH создала «структурный сдвиг» в экосистеме киберпреступности.
«Семьдесят три новые группы появились за шесть месяцев, потому что им больше не нужно создавать свои собственные инструменты», — говорит Хог-Спирс. «Они берут их в аренду».
Новые методы угроз требуют пересмотра безопасности
Василиос Мурцинос, член команды по угрозам в фирме по управляемому обнаружению и реагированию Quorum Cyber, заявляет, что все больше групп отходят от шифрования с высоким воздействием в пользу моделей, ориентированных на вымогательство, которые отдают приоритет краже данных и длительному, малозаметному доступу.
«Этот подход, популяризированный такими акторами, как Cl0p, посредством широкомасштабной эксплуатации сторонних уязвимостей и уязвимостей в цепочке поставок, теперь тиражируется более широко, наряду с усилением злоупотребления действительными учетными записями, законными административными инструментами для маскировки под обычную активность и в некоторых случаях попытками завербовать или стимулировать инсайдеров для содействия доступу», — говорит Мурцинос.
Эволюция методов работы групп программ-вымогателей должна побудить к пересмотру оборонительных стратегий.
«Для CISO приоритетом должно стать укрепление средств контроля идентификации, тщательный мониторинг доверенных приложений и сторонних интеграций, а также обеспечение того, чтобы стратегии обнаружения были сосредоточены на активности, связанной с постоянством присутствия и эксфильтрацией данных», — советует Мурцинос.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Leyden
