С самых первых дней существования интернета противодействие злонамеренной активности не ослабевало. Согласно только что опубликованному 12-му ежегодному Глобальному отчету об угрозах от CrowdStrike, вредоносная активность в киберпространстве продолжает не только ускоряться, но и расширять свои масштабы, все чаще злоупотребляя доверием целевых организаций.
Хорошая новость заключается в том, что, несмотря на разговоры о демократизации угроз с помощью ИИ, объем угроз, с которыми сталкиваются государственные и корпоративные структуры, не рос ускоренными темпами в 2025 году, согласно выводам CrowdStrike. «За последний год мы добавили 24 новых противника, что эквивалентно показателям предыдущего года», — сообщил Адам Майерс, руководитель отдела операций по противодействию противникам в CrowdStrike, журналистам во время круглого стола, посвященного отчету. «Сегодня мы отслеживаем более 281 противника и 150 кластеров активности», — добавил он.
Основной посыл отчета CrowdStrike заключается в том, что после расширения своих инструментариев злоумышленники перешли в режим уклонения. «Тема всего отчета — это то, что мы называем «уклончивым противником». В прошлом году это был «предприимчивый противник». Они начинали экспериментировать с некоторыми наблюдаемыми нами методами. А теперь их фокус направлен на избежание обнаружения. Поэтому мы называем их «уклончивым противником»», — пояснил Майерс.
Использование враждебного ИИ усиливает известные тактики
Отчет CrowdStrike показывает, что атаки, осуществляемые противниками с использованием ИИ, выросли на 89% по сравнению с предыдущим годом, поскольку злоумышленники использовали генеративные инструменты для усовершенствования фишинговых приманок, создания скриптов вредоносного ПО, устранения неполадок в эксплойтах и ускорения разведки. Эта технология не создала совершенно новые тактики, но сделала существующие быстрее, дешевле и более масштабируемыми.
В то же время, по данным CrowdStrike, вторжения с использованием ИИ стали менее заметными. Методы без использования вредоносного ПО составили 82% обнаружений в 2025 году, по сравнению с 51% в 2020 году, что отражает решительный сдвиг в сторону злоупотребления учетными данными и активности с ручным управлением, которая маскируется под поведение легитимных пользователей.
«Что касается ИИ как оружия, его можно использовать для социальной инженерии», — сказал Майерс. «Мы видели, как такие группы, как eCrime-группа Renaissance Spider, модифицировали свои приманки Click Fix и локализовали их на разных языках с помощью генеративного ИИ».
CrowdStrike также зафиксировала использование ИИ в информационных операциях, отметил Майерс. «Один из интересных случаев, произошедших за последние пару месяцев», — это вредоносный MCP-сервер под названием postmark-mcp, который выдавал себя за легитимный сервер, поддерживаемый службой доставки электронной почты Postmark, — рассказал он. «И в этом случае MCP-сервер, который связывает Postmark API с LLM, был создан злонамеренно таким образом, чтобы он фактически отправлял копию каждого отправленного электронного письма противнику (bcc)».
Охотники за крупной добычей усиливают хватку
Исследование CrowdStrike подчеркивает, что операторы программ-вымогателей, занимающиеся «охотой за крупной добычей» (BGH), остаются доминирующей силой в ландшафте киберпреступности (eCrime).
Punk Spider, группа, ответственная за разработку и поддержку русскоязычной программы-вымогателя Akira, и связанный с ней сайт утечек Akira, провели 198 вторжений в 2025 году — рост на 134% по сравнению с предыдущим годом. Операции по «позору жертв» также расширились: число организаций, упомянутых на сайтах утечек, выросло на 36,8%.
Но в 2025 году для операторов BGH важен был не только объем; важна была и утонченность.
Вместо того чтобы инициировать шифрование программ-вымогателей на сильно контролируемых конечных точках, операторы BGH все чаще шифруют данные удаленно через общие ресурсы Windows Server Message Block (SMB), минимизируя свое присутствие и избегая необходимости запускать программы-вымогатели на управляемых хостах.
Другие охотники за крупной добычей использовали неуправляемую инфраструктуру. В одном из инцидентов киберпреступник Scattered Spider за три часа после первоначального доступа получил учетные данные Active Directory из неуправляемой виртуальной машины, взаимодействуя только с одной управляемой конечной точкой.
Атаки на цепочки поставок становятся оружием масштаба
Одним из главных факторов, обусловивших уклоняющуюся тактику, используемую злоумышленниками в 2025 году, стали атаки на цепочки поставок, по данным CrowdStrike.
Самый драматичный пример произошел в феврале, когда спонсируемый государством Северной Кореи злоумышленник Pressure Chollima, также известный как Lazarus, организовал крупнейшее в истории хищение криптовалюты, украв 1,46 миллиарда долларов путем компрометации SafeWallet, платформы управления цифровыми активами, поддерживающей криптовалютную биржу Bybit. Внедряя вредоносный код во фронтенд доверенного приложения и восстанавливая его сразу после выполнения, группа перенаправляла средства во время легитимной транзакции, избегая обнаружения.
Экосистемы с открытым исходным кодом оказались столь же уязвимыми. Зараженный пакет npm, распространяющий самораспространяющийся инфостилер ShaiHulud, был загружен более 2 миллионов раз до его обнаружения. В другой кампании пакеты, связанные со злоумышленниками, были загружены более 8000 раз, часто распространяясь через цепочки зависимостей, которые заражали нижестоящих пользователей далеко за пределами первоначальной цели.
Эксплуатация уязвимостей нулевого дня ускоряется
В течение 2025 года гонка между раскрытием информации и эксплуатацией сократилась до дней, а иногда и часов, по данным CrowdStrike.
Исследователи сообщают, что эксплуатация уязвимостей нулевого дня выросла на 42% по сравнению с предыдущим годом в 2025 году, поскольку противники использовали десятки ранее неизвестных уязвимостей для первоначального доступа, удаленного выполнения кода и повышения привилегий.
Более тревожным является то, что среднее время прорыва в сфере eCrime — промежуток между первоначальным доступом и боковым перемещением — сократилось всего до 29 минут, что на 65% быстрее, чем в 2024 году. В самом крайнем случае злоумышленники перемещались за 27 секунд.
Особенно быструю операционализацию продемонстрировали акторы, связанные с Китаем. В нескольких случаях эксплуатация начиналась в течение двух-шести дней после публичного раскрытия информации. Для защитников это оставляло мало времени для оценки, приоритизации и установки исправлений до того, как сети будут проверены или скомпрометированы.
Уязвимости нулевого дня стали не просто тактическим преимуществом. Они стали стратегическими ускорителями, обеспечивая скрытный вход в периферийные устройства, VPN-оборудование, почтовые серверы и корпоративное программное обеспечение до того, как защита успеет адаптироваться.
И все чаще эти точки входа вели прямо в облако.
Облако становится новым полем битвы
Поскольку предприятия все больше полагаются на SaaS и гибридные системы идентификации, злоумышленники продолжают следовать за ними.
CrowdStrike сообщила, что облачно-ориентированные вторжения выросли на 37% в целом в 2025 году, в то время как активность акторов, связанных с государственными структурами, подскочила на 266%. Злоупотребление действительными учетными записями составило 35% облачных инцидентов, что подчеркивает, как злоумышленники использовали украденные учетные данные и токены сеансов, а не вредоносное ПО.
«Что действительно интересно, так это то, что в 35% случаев облачные вторжения фактически используют легитимные учетные данные», — сказал Майерс. «И мы отметили, что у акторов, связанных с государствами, наблюдается рост активности вторжений в облако на 266%, что указывает на то, что государства теперь осознали то, что акторы eCrime замечали в течение нескольких лет: облако — идеальная цель».
Фишинговые комплекты типа «человек посередине» (Adversary-in-the-middle) стали предпочтительным инструментом, позволяющим злоумышленникам перехватывать потоки аутентификации и захватывать активные токены сеансов для сред Microsoft 365 и Salesforce. Гибридные системы идентификации, синхронизирующие локальную и облачную аутентификацию, стали особенно привлекательными целями, предоставляя широкий доступ после компрометации.
Вместо того чтобы взламывать, злоумышленники все чаще входили в систему. И нигде эта стратегия не была столь систематической, как в кампаниях, приписываемых акторам, связанным с Китаем.
Активность, связанная с Китаем, расширяется по регионам и секторам
Анализ CrowdStrike показывает, что в 2025 году целенаправленная активность вторжений, связанная с Китаем, увеличилась на 38% в целом, сохраняя устойчивый глобальный темп. Целевые атаки на логистику выросли на 85%, на телекоммуникации — на 30%, а на финансовые услуги — на 20%, что соответствует долгосрочным разведывательным и экономическим приоритетам.
Движущей силой большей части этой активности стал «массовый рост уязвимостей нулевого дня и эксплойтов, используемых китайскими злоумышленниками», — отметил Майерс.
Выявилась устойчивая закономерность: сначала компрометация периметра. Шестьдесят семь процентов уязвимостей, использованных акторами, связанными с Китаем, позволяли немедленно удаленно выполнять код, а 40% были нацелены на периферийные устройства, такие как VPN, брандмауэры и шлюзы — инфраструктуру, которая часто не имеет надежного мониторинга и своевременного исправления. В некоторых кампаниях злоумышленники операционализировали эксплойты в течение двух-трех дней после их раскрытия.
«Если подумать об акторах вроде Salt Typhoon, которых мы отслеживаем как Operator Panda, и Vanguard Panda, также известной как Volt Typhoon, нацеливание на сетевые устройства важно для Китая. Они находят там много уязвимостей и могут оставаться незамеченными на этих устройствах, потому что они не управляются», — сказал Майерс.
Вторжения, связанные с Китаем, никогда не бывают операциями типа «ударил и убежал». В нескольких случаях акторы поддерживали постоянный доступ месяцами, а иногда и годами, отдавая приоритет долгосрочному сбору разведданных, а не краткосрочному срыву деятельности, сообщает CrowdStrike.
В совокупности тенденции 2025 года рассказывают ясную историю. Противники стали быстрее, тише и более склонны использовать подразумеваемое доверие, встроенное в современную инфраструктуру — от инструментов ИИ и SaaS-платформ до кода с открытым исходным кодом и периферийных устройств.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Cynthia Brumfield
