Elastic: злоумышленники переходят к молниеносным атакам с приоритетом на запуск вредоносного ПО

В новом отчете Elastic заявлено, что кибератаки происходят быстрее, чем когда-либо. Взлом, на который раньше уходили недели, теперь укладывается в минуты. После получения доступа хакеры не теряют времени — они тут же запускают вредоносный код, стремясь добиться результата до того, как защитные механизмы успеют отреагировать.

По данным глобальной телеметрии Elastic, в среде Windows тактика «Выполнение» заняла первое место среди злоумышленной активности, составив 32% всех зафиксированных действий. Это заметный сдвиг по сравнению с предыдущими тремя годами, когда лидировало «Уклонение от защиты». Такой поворот указывает на то, что приоритет злоумышленников сместился с скрытности на скорость: вместо того чтобы замедлять атаку, они используют автоматизацию и готовые сценарии, максимально быстро внедряя полезную нагрузку.

Более 60% вредоносной активности, зафиксированной в облачных средах Microsoft Azure, Amazon AWS и Google Cloud, связано с получением первичного доступа, обеспечением присутствия и кражей учётных данных.

Эти категории превалируют во всех платформах, и, по данным Elastic, особенно выражены в экосистеме Microsoft. Злоумышленники охотно эксплуатируют знакомые пользователям процессы аутентификации, а не технические уязвимости, что делает атаки особенно сложными для обнаружения.

Отчёт также фиксирует увеличение доли вредоносных программ категории «Generic» — универсальных, низкоуровневых инструментов, генерируемых с использованием LLM-моделей. Эти загрузчики и скрипты редко представляют собой технологическую новинку, но их количество и простота производства создают значительную нагрузку на системы защиты. Масштабирование таких угроз подрывает ценность сигнатурных методов и требует повсеместного перехода к поведенческому анализу.

Изучив более 150 000 вредоносных образцов, исследователи установили, что основная цель большинства из них — кража данных браузера. Это пароли, cookie-файлы, токены доступа. Их продажей занимаются посредники, обеспечивая цепочку перепродажи учётных данных и доступа к корпоративным системам. Именно браузер сегодня стал основной точкой входа — не обходной лазейкой, а полноценной дверью в корпоративную инфраструктуру.