Хакеры стали чаще использовать легитимные инструменты для атак на банки

изображение: grok
Тактика Living off the Land (LotL), то есть использование легитимных инструментов во время кибератаки, становится все более распространенной для атак на банки: эксперты “Кросстеха” указывают, что в I полугодии 2026 года до 80% всех атак на банки включали элементы LotL, в то время как за аналогичный период прошлого года доля таких инцидентов достигала 60%.
Злоумышленники отказываются от использования собственных вредоносных программ (вредоносного ПО), чтобы избежать их обнаружения средствами защиты информации. Вместо этого они применяют «родные» системные утилиты администраторов, которые уже установлены на компьютере, доверяются операционной системе и администраторам безопасности.
К легитимным инструментам, которые используют хакеры, относятся: стандартные Windows-утилиты (например, WMI), административные службы и скрипты, средства удаленного доступа (например, RDP), облачные и сторонние CLI и так далее. Злоумышленники могут использовать легитимные инструменты на всех этапах атаки: при разведке, для сбора информации о системе и сети, при выполнении команд, при горизонтальном перемещении, при краже данных и их выводе за пределы инфраструктуры и так далее.
Популяризация LotL-атак на банковский сектор во многом связана с усилением мониторинга в банках — использование EDR, NDR, SIEM-систем делает обнаружение ВПО быстрым и эффективным. Именно для повышения скрытности злоумышленники все чаще предпочитают “тихие” тактики, в том числе LotL. В таком случае средства мониторинга не будут детектировать значительную часть действий злоумышленников как подозрительную.
«Доля LotL-атак постоянно увеличивается, их количество растет еще быстрее, так как атаки на банки становятся более интенсивными. Отдельно стоит сказать об APT-группировках — использованием легитимных инструментов для профессиональных хакеров является хорошо изученной тактикой, поэтому в APT-атаках доля LotL-атаках превышает 90%», — говорит Ильдар Галиев, руководитель направления “Развитие услуг” “Кросстеха”.



