СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ#Инфра

Программы-вымогатели 2025: RaaS, утечки и уязвимости

В 2025 году атаки программ-вымогателей продолжают эволюционировать: злоумышленники совершенствуют тактики, техники и процедуры (TTP) и всё активнее используют модели Ransomware-as-a-Service (RaaS). По данным отчёта, наиболее заметными стали сдвиг в сторону вымогательства данных и рост атак против инфраструктуры виртуализации — факторы, которые ускоряют масштаб и влияние инцидентов на организации разных размеров.

Ключевые выводы

  • Лидер по распространённости: семья REDBIKE отвечает за почти 30% инцидентов.
  • Рост кражи данных: в 77% инцидентов с программами‑вымогателями отмечается подозреваемая кража данных.
  • Атаки на виртуализацию: 43% инцидентов связаны с атакой на инфраструктуру виртуализации.
  • Изменение доходности RaaS: общая рентабельность снизилась, что может привести к смещению фокуса злоумышленников на меньшие организации или альтернативные методы вымогательства.

Векторы первоначального доступа

Злоумышленники всё чаще эксплуатируют уязвимости в общих сервисах — VPN и файрволы, в том числе у таких поставщиков, как Fortinet, SonicWall и Palo Alto. Применяются как стандартные эксплойты, так и сложные техники, включая zero‑day‑эксплойты. Примерная структура методов первоначального доступа такова:

  • Эксплуатация уязвимостей — примерно треть инцидентов.
  • Использование украденных учетных данных.
  • Малвертизация для последующего распространения вредоносного ПО.

Методы перемещения и удержания доступа

Для бокового перемещения и расширения контроля злоумышленники активно применяют протоколы SMB, RDP и SSH. Инструменты и приёмы включают:

  • Автоматизация атак и нацеливание на средства управления (скрипты, планировщики задач).
  • Использование легитимных инструментов — PowerShell, пакетные скрипты, модифицированные возможности Windows.
  • Повышение привилегий: кража учетных данных (включая MIMIKATZ), изменение конфигураций AD.
  • Антивыявление: отключение мер безопасности, очистка логов, вмешательство в Windows Defender, удаление резервных копий.

«77% инцидентов с программами‑вымогателями вовлекают подозреваемую кражу данных» — одно из ключевых наблюдений отчёта, подчёркивающее смещение в сторону двойных требований: шифрование плюс публикация/продажа данных.

Инструменты развертывания и шифрования

Акторы опираются на комбинацию легитимных и злонамеренных средств. Часто используются:

  • Системные скрипты (PowerShell, батники), планировщики задач.
  • Модифицированные функции Windows и встроенные средства шифрования — в отдельных случаях злоумышленники задействовали легальные решения, такие как BitLocker, чтобы усложнить восстановление данных.
  • Повторные развертывания через сервисы для повышения эффективности атак.

Рынок RaaS и новые игроки

Несмотря на действия правоохранительных органов, которые ослабили ряд брендов RaaS, рынок не исчез — он трансформируется. На подъём вышли группы вроде Qilin и Akira. Снижение общей рентабельности вынуждает некоторых акторов искать новые способы монетизации — в том числе таргетировать более мелкие организации.

Тренды: AI, Web3 и будущее угроз

Отчёт отмечает использование технологий AI и Web3 в тактиках злоумышленников, что свидетельствует о нарастающей адаптивности и желании повысить устойчивость инфраструктуры атак против мер реагирования. Шифровальное ПО остаётся центральной угрозой и, по оценкам аналитиков, будет актуально как минимум до 2026 года.

Что это значит для организаций

  • Необходимо усиливать защиту периметра: оперативные обновления для VPN/файрволов, мониторинг и патч‑менеджмент.
  • Усиление контроля над привилегиями и учётными данными, внедрение многофакторной аутентификации.
  • Повышение уровня мониторинга виртуализированных сред и резервного копирования с контролем целостности резервов.
  • Планирование процедур реагирования на инциденты с учётом двойного вымогательства (encrypt + data leak).

Вывод

Ландшафт программ‑вымогателей в 2025 году характеризуется большей сложностью и адаптивностью атакующих: эволюция TTP, сдвиг к краже данных, экспансия на виртуализацию и использование легитимных инструментов делают угрозу постоянной и многогранной. По мере улучшения защитных мер со стороны организаций злоумышленники будут продолжать инновировать — и поэтому кибербезопасность остаётся приоритетной областью инвестиций и внимания в ближайшие годы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: