Кибератаки 2024–2025. Как хакеры атакуют бизнес и что с этим делать
Актуальные векторы атак
Главный тренд — упор на уже существующие точки входа. Более 39% атак начинались с компрометации публичных приложений: веб-интерфейсов, почтовых шлюзов, VPN-порталов. Второе место — компрометация учетных данных (31%). Эти утечки либо подбирали (password spraying, credential stuffing), либо покупали у брокеров доступа. Еще 12% инцидентов были связаны с нарушением доверия между партнерами и подрядчиками.
Киберпреступники все чаще организуют «атаки через цепочку поставок»: компрометируют MSSP, ИТ-аутсорсеров или облачных провайдеров, чтобы получить доступ к клиентской инфраструктуре. При этом угроза больше не ограничивается ИT — активно эксплуатируются уязвимости в OT-сегментах и точках сопряжения с индустриальными системами.
Что ломали и как
Атаки в 2024 году все чаще носили целенаправленный, многофазный характер. Среднее время от первичного проникновения до полной компрометации инфраструктуры (включая lateral movement и развертывание вымогателя) составило 30–50 часов. В типовом сценарии злоумышленники последовательно проходили этапы разведки (discovery), повышения привилегий (privilege escalation), закрепления (persistence) и выполнения ключевой цели — шифрования или эксфильтрации данных с последующим вымогательством (double extortion).
Свыше 40% инцидентов сопровождались внедрением ransomware, при этом, согласно отчету GERT за 2024 год, 20% атак выполнялись с помощью автоматизированных скриптов — массовое шифрование, отключение EDR и удаление логов происходили по шаблону.
Применялись преимущественно легитимные инструменты:
Mimikatz, comsvcs.dll, lsass — извлечение учетных данных; PsExec, Impacket, PAExec, WMI — горизонтальное перемещение; Rclone, Ngrok, MegaCMD, exfil.exe — вывод информации; Advanced IP Scanner, netscan.exe, SoftPerfect Scanner — разведка сети; ScreenConnect, AnyDesk, Ammyy Admin — удаленный доступ и закрепление в сети.
По данным F6, злоумышленники активно использовали техники Living off the Land: выполнение команд PowerShell без видимых окон, обход UAC, DNS-туннелирование, внедрение в процессы (process hollowing), использование планировщика задач и реестра для автозагрузки.
Во многих случаях атаки вообще не сопровождались загрузкой вредоносных файлов: достаточно было легитимных RMM-инструментов и встроенных возможностей ОС. Это значительно усложняло обнаружение, обходило антивирусы и затрудняло реагирование даже при наличии EDR.
Уязвимости: самые эффективные
По результатам расследований инцидентов, в 2024 году наиболее активно эксплуатировались уязвимости в продуктах Microsoft — Windows, Exchange, Active Directory и SharePoint. Среди них: CVE-2016-0099, CVE-2017-0176, CVE-2019-1458, CVE-2020-1472 (Zerologon), CVE-2020-0688, CVE-2020-0787, CVE 2021-42287, CVE-2021-34523, CVE-2021-34473 и CVE-2023-29357. Отдельно выделяются уязвимости в OpenSSH (например, CVE-2023-38408, CVE-2024-6387 regreSSHion, CVE-2024-6409) и веб-интерфейсах Cisco IOS XE (CVE-2023-20273, CVE-2023-20198).
Около 40% этих уязвимостей позволяли выполнять произвольный код (RCE), еще примерно столько же — повышать привилегии (LPE). Значительная часть уязвимостей имела готовые эксплойты в открытом доступе (Exploit-DB, GitHub), что упрощало их использование даже для малоквалифицированных злоумышленников.
Причины лежали в типовых ошибках конфигурации и разработки: слабая проверка входных данных, избыточные привилегии, уязвимые механизмы аутентификации. Все это можно было бы предотвратить внедрением базовых практик безопасного SDLC: статического и динамического анализа, ручного ревью и внедрения DevSecOps в процесс поставки изменений.
По данным F6, ключевая проблема не в сложности самих уязвимостей, а в системной недооценке безопасности на ранних этапах жизненного цикла ИТ-инфраструктуры. Без интеграции контроля безопасности в архитектуру и процессы — новые уязвимости будут приводить к тем же результатам, что и старые.
Социальная инженерия с новым лицом
Фишинг в 2024 году стал точнее, адаптивнее и опаснее. Вместо массовых шаблонов злоумышленники все чаще применяли таргетированные сценарии: письма от имени HR, технической поддержки, службы ИБ или партнеров. Использовались приемы pretexting — сбор информации о сотрудниках через утечки, соцсети и открытые источники для повышения убедительности. Отдельные кампании сопровождались deepfake-звонками, усиливающими эффект доверия.
Угрозы ИБ в 2025 году: что нас ждет?
Вредоносные ссылки и вложения маскировались под легитимные уведомления и документы, размещенные на облачных платформах (Google Docs, SharePoint, Notion). Это позволяло обходить почтовые фильтры и визуально не вызывать подозрений. Основная цель таких атак — компрометация корпоративных учетных записей, доступ к VPN или запуск начального загрузчика малвари для последующего закрепления.
Кто оказался в зоне риска
Промышленность (24%) — за счет высокой связности IT и OT и недостатков сегментации. Госсектор (16%) — из-за устаревших систем и публичной инфраструктуры. Финансовые организации (13%) — как всегда, из-за высокой ликвидности данных.
Почти половина атак пришлась на регион СНГ. Однако тренд глобален: по данным TAdviser, число целенаправленных атак выросло на 60% по сравнению с 2023 годом. Хакеры действуют точечно, готовятся неделями, а иногда и месяцами. В фокусе — критическая инфраструктура, цепочки поставок и системы с высоким уровнем доверия.
Почему защита не сработала
Главные проблемы:
отсутствие актуальных патчей и контроля за их установкой; слабые или повторяющиеся пароли, отсутствие MFA; избыточные права и недостаточный контроль за AD; отсутствие сетевой сегментации и детектирования lateral movement; слепые зоны в логировании и мониторинге активности пользователей. EDR- и SIEM-решения даже если были внедрены, часто не покрывали все сегменты сети или не использовались для анализа поведения.
Что делать бизнесу в 2025 году
Закрыть старые дыры: обновления, отключение унаследованных сервисов, запрет слабых паролей. Укрепить аутентификацию: MFA, ограничения по геолокации и устройствам, анализ сессий. Контролировать права доступа: регулярные проверки, принцип наименьших привилегий, управление AD. Мониторить происходящее: EDR/XDR/NDR, MITRE ATT&CK, UEBA, активное логирование. Атаковать себя первым: red/blue team, внешние и внутренние пентесты, моделирование инцидентов. Подготовиться к худшему: заранее заключить SLA на реагирование, создать планы восстановления и резервы.
А смогут ли AI-решения автоматически предотвращать взломы?
Несмотря на активное развитие технологий ИИ в кибербезопасности, автоматическое предотвращение взломов остается в большей степени мифом, чем реальностью. Машинное обучение помогает быстрее находить аномалии, классифицировать вредоносную активность и оптимизировать рутину, но не понимает контекста, не может полноценно оценить сложные атаки с низким уровнем сигнатурности и уж точно не способно заменить архитектуру безопасности.
ИИ может подсказать, ускорить, визуализировать — но он не сможет самостоятельно остановить угрозу, которая проходит под видом легитимной активности. Особенно в условиях, когда злоумышленники используют легитимные инструменты, встроенные утилиты Windows или реальные учетные записи. Поэтому в 2025 году ставка — не на ИИ, а на грамотную комбинацию технологий, процессов и человеческого анализа.
***
2024 год доказал: самые разрушительные атаки — это не high-tech, а качественно исполненные сценарии на базе старых проблем. Компании, которые продолжают откладывать внедрение базовых мер ИБ, платят за это деньгами, данными и доверием.
Путь к устойчивости в 2025 году — это проактивность, дисциплина и готовность встретить атаку на своих условиях.