CrowdStrike — 2025 — Global Threat Report (Отчет о глобальных угрозах) — Введение

Предисловие

Не стоит недооценивать современных предприимчивых противников

Посмотрите любую передачу о природе, и вы быстро поймете, что происходит с животными, которые недооценивают своих противников. Они становятся добычей. В кибербезопасности действует тот же принцип: противник развивается так быстро, что вы не можете позволить себе недооценить его.

Наши последние исследования показывают, что противники становятся все более эффективными, целенаправленными и деловыми в своем подходе — во многих отношениях они больше похожи на корпоративные организации, на которые они охотятся. Именно поэтому наша команда аналитиков, экспертов и авторов по безопасности выбрала тему «Предприимчивый противник» в качестве темы для отчета CrowdStrike Global Threat Report в этом году.

Возьмем, к примеру, генеративный искусственный интеллект (genAI). Высокоэффективные противники во всех основных категориях — национальные государства, электронные преступники и хактивисты — стали ранними и заядлыми адептами. Эффект «умножения силы» готовых чат‑ботов сделал genAI популярным дополнением к глобальному инструментарию хакеров.

Наряду с легальными организациями, легкий доступ к коммерческим большим языковым моделям (LLM) делает более продуктивными и противников. Это сокращает их кривую обучения и циклы разработки, а также позволяет им увеличить масштаб и темп своей деятельности. Несмотря на то, что, согласно этому отчету, вредоносное использование ИИ растет, на данный момент оно остается в значительной степени итеративным и эволюционным. Лишь изредка оно проявляется как совершенно новый вариант использования. Но это еще только начало.

В компании CrowdStrike мы не ждем, пока у субъектов угроз наступит следующий момент «ага». Мы ускоряем собственное использование методов ИИ — от наших базовых возможностей машинного обучения до наших передовых генеративных и агентных моделей ИИ — чтобы помочь нашим клиентам заранее предвидеть следующие атаки нулевого дня и заблаговременно защититься от них. В этом и заключается суть подхода к киберзащите на основе ИИ. В отличие от устаревших систем, на которые до сих пор полагаются организации по всему миру, мы не сидим сложа руки, пока не произойдет атака, прежде чем мы сможем ее выявить и остановить.

Предприимчивые противники наносят ущерб

Работа по защите организаций с каждым днем становится все сложнее. Вы найдете множество подтверждений этому факту в следующих данных. Число новых «названных противников», отслеживаемых элитной командой CrowdStrike Counter Adversary Operations, продолжает расти, а уже известные противники постоянно добавляют новые цели и более сложные методы в свои арсеналы уклонения, вторжения и эксфильтрации.

Цель этого отчета — вооружить вас, профессионалов в области безопасности и преданных киберзащитников, знаниями, необходимыми для того, чтобы быть на шаг впереди этих субъектов угроз — и никогда, никогда не недооценивать их.

Вот несколько ключевых фактов, которые вы должны знать о меняющемся ландшафте угроз:

• Время прорыва — время, необходимое противнику для начала бокового перемещения по сети, — в прошлом году достигло рекордно низкого уровня: Средний показатель упал до 48 минут, а самое быстрое время прорыва, которое мы наблюдали, составило всего 51 секунду.

• Атаки голосового фишинга (vishing), когда противники звонят жертвам, чтобы усилить свою деятельность с помощью убедительных методов социальной инженерии, пережили взрывной рост — на 442% в первой и второй половине 2024 года.

• Бурно развивались атаки, связанные с первоначальным доступом, на долю которых пришлось 52% уязвимостей, обнаруженных CrowdStrike в 2024 году. Предоставление доступа как услуги стало процветающим бизнесом, так как количество объявлений о брокерах доступа выросло на 50% за год.

• Среди национальных государств активность China‑nexus выросла в целом на 150%, а некоторые отрасли подверглись атакам на 200–300% больше, чем в предыдущем году.

• GenAI сыграл ключевую роль в сложных кампаниях кибератак в 2024 году. С его помощью FAMOUS CHOLLIMA создавала очень убедительных поддельных кандидатов на работу в сфере ИТ, которые проникали в организации‑жертвы, а также помогала связанным с Китаем, Россией и Ираном субъектам угроз проводить управляемые ИИ операции по дезинформации и оказанию влияния с целью срыва выборов.

Как и в случае с каждым нашим продуктом и услугой, мы надеемся, что в этом году Глобальный отчет об угрозах сделает вас более осведомленными, более внимательными к угрозам, с которыми вы можете столкнуться сейчас или в ближайшем будущем, и лучше подготовленными к защите вашей организации.

CrowdStrike по‑прежнему к вашим услугам и всецело привержена единому видению и миссии, на которых компания была основана более десяти лет назад. Наша компания, наша платформа и наши сотрудники сосредоточены на одном: работать в тесном партнерстве с нашими клиентами, чтобы остановить взлом.

» ДЛЯ ПОЛУЧЕНИЯ ДОПОЛНИТЕЛЬНОЙ ИНФОРМАЦИИ О ЛЮБОМ ИЗ ПРОТИВНИКОВ, УПОМЯНУТЫХ В ЭТОМ ОТЧЕТЕ, А ТАКЖЕ О ТЕХ, КТО НАЦЕЛЕН НА ВАШУ ОТРАСЛЬ ИЛИ РЕГИОН, ОЗНАКОМЬТЕСЬ СО ВСЕЛЕННОЙ ПРОТИВНИКОВ CROWDSTRIKE.

Введение

Отчет о глобальных угрозах CrowdStrike 2025 — это главный отраслевой источник информации о противниках, в котором рассматриваются новые тенденции противников за прошедший год. В 2024 году противники развивались быстрее, чем когда‑либо, совершенствуя методы и инструменты, а также находя креативные решения для обхода современных средств защиты, при этом оставаясь сфокусированными на своих целях. Противники рационализируют свои тактики, совершенствуют и масштабируют успешные стратегии, учатся на своих ошибках и успехах, а также на ошибках своих коллег, чтобы проводить атаки, ориентируясь на бизнес. 2024 год стал годом предприимчивого противника.

Противники eCrime стали примером таких предприимчивых кибератак, постоянно адаптируясь к меняющейся обстановке и быстро наращивая эффективность операций. В течение 2024 года начали меняться методы первоначального доступа — противники eCrime стали переходить от фишинга к альтернативным методам доступа. Этот сдвиг говорит о том, что операторы товарного вредоносного ПО, вероятно, находят более эффективные и успешные заражения с помощью инновационных методов, поскольку сталкиваются с усиленной защитой. Одним из таких методов, получивших распространение в 2024 году, является социальная инженерия с использованием телефонии: Различные противники электронной преступности все чаще используют вишинг, фишинг обратного звонка и атаки социальной инженерии службы поддержки, чтобы закрепиться в сетях.

Эти меняющиеся методы первоначального доступа согласуются с более широкой тенденцией, выявленной в отчете CrowdStrike 2024 Threat Hunting Report: Вместо доставки вредоносного ПО противники электронной преступности все чаще используют легитимные инструменты удаленного мониторинга и управления (RMM) для доступа к системе жертвы, что делает вредоносное ПО несущественным для успешных операций. На протяжении 2024 года субъекты электронной преступности часто использовали в своих кампаниях инструменты RMM.

В 2024 году операции Китая по кибершпионажу достигли нового уровня зрелости: противники поддерживали более высокий оперативный темп, чем в 2023 году, и вели активную целенаправленную деятельность. Десятилетия государственных инвестиций в китайские кибернетические кадры и программы привели к развитию возможностей и повышению эффективности, а также к появлению все большего числа новых специализированных противников, связанных с Китаем. В 2024 году компания CrowdStrike выпустила семь новых противников, относящихся к Китаю, и наблюдала рост активности китайских противников во всех секторах в среднем на 150% по сравнению с 2023 годом. Кроме того, противники China‑nexus все чаще уделяют первостепенное внимание безопасности операций (OPSEC) и управлению инфраструктурой в масштабах страны, маскируя свою деятельность с помощью сетей оперативных ретрансляционных блоков (ORB).

Противники из Корейской Народно‑Демократической Республики (КНДР) — LABYRINTH CHOLLIMA, VELVET CHOLLIMA и SILENT CHOLLIMA — постоянно атаковали предприятия оборонной и аэрокосмической промышленности в разных странах. Однако, как и в предыдущие годы, большинство киберопераций этих противников были направлены на получение валюты, которая стала жизненно важной для режима. Примечательно, что в 2024 году FAMOUS CHOLLIMA усовершенствовала свои операции по генерации валюты, используя схемы своих ИТ‑работников в масштабах всего мира. В течение 2024 года охотники за угрозами CrowdStrike Falcon® Adversary OverWatch™ отреагировали на 304 инцидента FAMOUS CHOLLIMA, причем почти 40% из них представляли собой инсайдерские угрозы.

Хотя противники КНДР на протяжении многих лет умело меняли свои операции для поддержки крупномасштабного производства валюты, специфические тактики, применяемые в операциях 2024 года, такие как использование виртуальных интервью, выделение значительных ресурсов и персонала, а также масштабное использование ферм ноутбуков, подчеркивают предприимчивый подход КНДР к операциям в компьютерных сетях (computer network operations ((CNO)).

В рамках угроз уязвимостей в 2024 году угрожающие субъекты продолжали атаковать устройства на периферии сети и регулярно использовали общедоступные исследования уязвимостей — раскрытия, технические блоги и эксплойты proof‑of‑concept (POC) — для содействия своей вредоносной деятельности. В облачной среде все больше новых противников эффективно эксплуатировали облачные среды, часто используя ранее проверенные методы и адаптируя их для своих целей.

Противники также использовали genAI при проведении разведывательных операций (IO), направленных на избирательные процессы. На протяжении 2024 года противники все чаще используют genAI, особенно в рамках социальной инженерии.

Быть на шаг впереди предприимчивого противника сложно, но не невозможно. По мере развития противника совершенствуется и ваша защита. Как противник внедряет инновации, так и CrowdStrike. CrowdStrike Counter Adversary Operations повышает операционные затраты на проведение злонамеренных киберопераций, сочетая мощь аналитики угроз со скоростью работы специальных охотничьих команд и триллионами новейших телеметрических событий от платформы CrowdStrike Falcon®, основанной на искусственном интеллекте, для обнаружения, пресечения и остановки современных изощренных противников.

Отдел противодействия противникам состоит из двух тесно интегрированных групп. Команда CrowdStrike Intelligence предоставляет оперативную отчетность, которая позволяет выявлять новых противников, отслеживать их деятельность и фиксировать возникающие киберугрозы в режиме реального времени. Команда CrowdStrike OverWatch использует эти данные для проактивного поиска угроз в телеметрии клиентов, чтобы обнаружить и устранить вредоносную активность.

» В 2024 ГОДУ CROWDSTRIKE FALCON ADVERSARY OVERWATCH ОХОТНИКИ ЗА УГРОЗАМИ ОТРЕАГИРОВАЛИ НА 304 ЗНАМЕНИТЫХ ИНЦИДЕНТА С ХОЛЛИМАНАМИ, ПРИЧЕМ ПОЧТИ 40% ИЗ НИХ ПРЕДСТАВЛЯЛИ СОБОЙ ИНСАЙДЕРСКИЕ УГРОЗЫ.

В течение 2024 года CrowdStrike Intelligence представила 26 новых названных противников, включая нового казахстанского противника COMRADE SAIGA, увеличив общее число названных противников, отслеживаемых по всем мотивам, до 257. Помимо названных противников, CrowdStrike Intelligence отслеживает более 140 активных кластеров вредоносной активности и новых групп угроз.

В течение последнего года CrowdStrike работала над тем, чтобы обогатить опыт использования Falcon на платформе, предоставляя дополнительные сведения о меняющемся ландшафте угроз в различных отраслях и регионах, основанные на широком взгляде CrowdStrike. CrowdStrike увязывает эти данные с активностью, происходящей за пределами периметра клиента, отслеживая криминальное подполье и возникающие угрозы.

Новые информационные панели позволяют получить представление о результатах поиска угроз Falcon Adversary OverWatch в экосистеме клиентов CrowdStrike, а возможности перехода к охоте обеспечивают плавный переход от новых запросов к расследованиям в режиме реального времени в CrowdStrike Falcon® Next‑Gen SIEM. Кроме того, новые учебники Counter Adversary Playbooks упрощают создание комплексных программ мониторинга разведданных, адаптированных для любой организации.

Отчет о глобальных угрозах CrowdStrike 2025 обобщает результаты анализа, проведенного командой CrowdStrike Intelligence в течение 2024 года, и описывает заметные темы, тенденции и события в сфере киберугроз. В этот ежегодный отчет также включены прогнозные оценки угроз, которые помогут подготовить и защитить организации в следующем году.

» 26 НОВЫХ ПРОТИВНИКОВ НАЗВАНЫ В 2024 ГОДУ 257 ПРОТИВНИКОВ ОТСЛЕЖИВАЮТСЯ CROWDSTRIKE140 АКТИВНЫХ КЛАСТЕРОВ ВРЕДОНОСНОЙ АКТИВНОСТИ И ГРУПП НОВЫХ УГРОЗ

Правила наименования

Далее в отчете CrowdStrike:

• Обзор ландшафта угроз по итогам 2024 года

• Ключевые темы противников

  • Социальная Инженерия

  • Генеративный искусственный интеллект

  • Китайское киберпредприятие

  • Продолжение развития облачных угроз

  • Предприимчивая эксплуатация уязвимостей

  • Вероятное продолжение эксплуатации SaaS

• Заключение отчета

• Рекомендации CrowdStrike

Прочитать подробности можно будет в полном переводе отчета.