Эпоха «тихих» атак с шифрованием данных уходит в прошлое

Документ подготовлен аналитическим подразделением Unit 42 (центр реагирования и аналитики угроз компании Palo Alto Networks) и обобщает практический опыт реагирования на атаки — от вымогательства и сетевых проникновений до инсайдерских схем и кибершпионажа.

Новая волна разрушительных атак

Главный сдвиг, зафиксированный в отчете, – переход от «классических» ransomware-сценариев к целенаправленному нарушению бизнес-операций и репутационным атакам. 86% инцидентов, расследованных Unit 42 в 2024 году, сопровождались операционными или финансовыми потерями. Злоумышленники не ограничиваются шифрованием: они удаляют виртуальные машины, разрушают данные и блокируют клиентов и партнеров компаний.

Медианный стартовый размер выкупа вырос почти на 80% – до 1,25 млн долл. Такие кампании становятся не только способом получения прибыли, но и инструментом давления на организации и их цепочки поставок.

Цепочки поставок и облако под прицелом

Облачные среды и SaaS-сервисы становятся одной из ключевых зон риска. 29% расследованных инцидентов затронули облачные ресурсы, а примерно в каждом пятом случае злоумышленники напрямую нарушали их работу. Среди главных причин – ошибки в управлении доступом: отсутствие MFA (многофакторной аутентификации), избыточные права и использование долгоживущих учетных данных.

Организации ежемесячно запускают в среднем по 300 новых облачных сервисов, не всегда интегрируя их в процессы безопасности. Это создает «слепые зоны», которые активно используют атакующие. В одном случае злоумышленники просканировали более 230 млн целей, выявляя открытые API и учетные данные для дальнейших атак.

Скорость атак: у защитников остаются минуты

Автоматизация, модели ransomware-as-a-service (аренда готовой инфраструктуры атак) и генеративный ИИ сделали атаки стремительными. Медианное время от компрометации до эксфильтрации данных сократилось до двух дней, а в 19% случаев данные выводились уже в течение первого часа. Одновременно уменьшился dwell time – период пребывания атакующего в сети до его обнаружения: с 13 до 7 дней. Это отражает прогресс в мониторинге, но также подчеркивает, насколько быстро действуют злоумышленники.

В отчете отмечается: скорость атаки становится критическим фактором. Организации, не способные реагировать в первые часы, фактически теряют возможность локализовать ущерб.

Инсайдерские угрозы и северокорейский фактор

Резко выросло число инцидентов, связанных с инсайдерами – прежде всего с деятельностью IT-специалистов из КНДР, нанятых под фальшивыми именами через аутсорсинговые схемы.
В 2024 году количество таких случаев утроилось. Попав внутрь организации, они похищали исходный код, внедряли бэкдоры, устанавливали несанкционированные инструменты и даже шантажировали работодателей.

Для удержания доступа использовались аппаратные устройства KVM (keyboard-video-mouse) и туннели Visual Studio Code, что делало их обнаружение особенно сложным. По оценке Unit 42, подобные схемы стали стабильным источником дохода для северокорейских группировок и представляют долгосрочный риск для компаний по всему миру.

Искусственный интеллект в арсенале атакующих

Генеративный ИИ уже активно применяется для автоматизации атак. Модели LLM позволяют создавать реалистичные фишинговые письма, генерировать полиморфный код и ускорять прохождение по всей цепочке атаки. В лабораторных условиях Unit 42 показала, что с использованием ИИ полный цикл атаки может сократиться с двух дней до 25 минут.

Хотя подобные случаи пока единичны, они демонстрируют, что ИИ становится фактором масштабирования угроз и снижает барьер входа для менее квалифицированных акторов. Эксперты предупреждают, что такие технологии повышают сложность защиты и делают фишинг, вредоносные вложения и deepfake трудноотличимыми от легитимных коммуникаций.

Атаки по нескольким фронтам

Современные кампании почти никогда не ограничиваются одним вектором. В 70% расследованных инцидентов злоумышленники атаковали компании сразу по трем и более направлениям, а в отдельных случаях – по восьми. Наиболее часто использовались конечные устройства (72%), человеческий фактор (65%), учетные записи (63%), сеть (58%), облако (27%) и приложения (21%).

Почти половина инцидентов (44%) начиналась с веб-браузера – через фишинг, вредоносные редиректы или загрузку зараженных файлов. Браузер остается уязвимым звеном, напрямую связанным с поведением пользователя и часто обходящим строгие корпоративные политики.

Тактики и приемы злоумышленников

Фишинг вновь стал главным способом первоначального доступа (23% инцидентов), чаще всего приводящим к компрометации деловой переписки (Business Email Compromise, BEC). Классические рассылки дополняются звонками в службы поддержки, MFA-бомбингом (многочисленные запросы подтверждения входа) и применением deepfake.

Продвинутые группы всё чаще обходятся без вредоносного ПО, используя легитимные утилиты вроде PowerShell, RDP, SMB и SSH. Техника Valid Accounts (использование действующих учетных записей) встречалась в 40% случаев. Такой подход, известный как «living off the land», позволяет злоумышленникам долго оставаться незамеченными и маскировать активность под административные действия.

Почему компании проигрывают

Анализ сотен инцидентов показывает: успех атак связан не только с технологиями, но и с внутренними слабостями инфраструктуры.

Unit 42 выделяет три главных фактора:

• Избыточная сложность – множество разрозненных средств безопасности, где следы атаки часто остаются в логах, но не анализируются. Это происходило в 75% случаев.
• Пробелы в видимости – отсутствие контроля над активами, особенно в облаке. В 40% инцидентов именно такие «слепые зоны» позволили злоумышленникам закрепиться.
• Чрезмерное доверие – слабые пароли, отсутствие MFA и избыточные права доступа. Такие нарушения зафиксированы в 41% инцидентов, а в облачных средах – почти в половине.

Что делать защитникам

Эксперты Palo Alto Networks рекомендуют переходить от реактивной обороны к консолидированным стратегиям, где ключевыми элементами становятся:

• Zero Trust – отказ от избыточного доверия и строгий контроль всех соединений;
• Единая платформа мониторинга – объединение логов и событий из облаков, сети и конечных точек;
• AI-аналитика для обнаружения аномалий в реальном времени;
• SOAR (Security Orchestration, Automation and Response) – автоматизация реагирования и сокращение времени изоляции инцидентов;
• DevSecOps – встраивание безопасности на всех стадиях жизненного цикла приложений и облачных сервисов.

Unit 42 рекомендует регулярно проводить red team-учения, имитацию реальных атак и сотрудничать с внешними экспертами на условиях retainer-контрактов (поддержка реагирования по подписке).

Итог

Отчет Global Incident Response Report 2025 фиксирует новую фазу развития киберугроз. Эпоха «тихих» атак с шифрованием данных уходит в прошлое. На первый план выходят разрушительные, многовекторные и стремительные атаки, где у защитников остаются минуты.

Главный вывод – устойчивость теперь измеряется скоростью: организации, которые не успевают обнаружить и сдержать атаку в реальном времени, рискуют потерять не только данные, но и сам бизнес.

Полная версия отчета доступна по ссылке.