Почему атаки становятся сложнее: анализируем отчет Mandiant «M-Trends 2025»

SecPost ознакомился с ежегодным отчетом «Mandiant M-Trends» который показывает, как меняются методы атак, какие отрасли становятся мишенями и почему прежние подходы к обнаружению больше не работают. Полная версия отчета доступна по ссылке.

Как атакуют: от уязвимостей до инсайдеров

Главный способ проникновения в 2024 году по данным Mandiant – эксплуатация уязвимостей: в 33% расследованных случаев атака начиналась именно с них. Почти каждая шестая атака (16%) стартовала со скомпрометированных логинов и паролей, впервые обогнав фишинг (14%). Еще 9% инцидентов пришлись на веб-компрометации – drive-by-загрузки, вредоносную рекламу и SEO-отравление (продвижение поддельных сайтов в поисковиках).

Злоумышленники все чаще комбинируют методы: уязвимость на периметре, кража учетных данных, использование легитимных инструментов (PowerShell, PsExec и других) для маскировки действий. Этот подход усложняет обнаружение и сокращает окно реагирования: среднее время выявления атак выросло до 11 дней (годом ранее – 10), хотя почти половина инцидентов фиксировалась в течение недели.

Ransomware – программы-вымогатели, шифрующие или похищающие данные с целью выкупа, по-прежнему остаются основным сценарием вымогательских атак: на них приходилось 21% расследованных случаев, чаще всего с кражей данных и многоступенчатым вымогательством. Особый тренд – инсайдерские операции. В 5% инцидентов злоумышленник действовал изнутри, включая случаи, когда северокорейские IT-специалисты устраивались в зарубежные компании под ложными именами. В облачных инфраструктурах атакующие используют метаданные сервисов (IMDS), создают «теневые» аккаунты и злоупотребляют доверительными связями между организациями.

Группы киберугроз по типам и геолокациям в 2024 году.
Источник: отчет Mandiant «M-Trends 2025»

Кто под прицелом: финансовый сектор и высокие технологии

Финансовые организации остаются основной целью атакующих – на них пришлось 17,4% всех расследований. Финансовый сектор остается приоритетным направлением, поскольку атаки здесь дают быстрый экономический эффект – от прямого вымогательства и кражи средств до доступа к платежным системам и финансовым данным клиентов.

За ними следуют бизнес-услуги и консалтинг (около 11%), высокотехнологичные компании и здравоохранение (по 10–11%). Государственные структуры подвергались атакам в 9,5% случаев, розничная торговля – в 9,3%. Высокотехнологичные компании и консалтинг привлекают злоумышленников доступом к интеллектуальной собственности и инфраструктурам заказчиков.

В 2024 году вырос интерес к телекоммуникациям и образовательным учреждениям – из-за объема персональных и корпоративных данных, которыми они располагают.

Разные регионы – разные угрозы

Америка: доминируют финансово мотивированные операции – ransomware и схемы вымогательства; заметен рост атак на госучреждения и учебные заведения.

Europe, the Middle East and Africa (EMEA): более выражены кибершпионские операции, причем активность российских и китайских акторов остается высокой, в ряде случаев фиксировались деструктивные кампании.

Japan & Asia-Pacific (JAPAC): сочетание шпионажа и финансовой мотивации; активность китайских и северокорейских группировок, в том числе через инсайдерские методы и массовую эксплуатацию облачных сервисов.

Какие кейсы и кампании стоит знать

В 2024 году Mandiant зафиксировала 83 кампании и пять глобальных событий, затронувших 73 страны. Среди заметных трендов – активность семейств программ-вымогателей LockBit, RansomHub, RedBike (Akira) и других крупных ransomware-операций, а также целевые кампании APT-групп (включая APT44/Sandworm и северокорейских хакеров), где использовались уязвимости нулевого дня и атаки на VPN-шлюзы.

К типичным сценариям относятся: эксплуатация уязвимости на периметре → продвижение с помощью похищенных учетных данных → экфильтрация данных и вымогательство; в облаке – злоупотребление метаданных и создание теневых привилегированных аккаунтов.

Что делать: краткие приоритеты защиты по версии Mandiant

• Патч-менеджмент и приоритезация уязвимостей – прежде всего для экспонированных в интернет систем.
• Усиление аутентификации – MFA, предпочтительно FIDO2 или механизмы, устойчивые к фишингу.
• Защита облаков – аудит конфигураций, CNAPP/CDR-решения, контроль IMDS и управление сервисными аккаунтами.
• Мониторинг и корреляция событий – Next-Gen SIEM/EDR с охватом конечных точек, сети и облака.
• Интегрированная разведка угроз – подключать Threat Intelligence (TI) в процессы приоритезации и охоты.
• Тренировки команд и упражнения по инцидент-реакции; регулярные сценарные отработки.
• Политики и проверки подрядчиков – усилить контроль цепочек поставок и профильную верификацию поставщиков.