Кибератаки становятся быстрее и незаметнее: выводы отчета Global Threat Report

В 2024 году кибератаки стали быстрее, масштабнее и сложнее. Согласно данным ежегодного отчета компании CrowdStrike «Global Threat Report 2025», злоумышленникам требовалось в среднем всего 48 минут, чтобы перейти от первого доступа к боковому перемещению по сети, а минимальный зафиксированный показатель составил 51 секунду. Более 79% атак обходились без использования вредоносного ПО, а число кампаний социальной инженерии, включая телефонное мошенничество (vishing), резко выросло. Полная версия отчета «Global Threat Report 2025» доступна по ссылке.

Новые тактики атак

В отчете отмечается, что злоумышленники отходят от использования традиционного вредоносного ПО и все чаще действуют через легитимные инструменты администрирования и украденные учетные данные. В 2024 году 79% зафиксированных атак обходились без вредоносного кода — против 40% пять лет назад. Такой подход делает вторжения почти неотличимыми от действий обычных пользователей и осложняет их обнаружение.

Основным вектором остается компрометация аккаунтов. По оценке CrowdStrike, число предложений на теневых рынках, где продается доступ к корпоративным сетям, выросло на 50%. В облачных инфраструктурах 35% всех инцидентов были связаны с использованием валидных учетных данных, что позволяло злоумышленникам сохранять присутствие в системах неделями.

Резко выросло число атак социальной инженерии. Во второй половине 2024 года количество кампаний телефонного мошенничества (vishing) увеличилось на 442%. Преступники звонят под видом специалистов службы поддержки, убеждают сотрудников установить удаленное ПО или пройти по ссылке для подтверждения личности. Такие сценарии не требуют уязвимостей в программном обеспечении и становятся все более эффективными благодаря доступности персональных данных и инструментов генеративного ИИ.

Скорость и масштаб вторжений

CrowdStrike фиксирует дальнейшее ускорение атак: среднее время перехода от первоначального проникновения к боковому перемещению по сети («breakout time») сократилось до 48 минут против 62 минут годом ранее. В отдельных случаях злоумышленникам требовалась менее чем одна минута, чтобы начать продвижение по инфраструктуре жертвы. Это означает, что у компаний остается крайне мало времени для реагирования и локализации инцидентов.

Растет и доля интерактивных вторжений, когда операторы действуют вручную, меняют тактику в реальном времени и маскируются под легитимную активность. Таких кампаний в 2024 году стало на 35% больше, чем годом ранее. Чаще всего страдали технологические компании, а также консалтинговый, производственный и розничный секторы.

Социальная инженерия и обман служб поддержки

Авторы отчета отмечают, что человеческий фактор остается самым уязвимым звеном: атаки, основанные на социальной инженерии, заметно усилились и расширили спектр приемов. Вишинг (телефонное мошенничество) вырос на 442% во второй половине 2024 года — злоумышленники звонят под видом техподдержки, коллег или партнеров и вынуждают сотрудников установить удаленное ПО, передать коды доступа или выполнить процедуру обхода защиты. Часто применяется комбинация сценариев: фишинговое письмо создает предлог, а звонок завершает компрометацию.

Особенно эффективно работают приемы через help-desk: злоумышленники убеждают операторов сбросить пароль или отключить MFA, после чего получают длительный доступ через легитимные учетные записи. Появление доступных инструментов генеративного ИИ и дипфейков повысило правдоподобие легенд и голосовых подмен, что делает такие атаки еще труднее отличимыми от легитимных обращений. В ответ компании усиливают процедуры верификации в службе поддержки и включают сценарии телефонного обмана и RMM-атак в программы обучения сотрудников.

ИИ как новый инструмент атак

В отчет ототмечается переход к системному использованию генеративного искусственного интеллекта злоумышленниками. Согласно приведенным данным, фишинговые письма, созданные с помощью больших языковых моделей, демонстрируют отклик в четыре раза выше — 54% против 12% при «ручном» написании. ИИ позволяет быстро генерировать тексты, подделывать голоса и изображения, автоматизировать поиск жертв и адаптацию сообщений под конкретные компании или должности. Северокорейская группа FAMOUS CHOLLIMA применяла ИИ для создания поддельных профилей разработчиков на LinkedIn и прохождения собеседований от имени фиктивных кандидатов. В одном из инцидентов в феврале 2024 года использование дипфейков руководителей позволило похитить 25,6 млн долларов через схему деловой переписки (Business Email Compromise — BEC).

Рост активности государственных акторов

В отчете отмечается, что наибольшую активность в 2024 году проявили группы, связанные с Китаем. В среднем число их операций выросло на 150%, а в отдельных секторах — до 200–300%. Наиболее часто под удар попадали финансы, медиа, производство и инженерные компании. Для китайских акторов характерны длительное присутствие в сетях, высокий уровень скрытности и специализация по целям: от телекоммуникаций и азартных игр до дипломатических миссий в Африке и на Ближнем Востоке. Такой рост свидетельствует о переходе от массовых атак к точечным операциям с четкими задачами разведки или промышленного шпионажа.

Облачные атаки и эксплуатация SaaS

Атаки на облачные инфраструктуры становятся новой нормой. По данным отчета, 35% всех инцидентов в 2024 году были связаны с использованием валидных учетных данных и злоупотреблением доверенными связями между сервисами. Все чаще злоумышленники крадут токены доступа, используют ошибки конфигурации или функции администрирования облака. Особенно опасны инсайдерские сценарии, когда акторы устраиваются в компании и получают легитимный доступ к ресурсам.

Отдельным направлением становится эксплуатация SaaS: доступ к корпоративным приложениям позволяет изменять платежную информацию, красть файлы и распространять вредоносные вложения через облачные сервисы. Такие атаки трудно обнаружить стандартными средствами, и эксперты ожидают их дальнейший рост в 2025 году.

Эксплуатация уязвимостей и цепочки эксплойтов

В 2024 году злоумышленники все активнее комбинировали несколько уязвимостей в единую цепочку (exploit chaining), добиваясь удаленного выполнения кода и расширения доступа. Под ударом оказались сетевые устройства и встроенные операционные системы, где одна брешь часто затрагивает сразу несколько моделей оборудования.

Авторы отчета указывают, что атакующие все чаще используют законные функции систем, например встроенные инструменты администрирования в Microsoft SQL Server, чтобы запускать команды без отдельного вредоносного кода. Это делает атаки незаметными для сигнатурных решений и требует перехода к поведенческому анализу и проактивной охоте за угрозами.

Кадры, цепочки поставок и регуляторное давление

Несмотря на технологические достижения, риски остаются высокими. Дефицит квалифицированных специалистов и уязвимости в цепочках поставок по-прежнему создают точки входа для атак. Подрядчики и партнеры стали источником значительной доли инцидентов, а ошибки интеграции усиливают уязвимость экосистем.

Одновременно растет давление регуляторов: европейские инициативы DORA и NIS2 требуют от компаний прозрачного управления рисками, строгого контроля подрядчиков и готовности к оперативному реагированию. Компании отвечают автоматизацией процессов, развитием мониторинга и проверок третьих сторон, но баланс между скоростью цифровизации и требованиями безопасности остается непростым.

Заключение

Авторы отчета приходят к выводу, что кибератаки становятся быстрее, точнее и менее заметными. Основные причины — использование легитимных инструментов вместо вредоносного кода, компрометация учетных записей, применение генеративного ИИ и высокая степень автоматизации. Среднее время между первоначальным проникновением и распространением по сети сократилось до 48 минут, что оставляет компаниям минимальный резерв на реагирование. Социальная инженерия и телефонные схемы обмана превращаются в ключевой вектор проникновения, а облачные сервисы становятся новой ареной для киберопераций.

На этом фоне киберустойчивость требует переосмысления: формальные меры защиты больше не обеспечивают достаточного уровня безопасности. Компании усиливают контроль доступа, внедряют поведенческий анализ, развивают обучение сотрудников и повышают зрелость процессов реагирования. Противники действуют все быстрее и изобретательнее, поэтому способность организаций оперативно выявлять и блокировать аномалии становится главным фактором выживаемости в цифровой среде.