Picus Red Report 2025: Анализ ключевых киберугроз и тактик атакующих

Picus Red Report 2025 – это ежегодный отчет компании Picus Security, анализирующий наиболее распространенные тактики, методы и процедуры (TTP) злоумышленников, выявленные в 2024 году. Данные отчета основаны на изучении более 1 миллиона образцов вредоносного ПО и 11 миллионов случаев применения техник MITRE ATT&CK.

Основные выводы:

• 93% атак в 2024 году использовали 10 наиболее распространенных техник MITRE ATT&CK.
• Кража учетных данных стала доминирующей угрозой, увеличившись в три раза по сравнению с 2023 годом.
• Многоступенчатые атаки (Perfect Heist) стали нормой, объединяя скрытность, стойкость и автоматизацию.
• Шифрованные каналы связи используются для эксфильтрации данных, обходя традиционные средства мониторинга.
• Несмотря на популярность ИИ, значительного роста атак, основанных на ИИ, не выявлено.

Топ-10 техник MITRE ATT&CK 2024 года

1. T1055 – Process Injection (Инъекция в процесс)
   • Применяемость: 31% всех атак.
   • Цель: выполнение вредоносного кода внутри легитимного процесса для маскировки активности.
   • Методы: DLL-инъекция, Process Hollowing, APC Injection.
   • Примеры атак: RedLine Stealer, Agent Tesla, Zloader.
2. T1059 – Command and Scripting Interpreter (Командные интерпретаторы и скрипты)
   • Применяемость: активное использование PowerShell, Bash, Python для удаленного выполнения команд.
   • Цель: скрытное выполнение вредоносных команд в доверенных процессах.
   • Примеры атак: Lazarus Group, Black Basta, Iranian Cyber Actors.
3. T1555 – Credentials from Password Stores (Извлечение паролей из хранилищ)
   • Применяемость: 25% всех атак.
   • Цель: кража учетных данных из менеджеров паролей, браузеров, кеша.
   • Методы: Mimikatz, RedLine Stealer.
   • Примеры атак: Volt Typhoon, Slow Tempest.
4. T1071 – Application Layer Protocol (Протоколы прикладного уровня)
   • Цель: скрытная передача данных через HTTPS, DNS over HTTPS (DoH).
   • Примеры атак: DarkGate, LemonDuck, Snake Keylogger.
5. T1562 – Impair Defenses (Отключение средств защиты)
   • Цель: отключение антивирусов, журналов событий, EDR.
   • Примеры атак: BlackCat Ransomware, Phobos Ransomware.
6. T1486 – Data Encrypted for Impact (Шифрование данных)
   • Цель: шифрование файлов жертвы с целью вымогательства.
   • Примеры атак: ALPHV, Akira, Rhysida.
7. T1082 – System Information Discovery (Сбор информации о системе)
   • Цель: разведка системы перед атакой, выявление уязвимостей.
   • Примеры атак: APT29, Lazarus Group.
8. T1056 – Input Capture (Перехват ввода)
   • Цель: кража данных через кейлоггеры и снятие скриншотов.
   • Примеры атак: DarkVision RAT, TaxOffer.
9. T1547 – Boot or Logon Autostart Execution (Автозапуск при загрузке системы)
   • Цель: сохранение присутствия в системе после перезагрузки.
   • Примеры атак: Transparent Tribe, Phobos Ransomware.
10. T1005 – Data from Local System (Сбор данных с локальной системы)

• Цель: кража файлов и документов жертвы.
• Примеры атак: Mustang Panda, APT36.

Тенденции и новые угрозы

1. «Идеальный взлом» (Perfect Heist) и эволюция инфостилеров

Атаки, подобные SneakThief, используют:

• Многоступенчатые цепочки атак, сочетающие скрытность, стойкость и автоматизацию.
• Кражу учетных данных как основной инструмент lateral movement.
• Шифрованные каналы связи для скрытой передачи данных.

2. Распространение методов шифрованной эксфильтрации

• Атакующие активно используют HTTPS, DoH, WebSockets.
• Данные передаются через зашифрованные каналы, имитирующие легитимный трафик.
• Это затрудняет мониторинг утечек информации традиционными средствами.

3. Отсутствие значительного роста атак, основанных на ИИ

Несмотря на популярность ИИ, новые техники атак, полностью зависящие от ИИ, не выявлены.

• ИИ используется для оптимизации атак (например, автоматизация фишинга, генерация вредоносного кода).
• Но ИИ не стал самостоятельным инструментом атак, изменившим ландшафт угроз.

Рекомендации по защите

1. Адаптивный поиск угроз и поведенческая аналитика
   • Использование поведенческих детекторов вместо традиционных сигнатур.
   • Мониторинг аномалий в сети и на конечных устройствах.
2. Жесткая политика управления учетными записями
   • Внедрение многофакторной аутентификации (MFA).
   • Хранение паролей в защищенных хранилищах.
   • Ограничение административных привилегий.
3. Контроль за шифрованным трафиком
   • Мониторинг DNS-запросов и HTTPS-соединений.
   • Внедрение межсетевых экранов нового поколения (NGFW).
4. Защита от атак на автозапуск и стойкость вредоносного ПО
   • Регулярный аудит системных конфигураций.
   • Внедрение контроля целостности файлов (FIM).
   • Ограничение использования скриптовых интерпретаторов.

Заключение

Picus Red Report 2025 демонстрирует, что современные кибератаки становятся всё более изощренными и многоступенчатыми. Основной фокус злоумышленников – кража учетных данных, скрытная эксфильтрация данных и уклонение от детектирования.

Для эффективной защиты организации должны перейти от реактивного подхода к проактивному, внедряя поведенческую аналитику, адаптивный поиск угроз и строгий контроль учетных данных.

Author: admin