Исследование: Анализ трендов киберугроз в 2024 году на основе отчета Red Canary
КибербезопасностьОтчеты

Исследование: Анализ трендов киберугроз в 2024 году на основе отчета Red Canary

admin

Согласно отчету Red Canary 2025 Threat Detection Report, за 2024 год было зафиксировано почти 93 000 угроз, что на треть больше, чем в 2023 году. Рост кибератак связан с расширением охвата угроз, особенно в облачных инфраструктурах и системах идентификации. Среди ключевых трендов — атаки на учетные записи, вредоносное ПО для кражи данных, уязвимости, а также злоупотребление VPN и методами социальной инженерии.

Данное исследование основано на анализе отчета Red Canary и рассматривает основные угрозы, выявленные в 2024 году. Оно предназначено для специалистов в области кибербезопасности, позволяя им понять текущие векторы атак и адаптировать стратегии защиты.

2025ThreatDetectionReport_RedCanaryСкачать

Основные тренды кибератак в 2024 году

Black Basta и усовершенствованные фишинговые схемы

Одним из значимых открытий года стала техника “email bombing + голосовой фишинг”, которую использовали кибергруппы, связанные с Black Basta. Атака включает:

  • Массовую рассылку спама, что перегружает почтовые ящики жертв.
  • Обращение к жертве от имени ИТ-поддержки через телефон или MS Teams.
  • Под предлогом помощи злоумышленники убеждают жертву установить средства удаленного доступа (Microsoft Quick Assist, AnyDesk, TeamViewer).

Почему это важно:

  • Использование социальных инженерных атак резко возросло.
  • Данный подход позволяет атакующим обойти традиционные системы защиты, такие как MFA.

ClickFix и “paste-and-run” атаки

ClickFix — новая техника внедрения вредоносного кода через ложные CAPTCHA и фейковые ошибки браузера. После нажатия на CAPTCHA система автоматически копирует в буфер обмена вредоносный PowerShell-код и просит пользователя вставить его в командную строку (Windows + R → CTRL + V → Enter).

Этот метод применяют:

  • LummaC2,
  • HijackLoader,
  • NetSupport Manager,
  • StealC,
  • CryptBot.

Риски:

  • Позволяет злоумышленникам обходить антивирусные системы.
  • Массовое распространение вредоносного ПО через обычные сайты.

Фальшивые обновления браузеров

Вредоносные программы SocGholish, Scarlet Goldfinch, FakeSG/Rogue, ClearFake, Yellow Cockatoo и Fakebat распространялись через поддельные страницы обновлений браузеров. Жертвы загружали и устанавливали вредоносное ПО, получая вирус в системе.

Основной вектор заражения:

  • Посещение зараженного сайта.
  • Отображение сообщения об устаревшей версии браузера.
  • Установка “обновления”, которое является вирусом.

SEO Poisoning: Фишинговые сайты в топе поисковиков

Злоумышленники создавали поддельные страницы с вредоносными загрузками и продвигали их в поисковых системах, используя SEO-оптимизацию. Это особенно эффективно против пользователей, которые ищут популярные программы (Microsoft Teams, Zoom, QuickBooks).

Компрометация учетных записей и токенов сессии

Основные методы атак на учетные записи в 2024 году:

  • Фишинг и стилеры (кража учетных данных через вредоносное ПО).
  • Перехват сессионных токенов (хранение в cookies позволяет атакующим обходить авторизацию).
  • Распыление паролей (brute-force атаки на учетные записи).
  • Атаки “человек посередине” (MitM) для обхода MFA (использование поддельных страниц аутентификации).
  • SIM-swapping и звонки от имени службы поддержки с целью получения данных для входа.

Вредоносное ПО-стилеры

Стилеры стали одним из главных инструментов атакующих:

  • LummaC2 — лидер среди вредоносов.
  • Atomic Stealer атакует macOS.
  • Использование методов обхода защиты браузеров, включая шифрование session cookies.

Основные цели стилеров:

  • Кража учетных данных, в том числе из облачных сервисов.
  • Захват криптокошельков и VPN-доступа.
  • Монетизация учетных данных на черном рынке.

Злоупотребление VPN

  • В 2024 году было зафиксировано использование VPN для первичного доступа и перемещения внутри сети.
  • Группы Akira и FOG активно атаковали Cisco ASA VPN с помощью password spraying-атак.

Взлом облачных сервисов

Три из пяти самых популярных техник атак в 2024 году были связаны с облачными сервисами:

  • Cloud Account Takeover — компрометация учетных записей администраторов облачных сервисов.
  • Email Hiding Rules — скрытые правила пересылки писем для обхода обнаружения компрометации.
  • Mshta Exploitation — использование mshta.exe для обхода систем безопасности.

Выводы и рекомендации

Что важно учитывать компаниям в 2025 году?

  1. Обучение сотрудников:
    • Распознавание атак социальной инженерии (фальшивые звонки от службы поддержки, email bombing).
    • Опасность вставки неизвестного кода в командную строку (ClickFix).
  2. Жесткий контроль учетных записей:
    • Внедрение MFA с защитой от “бомбардировки” запросами.
    • Мониторинг активности подозрительных VPN и устройств.
  3. Защита облачных сервисов:
    • Ограничение доступа к Microsoft Teams, Google Workspace и другим сервисам только проверенным пользователям.
    • Использование условных политик доступа (CAP).
  4. Обновление ПО и патчинг уязвимостей:
    • Контроль обновлений VPN, браузеров и программных инструментов.
    • Устранение известных уязвимостей (CVE-2023-48788, CVE-2024-1709, CVE-2024-1708).
  5. Мониторинг аномалий в сети и системах:
    • Анализ подозрительных IP-адресов.
    • Ограничение установки удаленного ПО (NetSupport Manager, TeamViewer, AnyDesk, RUSTDESK).

Заключение

2024 год подтвердил, что атаки становятся все более сложными и многослойными, сочетая вредоносное ПО, социальную инженерию, эксплуатацию уязвимостей и компрометацию облачных сервисов. Компании должны адаптироваться, повышая уровень кибербезопасности через проактивную защиту, мониторинг и обучение сотрудников.

Отчет основан на данных Red Canary 2025 Threat Detection Report.

admin
Author: admin

Related Posts