Отчет CrowdStrike “Global Threat Report 2025” рисует картину новой реальности кибербезопасности, где главный лейтмотив — «предприимчивый противник». Хакерские группировки перестали быть хаотичными энтузиастами; они действуют как эффективные, сфокусированные и инновационные бизнес-структуры, стремительно сокращая дистанцию между атакой и результатом.

CrowdStrikeGlobalThreatReport2025 Скачать

Ключевой показатель этой трансформации — скорость. Среднее время «прорыва» (breakout time) — период от первоначального взлома до горизонтального перемещения по сети — сократилось до 48 минут, а самый быстрый зафиксированный случай составил всего 51 секунду. Это стало возможным благодаря смене тактики: 79% всех зафиксированных атак в 2024 году были бесфайловыми (malware-free), что на 39% больше, чем в 2019 году. Вместо вредоносного ПО злоумышленники используют легитимные инструменты и «живые» атаки с клавиатуры, что делает их практически неотличимыми от действий обычных пользователей.

Главной точкой входа становится человек. Атаки с использованием голосового фишинга (вишинга) пережили взрывной рост — на 442% во второй половине 2024 года. Злоумышленники активно применяют генеративный ИИ для создания убедительных дипфейков и фишингового контента. Северокорейская группа FAMOUS CHOLLIMA использовала ИИ для создания фейковых профилей кандидатов для трудоустройства в IT-компании, успешно внедряя своих агентов в целевые организации.

Геополитическая напряженность также нарастает. Активность хакерских групп, связанных с Китаем, выросла на 150% по всем секторам, а в отдельных отраслях (финансы, промышленность) — на 200–300%. Эти группы демонстрируют возросшую специализацию и зрелость, проводя сложные операции по шпионажу и сбору разведданных.

Основными целями остаются облачные среды и системы идентификации. 35% инцидентов в облаке были связаны с компрометацией легитимных учетных записей. В ответ на это CrowdStrike призывает организации защищать всю экосистему идентификации, внедрять проактивный поиск угроз и рассматривать облако как ключевую инфраструктуру, требующую первостепенной защиты.