ГЛАВНЫЕ КИБЕРУГРОЗЫ И ИНСИДЕНТЫ НЕДЕЛИ: ИЮЛЬ 2025
Аналитика для финансового сектора, служб кибербезопасности и ИИ
Последняя неделя июля 2025 года продемонстрировала новые масштабные атаки, технологические тренды и эволюцию векторов угроз, которые критически важны для анализа и планирования защиты в банках и крупных организациях. Фокус сместился с известных сценариев (масштабные атаки на авиакомпании, массовый взлом SharePoint) к неочевидным, но потенциально фатальным угрозам: атаки на виртуализацию, социальную инженерию нового уровня, уязвимости цепочек поставок ИИ, гибридные схемы ransomware, рост киберфрода с применением AI и полный пересмотр роли голосовой биометрии в аутентификации.
1. Атаки на ядро виртуализации: Scattered Spider и взлом VMware ESXi
Что произошло:
Крупнейшая киберпреступная группировка Scattered Spider (UNC3944) сместила акцент атак на инфраструктуру виртуализации, используя сложные методы социальной инженерии для первичного доступа, а затем атакуя гипервизоры VMware ESXi.
Технический разбор:
- Первичный доступ: Атакующие осуществляют телефонные звонки (vishing) в IT‑поддержку жертвы, имитируют реальных сотрудников и убеждают операторов выдать временные коды MFA или запустить сессию удаленной помощи (например, Microsoft Quick Assist).
- Дальнейшее развитие: Получив права, атакующие быстро перемещаются к серверу управления VMware и разворачивают ransomware непосредственно на ESXi‑хосте, шифруя все виртуальные диски десятков серверов одной атакой.
- Обход защиты: EDR и антивирусы на гостевых ОС становятся бесполезны, так как атака происходит «под» виртуальными машинами.
- Особо опасно для банков: Потеря даже одного хоста — потеря сервисов ДБО, API, процессинга, баз данных и внутренних систем.
Рекомендация:
Требуется полный аудит процессов поддержки, многоуровневая верификация, изоляция management-сетей VMware, автоматическое оповещение о любом входе/действии на уровне гипервизоров, отказ от использования встроенных средств удалённой помощи без многоканальной верификации.
2. Эффект гидры: Ликвидация BlackSuit и появление группы Chaos
Что произошло:
В результате международной операции «Checkmate» ликвидированы основные ресурсы и даркнет‑порталы одной из самых опасных групп вымогателей BlackSuit (преемница Conti/Royal). Почти сразу возникла новая группа Chaos, унаследовавшая TTPs (тактики, техники и процедуры) BlackSuit.
Технический разбор:
- Ребрендинг: Использование схожих инструментов и стиля атак.
- Социальная инженерия: Новая волна атак Chaos построена на спам‑флудинге с целью принудить жертву позвонить «службе поддержки». В ходе звонка жертву убеждают подключить Quick Assist и передают полный контроль злоумышленникам.
- Обход защиты: Вредонос не доставляется по почте, не запускается автоматически — пользователь сам инициирует подключение. Это полностью обходит традиционные антиспам/EDR и требует исключительно работы с человеческим фактором.
Почему это важно:
Показывает гибкость и устойчивость киберпреступных синдикатов. Защитные меры должны эволюционировать вместе с противником — технический контроль бессилен без параллельного обучения персонала и строгих процедур.
3. Крах голосовой биометрии: ИИ‑фрод и «конец доверия» к voice‑аутентификации
Что произошло:
Глава OpenAI Сэм Альтман на конференции Федерального резерва США предупредил: голосовая аутентификация полностью скомпрометирована технологиями AI voice cloning, и банки стоят на пороге невиданного кризиса мошенничества.
Технический разбор:
- Современные ИИ‑модели могут с высокой точностью сгенерировать голос, имея всего несколько секунд образца.
- Voice‑биометрия, массово используемая банками для дистанционной идентификации, больше не может считаться фактором, защищённым от подделки.
- Следующий этап — синтетические дипфейк‑видео, которые уже скоро смогут в реальном времени подделывать внешность клиента для видеобанкинга.
Почему это важно:
Банкам срочно нужно отказываться от голосовой и видео‑аутентификации как базовых факторов, переводить клиентов на аппаратные и криптографические токены, FIDO2/Passkeys. Необходимо масштабное внедрение AI‑детекторов deepfake, а также фрод-аналитики, анализирующей поведение и контекст, а не только биометрию.
4. Атака на цепочку поставок ИИ: вредонос в Amazon Q Developer Extension
Что произошло:
В открытый репозиторий расширения Amazon Q для VS Code (ИИ‑ассистент для разработчиков) внедрён вредонос через «незаметный» pull request.
Технический разбор:
- Вектор: Вредоносный промпт внедрён через официальный механизм pull request.
- Реакция Amazon: Инцидент не был публично объявлен, расширение было тихо удалено из маркетплейса без уведомления пользователей или CVE.
- Риски: Подобные ассистенты имеют доступ к исходному коду, секретам, настройкам и могут стать каналом внедрения закладок, backdoor и деструктивных команд в любой код.
Почему это важно:
Банки и финтехи массово внедряют ИИ-инструменты разработки. Требуется строгий внутренний контроль использования ассистентов, ручной аудит генерируемого кода, минимизация доверия даже к проверенным решениям и внедрение мониторинга всех изменений через ИИ.
5. Финансовый сектор — в эпицентре AI-угроз и AI-фрода
Что произошло:
Исследование Deep Instinct: 45% финансовых организаций уже пострадали от атак с применением AI (deepfake, AI‑фишинг, автоматизированный malware).
Технический разбор:
- Атаки идут через персонализированный AI‑фишинг, генерацию deepfake‑звонков и взлом программ лояльности.
- Атаки становятся все более автоматизированными, нацелены на слабые звенья и уязвимые цепочки поставщиков.
- Инциденты: хищения десятков миллионов долларов с применением deepfake (случаи в ОАЭ, Австралии, Великобритании, Китае).
Почему это важно:
Переходить к проактивной защите: внедрение AI‑фрод‑детекторов, аналитики поведенческих аномалий, платформ интегрированного обмена угрозами, срочный аудит цепочек поставок и SaaS-сервисов.
6. Проблема Data Sprawl и «теневого ИИ» (Shadow AI)
Что произошло:
AI‑инфраструктура банков растёт быстрее, чем процессы контроля: новые системы порождают неконтролируемые массивы логов, реплик, моделей и временных файлов.
Технический разбор:
- Исследование TechRadar: экспоненциальный рост неучтённых данных из-за распространения AI‑сервисов и автоматизации процессов.
- IBM Cost of a Data Breach Report 2025: стоимость утечек снизилась только у компаний с внедрённой политикой AI governance и контролем Shadow AI; для остальных — рост затрат.
Почему это важно:
Отсутствие контроля над AI‑ресурсами создаёт риски утечек, недокументированных «чёрных ящиков» в инфраструктуре, неспособности быстро реагировать на инциденты.
Рекомендация:
Внедрять автоматическую классификацию, политику жизненного цикла для AI-активов, регулярный аудит всех новых источников данных, а также жёсткое разграничение доступа к ИИ‑инфраструктуре.
Заключение и приоритетные рекомендации
Общий вывод:
Вектор атак сместился в сторону целевых, комплексных схем: злоумышленники обходят технические средства защиты, используют социальную инженерию, атакуют через цепочки поставок ИИ и инфраструктуру виртуализации. Финансовые организации становятся объектами ИИ-фрода, а кризис доверия к традиционным методам аутентификации требует срочных решений.
Текущие приоритеты для банков и киберподразделений:
- Аудит и защита уровня виртуализации и управления ИИ-инфраструктурой.
- Отказ от слабых биометрических методов — переход к hardware tokens, Passkeys, криптографическим системам.
- Внедрение AI-фрод-аналитики, поведенческого анализа, AI-gov.
- Реорганизация процессов поддержки и жёсткая верификация любых запросов на удалённый доступ.
- Контроль Shadow AI, Data Sprawl и обновление политики работы с AI-поставщиками.
- Постоянное обучение сотрудников современным тактикам атак и реагирования.
Любой из описанных кейсов готов расширить по отдельному запросу с техническим чеклистом, схемой реагирования и рекомендациями для внедрения в корпоративную практику.
Author: admin
Related Posts
Данные дороже нефти: что показал отчет IBM «Cost of a Data Breach 2025»
Киберугрозы 2025: Противник действует как корпорация — быстрее и умнее
