Основные тренды 2024
1. Ransomware ≠ Шифрование
Классическое шифрование уходит на второй план.
Главная монетизация — кража данных и шантаж (extortion-first).
Ведущие игроки: Ransom Hub, Akira, INC/Lynx.
Основной акцент — утечка данных и давление через публикацию.
2️. RAT + RMM как стандартный механизм проникновения
75% всех удалённых доступов — через RAT.
Злоупотребление RMM-инструментами массово.
75% всех удалённых доступов — через RAT.
Злоупотребление RMM-инструментами массово.
Злоумышленники внедряются под видом легитимной IT-активности.
3️. "Living off the Land" — использование штатных админ-инструментов
IOC бессильны. Работает только поведенческий (behavioral) анализ.
IOC бессильны. Работает только поведенческий (behavioral) анализ.
4️. Рост точечных и сложных фишинговых кампаний
Социальная инженерия вышла на новый уровень:
QR-фишинг
Имитация e-signature
Персонализация через OSINT
Image-based фишинг
Антифишинг-фильтры больше не дают нужной защиты.
Социальная инженерия вышла на новый уровень:
QR-фишинг
Имитация e-signature
Персонализация через OSINT
Image-based фишинг
Антифишинг-фильтры больше не дают нужной защиты.
5️. SMB — больше не защищён отсутствием масштаба
Пробел между атакой на enterprise и SMB исчез.
Малым и средним компаниям уделяется всё больше внимания — слабые SOC, отсутствие DLP и зрелого контроля делают их лёгкой добычей.
Пробел между атакой на enterprise и SMB исчез.
Малым и средним компаниям уделяется всё больше внимания — слабые SOC, отсутствие DLP и зрелого контроля делают их лёгкой добычей.
6️. Скорость атак — часы, не дни
Средний Time-to-Ransom: 17 часов.
У лидирующих групп (Akira, RansomHub, INC/Lynx): 4–7 часов от проникновения до финальной атаки. Реакция должна происходить в режиме «онлайн», а не по журналам на утро.
Средний Time-to-Ransom: 17 часов.
У лидирующих групп (Akira, RansomHub, INC/Lynx): 4–7 часов от проникновения до финальной атаки. Реакция должна происходить в режиме «онлайн», а не по журналам на утро.
Выводы для защиты в 2025:
✔️ Стандартная схема защиты (Firewall + AV + Бэкапы) — уже не рабочая модель.
✔️ Нужны полноценные SOC, поведенческий анализ, DLP, контроль за RMM, управление цепочками поставок.
✔️ Любая интеграция и SaaS — точка потенциального входа.
✔️ Экономия на кибербезопасности больше не даёт иллюзии устойчивости — риск наступает намного быстрее, чем ранее.
✔️ Стандартная схема защиты (Firewall + AV + Бэкапы) — уже не рабочая модель.
✔️ Нужны полноценные SOC, поведенческий анализ, DLP, контроль за RMM, управление цепочками поставок.
✔️ Любая интеграция и SaaS — точка потенциального входа.
✔️ Экономия на кибербезопасности больше не даёт иллюзии устойчивости — риск наступает намного быстрее, чем ранее.
