Всплеск атак без использования вредоносного ПО, поскольку киберпреступники используют законные инструменты для обхода защиты

Угрозы в сфере кибербезопасности стали значительно более сложными: противники действуют быстрее и используют более продвинутые техники для вторжения в сети, согласно последнему Глобальному отчету о угрозах от CrowdStrike.

Результаты исследования подчеркивают растущую зависимость от социальной инженерии, атак на личность и искусственного интеллекта для обхода систем безопасности.

Одной из наиболее тревожных тенденций является сокращение «времени прорыва» — времени, которое злоумышленнику требуется для перемещения внутри скомпрометированной сети. Среднее время прорыва сократилось до всего 48 минут в 2024 году, а самое быстрое было зафиксировано всего за 51 секунду.

Это быстрое обострение означает, что организациям остается еще меньше времени для обнаружения и предотвращения нарушений безопасности, прежде чем будет нанесен значительный ущерб. Атаки с использованием социальной инженерии взлетели, с голосовым фишингом (vishing), увеличившимся на 442% между первой и второй половиной 2024 года.

Атакующие используют прямые телефонные звонки для манипуляции жертвами с целью раскрытия учетных данных, предоставления доступа или выполнения вредоносных действий. Кроме того, продажа доступа к сети через подпольные рынки процветает, с рекламой брокеров доступа, которая увеличилась на 50% по сравнению с прошлым годом.

Отчет CrowdStrike также подчеркивает отход от традиционных атак на основе вредоносного ПО. В 2024 году 79% обнаружений были без вредоносного ПО, в сравнении всего с 40% в 2019 году. Вместо использования вредоносного ПО, атакующие используют методы с прямым участием оператора, имитируя поведение законного пользователя, чтобы избежать обнаружения.

CrowdStrike предупреждает, что облачные сервисы становятся предпочтительной целью для вредоносной активности на зараженных машинах, с увеличением на 26% неопределенных вторжений в облако в 2024 году по сравнению с 2023 годом.

В отчете подчеркивается, что злоумышленники получают первоначальный доступ через действительные учетные записи, используют инструменты управления облачной средой для горизонтального перемещения и эксплуатируют командные строковые инструменты облачного провайдера.

Сектор технологий остается наиболее целевой отраслью уже седьмой год подряд, за ним следуют консалтинг, производство и розничная торговля.

Доклад подчеркивает растущий профессионализм киберпреступников, которые теперь работают как структурированные бизнесы, постоянно совершенствуя свои тактики.

С учетом роста числа атак, основанных на идентификации, и угроз, генерируемых при помощи ИИ, эксперты настоятельно рекомендуют организациям придавать первоочередное значение превентивным стратегиям защиты, включая риск-ориентированное исправление уязвимостей, усиленную проверку идентификации и раннее обнаружение злоупотребления учетными данными.

Благодаря низкому порогу входа, genAI позволяет угрозовым акторам создавать очень убедительные фишинговые письма, deepfake видео и кампании дезинформации. По мере того, как киберпротивники становятся более изощренными, командам по обеспечению безопасности необходимо быстро адаптироваться для противодействия развивающимся угрозам.