Хроники DFIR: анализ APT-атак за первое полугодие 2025 года

Команда экспертов центра исследований киберугроз Solar 4RAYS ГК «Солар» подготовила отчет по результатам DFIR-расследований атак на российские государственные структуры и частные организации. Большинство инцидентов ИБ происходило из-за деятельности хакерских группировок, которые работают с целью извлечения финансовой выгоды. Многие атаки оказались успешными — хакерам удалось обойти автоматизированные средства защиты или в компаниях просто не было ИБ-инструментов.

DFIR-расследование основано на данных расследования атак за первое полугодие 2025 года и информации по аналогичному периоду в 2024 года. В ходе DFIR-расследования атак собираются основные данные об инцидентах ИБ, атакуемые отрасли, квалификация хакеров. Это позволяет оценить уровень и критичность рисков для конкретных компаний и спланировать стратегию защиты от киберпреступников. Представлен и обзор самых известных хакерских группировок.

Сравнивая данные 2005 и 2024 года, можно проследить изменения в ландшафте сложных киберугроз. Ключевые тренды, выявленные в ходе DFIR:

1. С 10 до 6 сократилось количество отраслей, наиболее атакуемых хакерскими группировками. В фокусе внимания злоумышленников в основном государственный сектор, промышленность, крупные и начинающие ИТ-компании.
2. Главные цели атак хакерских группировок — финансовая выгода и сбор конфиденциальной информацииа. А вот активность хактивистов значительно снизилась.
3. 86% успешных проникновений в ИТ-инфраструктуру хакерские группировки совершили, эксплуатируя уязвимости в веб-приложениях и используя скомпрометированные учетные данные. В прошлом году показатель был примерно таким же.
4. Проукраинская Shedding Zmiy и восточноазиатская Erudite Mogwai хакерские группировки проявили себя наиболее активно. Вторая атаковала не так часто, зато комплексно, применяя нетипичные тактики и техники. Инцидентов с участием Erudite Mogwai было немного, но их DFIR-расследование продолжалось достаточно долго. Другие ранее известные группировки не были замечены в большом количестве атак. Но выводы об их участии делать рано — киберпреступники могли сменить тактику и действовать скрыто. Также вполне возможно, что появились новые группировки, которые пока не успели приобрести громкое имя.