Это уже перебор: число атак c подбором паролей в начале 2025 года выросло почти в 3 раза

В начале 2025 года количество атак с помощью перебора паролей (брутфорса) для получения доступа к ИТ-системам российских организаций выросло в 2,7 раза в сравнении с 4 кварталом 2024 года, до 570 тысяч. Одновременно с этим хакеры стали тщательнее выбирать жертв и активнее их атаковать – как с целью шпионажа и шантажа, так и для совершения деструктивных действий в отношении бизнеса и госструктур. Об этом свидетельствуют данные с сети сенсоров и ханипотов (ловушек) ГК «Солар», архитектора комплексной кибербезопасности, за 1 квартал 2025 года.

В 1 квартале общее количество зафиксированных ловушками атак выросло на 2,6 раза – до 608 тысяч, что, по мнению экспертов центра исследования киберугроз Solar 4RAYS, связано с ростом активности злоумышленников и постоянным совершенствованием инфраструктуры самих ханипотов.

Чаще всего ловушки фиксировали атаки типа брутфорс – на них пришлось 94% всех событий. Это можно объяснить желанием хакеров быстро получить логины и пароли от доступных в сети ИТ-инфраструктур российских компаний, чтобы затем совершить более сложные атаки. На оставшиеся 4% пришлись атаки Path Traversal (попытки эксплуатации уязвимости для нелегального получения доступа к файлам и директориям веб-сайта) и по 1% – на CVE (эксплуатация уязвимостей) и Upload (доставка вредоносной нагрузки на атакованный сервер). Как и в прошлом квартале, больше всего атак шло с IP-адресов США (23%), Китая (16%), России (7%) и Индии (5%).

Согласно данным с сети сенсоров, в 1 квартале количество атакованных организаций сократилось на 34%, а среднее число атак на одну компанию выросло в 3,3 раза в сравнении с 4 кварталом 2024 года, до 134. Эксперты Solar 4RAYS объясняют такую динамику изменением тактики злоумышленников от количества к «качеству» – теперь они тщательнее выбирают потенциальных жертв и сильнее их атакуют. По результатам анализа данных с сенсоров, наибольшую угрозу российским организациям в начале года представляли стилеры (программы для кражи данных) – их доля за квартал выросла на 15 п.п., до 35%. Это может быть связано с желанием злоумышленников получить больше информации о российских предприятиях на фоне текущих геополитических событий.

Доля присутствия APT-группировок также увеличилась – на 3 п.п., до 27%. Еще 18% заняли средства для получения несанкционированного удаленного доступа к ИТ-системам. Остальные сработки сенсоров пришлись на ботнеты (10%), программы-вымогатели (3%), майнинг (3%), фишинг (1%), и программы-загрузчики (3%), которые доставляют вредоносное ПО в инфраструктуру жертвы.

Отдельно стоит отметить сокращение доли программ-майнеров в госструктурах – с 27% до 13% за квартал. По мнению экспертов Solar 4RAYS, это может быть свидетельством улучшения уровня киберустойчивости государственных организаций — например, за счет более тщательной проверки ИТ-инфраструктуры на заражения с помощью различных средств защиты информации.

Вместе с этим в отдельных отраслях выросла доля заражений программами-вымогателями, которые шифруют инфраструктуру и требуют выкуп за возвращение данных. В частности, рост в 2-3 раза отмечается в промышленности, образовании, кредитно-финансовых организациях и топливно-энергетическом секторе. Это означает, что атакующих интересует не только шпионаж, но и возможность нелегального заработка. Однако эксперты предупреждают: как показывает практика последних лет, выплата хакерам выкупа не дает компаниям никаких гарантий.

Алексей Вишняков

Технический директор центра исследования киберугроз Solar 4RAYS ГК «Солар»

«Ярким трендом начала 2025 года стали активные попытки хакеров получить доступ к ИТ-системам российских компаний за счет перебора паролей. Вместе с этим злоумышленники тяготеют к кибершпионажу и сложным APT-атакам — как для получения ценной информации, так и для разрушения инфраструктуры, что может негативно сказаться на экономике и безопасности всей страны. Именно поэтому мы настоятельно рекомендуем внедрять комплексную защиту от киберугроз, которая включает в себя регулярный мониторинг инцидентов, проверку сервисов на наличие уязвимостей, соблюдение парольных политик, мониторинг утечек, а также повышение уровня киберграмотности сотрудников – ведь успешная атака на основе социальной инженерии возможна даже в самой защищенной инфраструктуре».