Исследование показало, что таргетированные LLM-фишинговые письма, сгенерированные моделью Claude 3.5 Sonnet на основе личной информации и профиля жертвы, гораздо эффективнее писем, написанных экспертом-человеком
Ландшафт информационной безопасности кардинально изменился с появлением у злоумышленников инструментов ИИ. Ежегодный отчёт CrowdStrike Global Threat Report 2025 (pdf) указывает на большой список новых угроз, с которыми теперь приходится сталкиваться.
Вот некоторые тенденции:
- использование генеративного ИИ (genAI) для запуска более сложных атак, генерации правдоподобных писем (LLM-фишинг даёт отклик 54% по сравнению с откликом 12% у фишинговых писем, написанных вручную);
- интерактивные атаки (с использованием клавиатуры) в режиме реального времени;
- снижение входного барьера (демократизация атак);
- резкое увеличение скорости операций.
Cкорость кибератак растёт, как говорится в отчёте, «угрожающими темпами». Среднее время взлома и распространения внутри сети (breakout time) в 2024 году снизилось до 48-ми минут. Самая быстрая атака заняла 51 секунду.
Злоумышленники продолжают совершенствовать методы атак на облачные сервисы. На схеме показаны типичные стратегии и методы облачных атак (кликабельно):
Увеличилось количество интерактивных атак, при которых злоумышленник взаимодействует с системой в режиме реального времени, напрямую выполняя команды, перемещаясь по сети и адаптируя свою тактику в зависимости от среды и защиты, с которой сталкивается.
В прошлом году 79% кибервторжений не содержали вредоносных программ, по сравнению с 40% в 2019 году, см. диаграмму ниже. Для обхода защиты злоумышленники всё чаще используют легитимные инструменты удалённого управления и мониторинга.
В то же время злоумышленники продолжают активно использовать новые уязвимости, в том числе 0day. В этом смысле интересно посмотреть на хронологию и последствия опасной уязвимости (CVE-2023-29360) в Windows-драйвере
mskssrv, которая позволяет повысить уровень привилегий Windows до системных. После обнародования нового способа атаки в августе 2023-го года он привлёк внимание исследователей и хакеров, в результате чего было найдено ещё как минимум 16 связанных уязвимостей:
За прошлый год заметно выросло число атак, основанных на идентификации личности, а также социальной инженерии.
Число объявлений о продаже учётных данных выросло на 50%. Всё больше краденых аккаунтов доступно и в обычном интернете, и в даркнете. Около 35% инцидентов связано со злоупотреблением активными учётками, поскольку для скрытности злоумышленники избегают применения зловредов. Для кражи конфиденциальных данных использовались Microsoft 365, SharePoint и интерфейсы корпоративных приложений.
Голосовой фишинг и LLM
Особо стоит отметить рост голосового фишинга (voice phishing или «вишинг»). Этот старый метод социальной инженерии использовал ещё Кевин Митник в прошлом веке: живой разговор по телефону с жертвой, которую убеждают предоставить доступ к системе, запустить стороннюю программу, установить сессию удалённого доступа или совершить другое действие. Между первой и второй половинами 2024-го года зафиксирован взрывной рост вишинга на 442%, то есть более чем в пять раз. В итоге вишинг-атаки вытеснили традиционный фишинг в качестве основного метода получения доступа.
В течение года также участились попытки выдать себя за сотрудников службы поддержки, когда злоумышленники убеждали пользователей сбросить пароли, обойти многофакторную аутентификацию или предоставить доступ. Для удалённого доступа используется софт Microsoft Quick Assist, TeamViewer, Quick Assist, Zoho Assist, Atera, SuperOps, Syncro, SoftEther VPN, Ammyy Admin, DWAgent, HopToDesk, RustDesk, Supremo. Звонки часто совершаются через Microsoft Teams.
С другой стороны, инструментом атак становятся сами сотрудники техподдержки. Хакеры всё чаще используют тактику социальной инженерии: звонят в службу техподдержки и выдают себя за работника организации, пытаясь убедить сотрудника техподдержки сбросить пароль и/или многофакторную аутентификацию (MFA) для соответствующего аккаунта.
Как и в прошлогоднем отчёте, CrowdStrike подчёркивает растущую роль Искусственного Интеллекта. Генеративный ИИ широко используется для социальной инженерии, фишинга, дипфейков и автоматизированных кампаний дезинформации. Среди известных случаев — связанная с Северной Кореей группировка FAMOUS CHOLLIMA, которая пыталась проникнуть в технологические компании через собеседования о приёме на работу с применением ИИ-дипфейков, сгенерированных профилей LinkedIn.
Исследование показало, что таргетированные LLM-фишинговые письма, сгенерированные моделью Claude 3.5 Sonnet на основе личной информации и профилей жертвы, гораздо эффективнее писем, написанных экспертом-человеком
Зарегистрированы случаи видео- и аудиодипфейков с клонированием чужого голоса для компрометации деловой переписки.
Национальные группировки
В отчёте CrowdStrike отмечается, что с genAI экспериментируют не только обычные злоумышленники, но также государственные службы и хактивисты. Всё это приводит к демократизации атак и снижению входного барьера для более сложных операций.
Для обсуждения деятельности хакерских групп специалисты CrowdStrike составили специальную таблицу с кодовыми словами (названия животных и значки), которые соответствуют происхождению каждой группировки. Например, турецких хакеров называют «волками», а хактивистов — «шакалами»:
Исследователи CrowdStrike утверждают, что активность китайских хакеров за год выросла на 150%, а в некоторых отраслях — на 200−300%. Те же группы применяют строгие меры OPSEC (операционной безопасности), что затрудняет их отслеживание.
Общее количество отслеживаемых группировок выросло до 257, за прошлый год в список добавлено 26 новых, в том числе казахстанская группа под кодовым названием COMRADE SAIGA.
Чтобы противостоять растущим рискам безопасности, исследователи CrowdStrike советуют усилить защиту данных с помощью MFA, постоянного мониторинга привилегированных учётных записей и проактивного поиска угроз. Организациям рекомендуется внедрить систему обнаружения угроз на основе ИИ в режиме реального времени для реагирования на атаки, которые разворачиваются в сети за время менее минуты.
В дополнение к защите идентификационных данных рекомендуется укреплять безопасность облачных сред путём обеспечения доступа с наименьшими привилегиями, мониторинга ключей API на предмет несанкционированного использования и защиты приложений SaaS. Поскольку противник всё чаще использует средства автоматизации и ИИ, в защите рекомендуется внедрять передовые решения поведенческой аналитики, чтобы обнаруживать скрытые вторжения и прерывать операции противника в реальном времени.
