Число утечек в 2024-м выросло до 455, атак шифровальщиков

По данным отчета, в условиях продолжающегося геополитического конфликта количество кибератак и число хакерских группировок продолжает расти. Если в 2023 году зафиксировано 14 прогосударственных APT-групп, атакующих Россию и СНГ, то в 2024 их стало 27. За год выявлено 12 новых группировок, включая Unicorn, Dante, PhantomCore, ReaverBits и другие.

Идеологически мотивированные хактивисты продолжают совершенствовать свои методы атак. В 2024 году зафиксировано не менее 17 таких группировок, тогда как в 2023 их было 13. Они используют разнообразные тактики — от DDoS-атак до шифрования и уничтожения данных.

Число DDoS-атак выросло на 50%, как и количество устройств, вовлеченных в ботнеты. Одним из наиболее активных участников атак остается группировка IT Army of Ukraine. По прогнозам, подобные атаки сохранят интенсивность, пока продолжается геополитическая нестабильность.

Размывание границ между типами угроз

Исследование отмечает, что традиционное разделение между хактивистами, APT-группами и киберпреступниками становится все менее очевидным. Хактивисты начинают применять программы-вымогатели, а кибершпионы выкладывают украденные базы данных в открытый доступ.

Атаки программ-вымогателей

Программы-вымогатели остаются одной из главных угроз. В 2024 году зафиксировано более 500 атак с их использованием — на 50% больше, чем в 2023 году. Среди группировок, использующих такие атаки, значатся Shadow, Mimic, LokiLocker/BlackBit, а также новые участники: MorLock, Head Mare, Masque и Sauron.

Суммы выкупа за расшифровку данных в 2024 году варьировались от 100 тыс. до 5 млн рублей для малого бизнеса и начинались от 5 млн рублей для крупных компаний. Чаще всего объектами атак становились предприятия промышленности, строительства, фармацевтики и ИТ-сектора.

Отдельное внимание в отчете уделено атакующим из стран, где распространен персидский язык. В 2024 году они активнее использовали программы-вымогатели, расширяя атаки на Linux-системы и применяя современные языки программирования, такие как Rust.

Утечки данных

За 2024 год выявлено 455 утечек баз данных российских и белорусских компаний (в 2023 году — 246). Общее число скомпрометированных записей превысило 457 млн. Прогнозируется, что в 2025 году масштаб утечек останется высоким или установит новый рекорд.

Злоумышленники используют утекшие данные не только для их продажи, но и для организации каскадных атак на крупные компании государственного и коммерческого секторов.

Рост числа атак на российские компании

Традиционное правило русскоязычного киберпреступного сообщества «не атаковать российские компании» постепенно теряет актуальность. В 2024 году в теневом сегменте интернета зафиксирована продажа девяти корпоративных доступов компаний СНГ, а также распространение информации о 21 бесплатном доступе к российским организациям.

Количество предложений о продаже доступов в инфраструктуру компаний СНГ в 2024 году выросло на 49% по сравнению с предыдущим годом. Эти данные востребованы у операторов программ-вымогателей.

Фишинговые атаки и вредоносные программы

В 2024 году фишинг оставался одним из главных способов проникновения в инфраструктуру компаний. Вредоносные вложения в письмах стали самым популярным методом доставки вредоносных программ, а доля шпионских программ и инфостилеров в фишинговых рассылках достигла 70–80%.

Ожидается рост атак на цепочки поставок (Supply Chain Attack) и атак Trusted Relationship, при которых злоумышленники получают доступ к корпоративным системам через легитимных партнеров.

Мошеннические схемы и мобильные угрозы

Киберпреступники продолжают развивать мошеннические схемы. В 2024 году число фишинговых сайтов на один бренд выросло на 52%, а число мошеннических ресурсов — на 18%.

С ростом числа пользователей Android злоумышленники совершенствуют атаки на мобильные устройства, используя фишинг, социальную инженерию и вредоносные приложения. В 2024 году активно распространялся троян CraxsRAT, маскируясь под обновления официальных приложений, а также применялось легитимное ПО NFCGate для кражи данных банковских карт.

Итоги

Аналитики прогнозируют, что в 2025 году киберугрозы останутся на высоком уровне. Ожидается рост числа атак, усиление программ-вымогателей, увеличение утечек данных и эволюция методов фишинга.

Исследование F6 подчеркивает необходимость усиления мер информационной безопасности и адаптации стратегий защиты в условиях изменяющегося ландшафта киберугроз.

Следующая главная новость »

Подписывайтесь на телеграм-канал AM Live, чтобы всегда быть в курсе самых горячих и свежих новостей. Присоединяйтесь! »

Екатерина Быстрова 05 Января 2026 - 15:50

Уязвимости программ Домашние пользователи

WhatsApp закрывает лазейку, через которую атакующие узнавали вашу ОС

Meta (признана экстремистской и запрещена в России) начала постепенно закрывать уязвимости в WhatsApp, которые позволяли определять операционную систему пользователя без его ведома. Речь идёт не о взломе аккаунта напрямую, а о снятии цифрового отпечатка — сборе метаданных, которые помогают атакующим понять, какое именно устройство и ОС у жертвы, чтобы затем подобрать подходящий вектор атаки.

Почему это важно? Потому что WhatsApp — один из самых привлекательных каналов доставки шпионского софта.

У мессенджера около 3 млрд пользователей, а редкие 0-day уязвимости в нём ценятся на вес золота: за полноценную цепочку эксплойтов на рынке могут предлагать до миллиона долларов. Именно такие уязвимости, например, использовались в атаках с применением шпионского инструмента Paragon, о которых стало известно в 2025 году.

Прежде чем задействовать zero-day, злоумышленникам нужно понять, какую ОС использует цель — Android, iOS или веб-версию на десктопе. Как выяснили исследователи за последние пару лет, для этого достаточно одного номера телефона. Никаких кликов, сообщений или уведомлений жертве не требуется — она даже не узнает, что данные о её устройстве уже собраны.

Атакующие могут определить основной девайс пользователя, ОС всех привязанных устройств, примерный «возраст» этих устройств и даже то, используется ли WhatsApp через приложение или браузер. Всё это стало возможным из-за предсказуемых значений идентификаторов ключей шифрования, которые WhatsApp присваивал устройствам.

Одним из ключевых исследователей этой темы стал Таль Беэри, сооснователь и CTO криптокошелька Zengo. Он и его коллеги давно сообщали Meta (признана экстремистской и запрещена в России) о проблеме, но разработчики отреагировали только недавно. Беэри заметил, что WhatsApp начал рандомизировать идентификаторы ключей на Android, что уже серьёзно осложняет снятие цифрового отпечатка.

Полностью проблема, впрочем, не решена. По словам исследователя, отличить Android от iPhone всё ещё можно с высокой точностью: iOS использует постепенно увеличивающиеся значения, тогда как Android — случайные в полном 24-битном диапазоне. Тем не менее Беэри считает, что это первый шаг к полноценному фиксу, который закроет уязвимость на всех платформах.

При этом исследователь раскритиковал «тихий» характер изменений: пользователи не знают, что именно было исправлено, а сами отчёты не получили CVE-идентификаторов. В Meta с этим не совсем согласны.

В корпорации пояснили, что определение ОС само по себе не считается серьёзной проблемой. Во-первых, снятие отпечатка возможно не только в WhatsApp, но и во многих других сервисах. Во-вторых, сами операционные системы часто намеренно «подсказывают» свою платформу ради удобства пользователей. И наконец, без 0-day такая информация имеет ограниченную практическую ценность для атакующих.

Тем не менее в компании признали, что отчёт Беэри помог улучшить обработку некорректных сообщений и доработать процессы поиска уязвимостей. Исследователь получил вознаграждение, а Meta напомнила, что всего за время существования программы баг-баунти выплатила $25 млн, из них $4 млн — в 2025 году.

Число утечек в 2024-м выросло до 455, атак шифровальщиков — до 500

Читайте также