С начала 2025 года Roblox, одна из самых популярных онлайн-игр среди несовершеннолетних, стала антилидером по числу зафиксированных преступлений на территории России. МВД сообщает примерно о сорока инцидентах, связанных с попытками получить доступ к аккаунтам, конфиденциальной информации и платёжным данным под видом розыгрышей внутриигровой валюты Robux.

Источник изображения: Wesley Tingey / Unsplash

Согласно данным МВД России, в период с января по март 2025 года было зафиксировано около сорока преступлений, в которых использовалась платформа Roblox. Как уточнили в ведомстве, в большинстве случаев действия злоумышленников были направлены на получение доступа к аккаунтам несовершеннолетних, а также к персональной информации и финансовым средствам их родителей.

Мошеннические схемы, связанные с Roblox, были впервые официально раскрыты МВД России 3 февраля. Наиболее часто фиксируются два типа обмана. В первом случае ребёнку предлагают приобрести внутриигровую валюту Robux по заниженной цене вне официального магазина, убеждая предоставить реквизиты банковской карты или платёжных средств родителей. Во втором — обещают бесплатное получение Robux или скинов в рамках фальшивого «розыгрыша», после чего просят ввести данные от учётной записи в игре. В результате злоумышленники получают полный контроль над аккаунтом, включая доступ к привязанным платёжным средствам.

Источник изображения: Wesley Tingey / Unsplash

Помимо Roblox, в антирейтинг по числу преступлений также вошли Standoff 2 и Minecraft. В Standoff 2 мошенники активно предлагают поддельные скины и аккаунты, тогда как в Minecraft злоумышленники запускают фиктивные серверы с ложными обещаниями «премиум-доступа» или предложениями «о модераторстве». Во всех перечисленных случаях злоумышленники прибегают к методам социальной инженерии с целью получения доступа к личным данным или финансовым средствам.

МВД подчёркивает, что все игры с развитой внутриигровой экономикой представляют собой лакомый кусок и благоприятную среду для действий злоумышленников. Ведомство рекомендует родителям настраивать функции родительского контроля, ограничивать доступ к банковским картам и мобильным устройствам, а также объяснять детям, что обещания бесплатного получения цифровых ценностей чаще всего являются обманом.

Госдума РФ приняла в первом чтении пакет антифродовых поправок в законодательство, согласно которым онлайн-платформы обяжут хранить данные о переговорах и переписке клиентов в течение трёх лет. По мнению авторов проекта, эта мера позволит усилить борьбу с онлайн-мошенничеством. Некоторые эксперты считают такую меру необоснованной, и что она приведёт к повышению стоимости предоставляемых онлайновыми сервисами услуг.

Источник изображения: Priscilla Du Preez 🇨🇦/unsplash.com

Пакет поправок в законодательство, подготовленный правительством, обязывает компании-организаторы распространения информации (ОРИ) хранить данные о переговорах и переписке пользователей три года, включая сведения о приеме, передаче, доставке и обработке голосовой информации, письменного текста, изображений, звуков и электронных сообщений, пишут «Известия». Следует отметить, что о записи содержимого текстов и прочего контента речь не ведётся. В настоящее время закон «Об информации» обязывает ОРИ хранить метаданные в течение только одного года.

В аппарате вице-премьера Дмитрия Григоренко сообщили, что данный законопроект направлен на надёжную защиту граждан от кибермошенничества, а увеличение срока хранения информации до трёх лет позволит эффективнее выявлять противоправные действия, в том числе с помощью единой антифрод-платформы. В частности, это позволит учитывать сведения за более длительный период, что важно для выявления сложных и многоэтапных мошеннических схем.

В Минцифры отметили, что увеличение сроков хранения метаданных позволит создать более эффективную систему для расследования и пресечения преступлений, таких как мошенничество, киберпреступность и другие правонарушения. Как полагают в министерстве, это не приведёт к росту затрат для бизнеса и не отразится на обычных пользователях.

Это мнение разделяет ряд экспертов, но не все. Гендиректор TelecomDaily Денис Кусков согласен с тем, что больших затрат для бизнеса не предвидится, поскольку системы хранения метаданных уже были установлены, и их просто надо расширять. В АНО «Цифровая экономика» назвали меры по увеличению сроков хранения вполне логичными, поскольку станет проще купировать противоправные действия мошенников.

Вместе с тем руководитель направления «Разрешение IT&IP-споров» юридической фирмы «Рустам Курмаев и партнёры» Ярослав Шицле отметил, что в пояснительной записке нет обоснования необходимости увеличения срока хранения данных. Он также выразил мнение, что это повлечёт за собой соответствующее увеличение расходов организаторов распространения информации.

С ним согласен директор департамента расследований компании T.Hunter Игорь Бедеров, заявивший, что крупным компаниям (соцсети, мессенджеры) эта мера может обойтись в миллионы рублей ежегодно, а для небольших платформ расходы могут оказаться неподъёмными. «При этом защита данных от утечек и атак станет сложнее из-за роста объёма информации. Потребуются инвестиции в шифрование, системы мониторинга и обновление ПО. На рынок это окажет, скорее, негативное воздействие в виде частичной монополизации сектора крупными игроками, а также повышения стоимости услуг для пользователей», — сказал он.

По оценке директора по стратегическим проектам Института исследований интернета Ирины Левовой, расширение серверных мощностей в рамках реализации поправок может обойтись крупной российской digital-компании до 200 млн рублей.

В свою очередь, партнёр ComNews Research Леонид Коник заявил, что новые инициативы государства не влекут за собой увеличение срока хранения тяжёлого контента, а значит, не потребуют больших затрат. Вместе с тем он назвал избыточным трёхкратное увеличение периода хранения такой информации со стороны законодателей.

Мошенники меняют номера за считанные недели, а подчас и дни, и никто не использует один и тот же телефон в течение нескольких месяцев, и тем более — трёх лет, утверждает Леонид Коник. Он добавил, что любая информация, которая не пригодилась за месяц, не будет востребована уже никогда.

На протяжении последних восьми лет злоумышленники эксплуатируют уязвимость в Windows, связанную с обработкой ярлыков .LNK, для скрытого распространения вредоносного ПО. Этот метод активно применяли различные хакерские группировки для атак на государственные предприятия и организации финансового сектора. Несмотря на отчёты специалистов, Microsoft отказалась выпускать экстренные патчи для своих систем.

Источник изображения: Tadas Sar / Unsplash

Исследователи из Trend Micro обнаружили в Windows уязвимость, позволяющую скрытно исполнять вредоносный код при открытии ярлыков .LNK. По их данным, этот метод использовался как минимум с 2017 года. В сентябре 2023 года специалисты Zero Day Initiative (ZDI) направили в Microsoft официальный отчёт с описанием проблемы, однако корпорация не выпустила исправление, объяснив это тем, что рассматривает уязвимость не как угрозу безопасности, а как особенность пользовательского интерфейса. В Microsoft отметили, что уязвимость не соответствует критериям экстренного исправления, однако её могут устранить в одном из будущих обновлений Windows.

По данным Trend Micro, на момент выявления уязвимости в обороте находилось более 1 000 модифицированных LNK-файлов, но исследователи полагают, что реальное количество атак могло быть значительно выше Файлы .LNK в Windows представляют собой ярлыки, указывающие на исполняемые файлы или другие ресурсы. В стандартных условиях пользователь может увидеть путь к файлу и передаваемые командной строке аргументы, однако злоумышленники нашли способ замаскировать вредоносные команды, используя чрезмерное количество пробелов.

Подобные LNK-файлы попадают на устройства жертв через подозрительные загрузки или вложения в электронных письмах. Как только пользователь открывает такой ярлык, Windows незаметно исполняет скрытые команды, что приводит к автоматической загрузке и попытке запуска вредоносного кода. Ключевая особенность атаки заключается в маскировке команд: злоумышленники заполняют командную строку мегабайтами пробелов, из-за чего вредоносные инструкции оказываются за пределами видимой части интерфейса и остаются незаметными для пользователя.

По данным Trend Micro, около 70 % атак с использованием этой уязвимости осуществлялись хакерскими группировками, специализирующимися на кибершпионаже и краже данных. Ещё 20 % атак были связаны с финансовыми преступлениями. В распределении кибератак ведущую роль играет Северная Корея, на которую приходится 46 % атак, тогда как на Россию, Китай и Иран приходится по 18 % активности.

Основными целями атакующих стали государственные учреждения, за ними следуют частный сектор, финансовые организации, аналитические центры, телекоммуникационные компании, военные и энергетические структуры. Это подтверждает, что уязвимость .LNK активно используется в кибервойне и шпионской деятельности, а также в схемах, направленных на финансовую выгоду.

По мнению экспертов, одной из возможных причин отказа Microsoft от выпуска исправления является сложность его технической реализации. Устранение уязвимости требует существенного изменения механизма обработки .LNK, что выходит за рамки стандартного обновления безопасности. Такая ситуация оставляет миллионы пользователей Windows под угрозой атак, в которых ярлыки .LNK могут использоваться для скрытого распространения вредоносов. Microsoft, в свою очередь, советует пользователям проявлять осторожность при скачивании файлов из неизвестных источников и обращать внимание на системные предупреждения о потенциально опасных объектах.

Мошенники в 2025 году начнут активно использовать ИИ для создания дипфейков, подделки голоса и телефонных звонков на разных языках. По оценке «Сбера», финансовые институты недостаточно подготовлены к подобным угрозам, что может привести к увеличению финансовых потерь среди рядовых граждан. Банкам и государственным структурам необходима срочная модернизация систем безопасности для предотвращения таких преступлений.

Источник изображения: Wesley Tingey / Unsplash

Согласно прогнозу «Сбера», уже к середине 2025 года мошенники начнут активно применять технологии генеративного ИИ для создания реалистичных подделок изображений, видеозаписей и голосов. Эти методы уже используются при создании фишинговых сайтов, но вскоре выйдут на новый уровень. «Мы прогнозируем, что примерно к середине года появятся дипфейки», — заявил заместитель председателя правления «Сбера» Станислав Кузнецов.

Особенно серьёзной угрозой, связанной с развитием ИИ, станет преодоление языкового барьера в телефонном мошенничестве. Кузнецов отметил, что в ближайшие три-четыре месяца злоумышленники начнут активно применять технологии генерации речи на различных языках. «Как только модели позволяют нам сегодня преодолеть последнюю границу — языковой барьер, как только нажатием одной кнопки можно звонить в любую страну или разговаривать на любом языке, следует задуматься о том, что телефонное мошенничество появится и на башкирском, и на татарском языках», — подчеркнул он.

Согласно данным, представленным Кузнецовым, 81 % мошеннических звонков совершается через мессенджеры, sim-box и облачные АТС. Оставшиеся 19 % приходятся на классические телефонные звонки, причём лишь 1 % осуществляется с подменой номера. Это означает, что основная угроза исходит именно от мессенджеров, а не от традиционной телефонии.

По данным Центрального банка России (ЦБ), в 2024 году мошенники похитили у клиентов банков 27,5 млрд руб., принуждая их совершать денежные переводы. Основной инструмент преступников — методы социальной инженерии, основанные на обмане и манипуляции жертвами. Банк России направил операторам связи почти 172 тысячи номеров, использовавшихся злоумышленниками, что подчёркивает масштаб проблемы.

Несмотря на снижение числа мошеннических звонков через традиционную телефонную связь, преступники продолжают активно применять мессенджеры не только для звонков, но и для рассылки вредоносного программного обеспечения (ПО) и поддельных документов.

В 2025 году российским компаниям и госструктурам предстоит столкнуться с ростом числа кибератак и увеличением активности хакерских группировок. К такому выводу пришли эксперты компании F6 (бывшая F.A.C.C.T.). Ключевые угрозы останутся прежними: программы-вымогатели, фишинговые схемы, трояны для мобильных устройств и утечки персональных данных. По прогнозам аналитиков, тенденция к масштабированию атак, впервые зафиксированная в 2024 году, сохранится, а ущерб от действий злоумышленников возрастёт.

Источник изображения: KeepCoding / Unsplash

В отчёте «Новые риски кибератак в России и СНГ. Аналитика и прогнозы 2024/2025» эксперты F6 отмечают, что продолжающийся геополитический конфликт способствует увеличению числа атак и появлению новых хакерских группировок. В 2023 году было зафиксировано 14 активных групп, действовавших против России и стран СНГ, а уже в 2024 году их число возросло до 27. Эти группы применяют широкий спектр методов: от DDoS-атак, направленных на перегрузку серверов и нарушение работы IT-инфраструктуры, до атак с шифрованием и уничтожением данных жертвы. Помимо традиционных финансово мотивированных злоумышленников активизировались так называемые «хактивисты-диверсанты», которые всё чаще атакуют государственные учреждения и частный бизнес, преследуя политические цели.

Вредоносные программы в фишинговых рассылках в 2024 году. Источник изображения: f6.ru

Программы-вымогатели остаются одной из самых серьёзных угроз для бизнеса. В 2024 году F6 зафиксировала более 500 атак с использованием шифровальщиков — это в полтора раза больше, чем годом ранее. Для малого бизнеса сумма выкупа варьировалась от 100 тыс. до 5 млн руб., а для средних и крупных компаний, на долю которых приходилась каждая пятая атака, минимальные требования хакеров начинались от 5 млн руб. Основными жертвами вымогателей стали компании производственного, строительного и фармацевтического секторов экономики. Также под удар попали IT-компании, предприятия добывающей отрасли и военно-промышленного комплекса. Эксперты подчёркивают, что киберпреступники сначала похищают конфиденциальную информацию, а затем шифруют инфраструктуру жертвы.

Источник изображения: Wesley Tingey / Unsplash

Фишинговые атаки, основанные на социальной инженерии и подмене доверенных ресурсов, продолжают набирать обороты. В 2024 году среднее количество поддельных веб-ресурсов, имитирующих официальные сайты крупных брендов, увеличилось на 28 % — с 7878 до 10 112. При этом число фишинговых сайтов, приходящихся на один бренд, возросло на 52 %, а количество мошеннических ресурсов — на 18 %. Отдельную угрозу представляют шпионские программы, распространяемые по модели Malware-as-a-Service (MaaS) — «вредоносное ПО как услуга». Эта схема позволяет киберпреступникам, не обладающим глубокими техническими знаниями, арендовать вредоносные программы и серверную инфраструктуру для рассылки шпионского ПО. В результате злоумышленники массово распространяют фишинговые ссылки, вредоносные вложения и трояны, расширяя масштабы атак.

Доменные зоны фишинговых и скам-ресурсов. Источник изображения: f6.ru

Одним из ключевых трендов 2025 года станет эскалация атак с использованием троянов для Android-устройств. Современные вредоносные программы распространяются через поддельные страницы оплаты, мошеннические ссылки в соцсетях и мессенджерах, а также под видом легитимных обновлений приложений. В результате пользователи заражают свои устройства всего за несколько кликов. Особенность новых троянов заключается в их способности перехватывать SMS-коды двухфакторной аутентификации, похищать финансовые данные и предоставлять злоумышленникам удалённый доступ к заражённому устройству. В 2024 году утечки информации достигли катастрофических масштабов. Так, данные 59 % российских организаций уже оказались в даркнете. В ряде случаев злоумышленники требуют у руководства компаний выкуп до 10 млн руб. за неразглашение информации.

«Лаборатория Касперского» сообщила о расширении портфолио защитных решений и доступности для российских пользователей ПК антивируса Kaspersky для Linux.

Представленный разработчиком продукт блокирует работу шифровальщиков, стилеров паролей и других вредоносных программ. В составе антивируса предусмотрены механизмы поведенческого анализа функционирующего в системе ПО, а также средства защиты от фишинговых сетевых ресурсов и криптоджекинга (несанкционированного майнинга криптовалюты на пользовательском устройстве). В числе поддерживаемых платформ фигурируют Ubuntu и отечественные операционные системы на базе Linux — «Альт», Uncom OS, «Ред ОС».

По словам «Лаборатории Касперского», выпуск упомянутого решения для частных пользователей обусловлен ростом популярности Linux в России и увеличением числа атак на компьютеры под управлением данной ОС. Согласно статистическим сведениям компании, за пять лет — с 2019 по 2024 годы — количество образцов вредоносного ПО для этой операционной системы увеличилось более чем в 20 раз. К актуальным для платформы киберугрозам относятся программы-вымогатели, майнеры, а также зловреды, внедряемые в исходный код популярного софта для Linux.

Kaspersky для Linux доступен в рамках подписки на Kaspersky Standard, Kaspersky Plus и Kaspersky Premium. Пользователи могут ознакомиться с функциональностью программы бесплатно в рамках пробной версии в течение 30 дней.

Хакерская группировка «Соляной тайфун» (Salt Typhoon) продолжает атаковать мировые телекоммуникационные сети, игнорируя международные санкции и активное освещение в СМИ. С декабря 2024 года по январь 2025 года злоумышленники активно эксплуатировали уязвимости сетевого оборудования Cisco, атакуя университеты, интернет-провайдеров и телеком-компании в США, Италии, Таиланде, ЮАР и ряде других стран. Эта кибершпионская операция уже стала одной из крупнейших в истории кибератак на американские телекоммуникации.

Источник изображения: Wesley Tingey / Unsplash

Попытки американских властей остановить деятельность Salt Typhoon не принесли ощутимого результата. Напротив, группировка, действующая, как предполагается, при поддержке госструктур Китая, не только продолжает свои атаки, но и расширяет географию вторжений, компрометируя организации в разных странах. Аналитическая компания Recorded Future подчёркивает, что злоумышленники адаптируются к мерам киберзащиты, используя проверенные методы и находя новые уязвимости в сетевой инфраструктуре.

ФБР и Агентство по кибербезопасности и защите инфраструктуры США (CISA) ещё в 2024 году заявили, что Salt Typhoon ведёт длительную кампанию взломов американских телекоммуникационных провайдеров. Хакеры активно эксплуатируют известные уязвимости, в том числе «специфичные функции» оборудования Cisco, широко используемого в отрасли связи. Основной целью атак, по мнению экспертов, является получение компрометирующей информации о высокопоставленных чиновниках США.

В декабре 2024 года крупнейшие телекоммуникационные операторы США, AT&T и Verizon, заявили, что не фиксируют активности Salt Typhoon в своих сетях. Однако исследование Recorded Future, проведённое в декабре 2024 — январе 2025 годов, показало, что злоумышленники продолжают атаки, используя уязвимости незащищённых устройств Cisco. В отчёте отмечается, что хакеры целенаправленно компрометируют телекоммуникационную инфраструктуру, ориентируясь на наиболее уязвимые узлы сети.

Среди атакованных организаций — интернет-провайдеры в США и Италии, телекоммуникационные компании в Таиланде и ЮАР, а также американский филиал одной из британских телекоммуникационных корпораций. Масштаб атак свидетельствует о системной и целенаправленной стратегии. Аналитики Insikt Group, подразделения Recorded Future, зафиксировали более 12 000 сетевых устройств Cisco, веб-интерфейсы которых оказались открытыми для доступа из интернета. По данным отчёта, хакеры Salt Typhoon пытались взломать более 1 000 из них, выбирая цели на основе их связи с телекоммуникационными сетями.

Помимо телекоммуникационных компаний, хакерские атаки затронули университеты в США, Аргентине, Бангладеше, Индонезии, Малайзии, Мексике, Нидерландах, Таиланде и Вьетнаме. Эксперты предполагают, что целью атак было получение доступа к исследованиям в областях телекоммуникаций, инженерии и высоких технологий. Среди ключевых целей группы выделяются Калифорнийский университет в Лос-Анджелесе (UCLA) и Делфтский технический университет (TU Delft).

Компрометация сетевой инфраструктуры телеком-компаний и университетов предоставляет злоумышленникам возможность перехватывать голосовые вызовы, текстовые сообщения и интернет-трафик. Recorded Future характеризует эти атаки как «стратегическую разведывательную угрозу», поскольку они позволяют не только осуществлять перехват конфиденциальной информации, но и вмешиваться в передачу данных, манипулировать информационными потоками и даже дестабилизировать работу коммуникационных систем.

Специалисты предупреждают, что телекоммуникационные компании должны незамедлительно устранять уязвимости в своих сетевых устройствах. В отчёте Recorded Future подчёркивается, что отсутствие своевременного обновления оборудования Cisco создаёт критическую брешь в безопасности, превращая эти устройства в уязвимые точки входа для хакеров. CISA и ФБР настоятельно рекомендуют переходить на использование сквозного шифрования для защиты конфиденциальной информации и минимизации рисков несанкционированного перехвата данных.

Правительство России подготовило целый ряд поправок в действующие законы для борьбы с кибермошенниками, пишет РБК. По словам экспертов, это самый объёмный документ за последние годы — он включает изменения в несколько десятков законов и нормативно-правовых актов, которые помогут обезопасить пользователей от телефонного и интернет-мошенничества.

Источник изображения: Jonas Leupe/unsplash.com

Пакет поправок, который вскоре будет рассматривать комиссия правительства по законопроектной деятельности, включает запрет на использование зарубежных мессенджеров для служебной коммуникации или общения с пользователями для сотрудников госорганов, кредитных организаций, ЦБ, операторов связи, владельцев социальных сетей, агрегаторов товаров и услуг, сервисов размещения объявлений. Перечень таких зарубежных мессенджеров будет составлять Роскомнадзор.

Что касается использования для служебной коммуникации российских мессенджеров, то сотрудники вышеперечисленных организаций смогут ими воспользоваться только после того, как подтвердят свою личность через Единую систему идентификации и аутентификации (ЕСИА). Также предлагается обязать владельцев маркетплейсов и агрегаторов товаров и услуг с аудиторией более 200 тыс. пользователей из России проводить идентификацию через ЕСИА всех, кто размещает объявления о продаже товаров или услуг.

По данным РБК, перечень предлагаемых мер также включает:

• обязательную маркировку звонков от организаций, вызовов с международных номеров и звонков, инициируемых с виртуальных АТС: на экране телефона пользователя будет отображаться соответствующая информация, подтверждающая, что звонок от сотрудника банка, а не мошенника;
• предоставление абонентам сотовых операторов права отказаться от рекламных и спам-рассылок и звонков;
• если абонент запросит код для идентификации в ЕСИА или попытается сменить ключ простой электронной подписи во время телефонного разговора, оператор обязан присылать такие SMS только после окончания вызова;
• предоставление возможности госорганам, занимающимся оперативно-разыскной деятельностью и отвечающим за безопасность, получать по запросу сведения из информационных систем операторов связи;
• введение запрета на ввоз, продажу, покупку, хранение и использование на территории России абонентских терминалов иностранных спутниковых систем, чья работа запрещена или ограничена в стране или Евразийском экономическом союзе; возможность досудебной блокировки сайтов, публикующих сведения о незаконной реализации и использовании таких устройств;
• введение обязательной биометрической идентификации для оформления выписок из бюро кредитных историй и дистанционного оформления микрозаймов;
• возможность введения запрета через «Госуслуги» на заключение договора на оказание услуг сотовой связи без личного присутствия онлайн;
• банки, операторы связи, маркетплейсы, агрегаторы, социальные сети будут обязаны предоставить возможность пользователям установить авторизацию через биометрическую систему, использование такого способа авторизации должно быть добровольным.

В Минцифры подтвердили разработку совместно с заинтересованными ведомствами и отраслью комплекса мер по снижению случаев кибермошенничества, которые предполагается внедрить в 2025–2026 годах. По данным источника РБК, комиссия по законопроектной деятельности может рассмотреть пакет 10 февраля.

Эксперты отметили, что предлагаемые меры соответствуют общемировым тенденциям в сфере кибербезопасности. Ожидается, что они позволят значительно затруднить деятельность мошенников, но не стоит забывать, что злоумышленники постоянно адаптируются к новым условиям и разрабатывают новые способы обхода защитных механизмов.

По данным компании StormWall, Россия заняла восьмое место по количеству DDoS-атак в 2024 году. Отмечается, что на долю страны пришёлся тот же процент от всех кибератак, что и годом ранее, но по итогам 2023 года Россия занимала седьмое место в этом рейтинге.

Источник изображения: Hack Capital / unsplash.com

«Анализ основан на данных глобальной сети центров очистки трафика StormWall, которые обрабатывают огромные объёмы данных — более 5 Тбит/с при пиковых нагрузках. Именно эти сведения дают нам чёткое представление о текущем состоянии DDoS-угроз по всему миру», — говорится в сообщении StormWall.

В сообщении сказано, что 2024 год отличился не только ростом количества атак на 45 %, но и «колоссальным ростом» мощности DDoS-атак на уровне приложений, нацеленных на уязвимости критически важных частей приложений и на недостатки в логике и обработке данных. Мощность таких атак в минувшем году увеличилась вдвое по сравнению с 2024 годом. По мнению специалистов, это произошло из-за «серьёзных геополитических событий в мире», а также из-за роста конкуренции на рынке во второй половине года.

В дополнение к этому отмечается рост количества устройств в ботнетах, используемых злоумышленниками для проведения DDoS-атак. По данным StormWall, в среднем в России оно увеличилось в пять раз — с 7 тыс. устройств в 2023 году до 35 тыс. устройств в 2024 году. «Рост количества устройств является пугающей тенденцией, поскольку гигантские ботнеты могут запускать мощнейшие атаки, которые могут нанести огромный вред любой российской компании», — сказано в отчёте StormWall. Крупнейший обнаруженный в 2024 году в России ботнет насчитывал более 100 тыс. устройств (преимущественно маршрутизаторы Asus).

Ещё в прошлом году на 268 % по сравнению с предыдущим годом увеличилось количество случаев «ковровых бомбардировок», нацеленных сразу на сотни или тысячи IP-адресов жертвы. Основная цель таких атак заключается в выводе из строя инфраструктуры. Актуальным трендом остаются многовекторные DDoS-атаки, которые направлены на несколько разных сетевых уровней и элементов инфраструктуры. Количество таких атак выросло на 32 % по сравнению с 2023 годом. «Это один из наиболее вредоносных типов нападений, который может причинить большой ущерб организации», — сказано в сообщении StormWall.

Чаще всего в 2024 году злоумышленники атаковали российские предприятия в сфере телекоммуникаций. Доля атак на телекоммуникационную отрасль выросла до 31 % (годом ранее этот показатель был равен 14 %). Средний показатель эффективности атак на телеком-предприятия в России составил 57 %. Злоумышленники также часто атаковали представителей госсектора (17 % атак) и ретейла (14 % атак).

В компании отметили, что одним из важнейших итогов 2024 года является смещение фокуса злоумышленников с количества проводимых атак на их качество. Всё чаще киберпреступники придерживаются подхода, при котором потенциальная цель хорошо изучается, и вектор атаки формируется именно под её особенности.

За прошедший год количество кибератак на российские компании выросло в 2,5 раз до 130 тыс. инцидентов, а совокупное количество высококритичных инцидентов (которые привели или могли привести к финансовым потерям или остановке работы организации) достигло 26 тыс. При этом основная часть атак пришлась на значимые промышленные и инфраструктурные объекты. Об этом пишет «Коммерсантъ» со ссылкой на данные RED Security (входит в состав МТС).

Источник изображения: pexels.com

В «Информзащите» подтвердили динамику роста количества хакерских атак. В компании сообщили, что совокупное число инцидентов в сфере информационной безопасности в российских компаниях за минувший год достигло 140 тыс., что в 2,7 раза больше по сравнению с аналогичным показателем за 2023 год. Там также добавили, что во втором полугодии наблюдался рост относительно первого, количество ИБ-инцидентов выросло примерно на 30 %.

По данным RED Security, хакерским атакам в прошедшем году чаще всего подвергались организации отраслей критической информационной инфраструктуры, такие как банки, объекты промышленности, телекоммуникации и др. На их долю пришлось около 64 % от общего количества атак за год, а самой атакуемой отраслью была промышленность. В прошлом году на КИИ было направлено 47 % от общего количества хакерских атак. Если учитывать только высококритичные инциденты, то доля отраслей КИИ выросла до 68 %.

Эксперты из RED Security считают, что для бизнеса наибольшую угрозу представляют политически мотивированные хакеры, которые совершают атаки не с целью извлечения финансовой выгоды, а для нанесения ущерба той или иной компании. Генеральный директор Innotage Айдар Гузаиров добавил, что помимо политически мотивированных хакеров, киберпреступления с целью извлечения финансовой выгоды также чрезвычайно актуальны. Он отметил рост количества таких инцидентов, а также рост компетенций злоумышленников, модернизацию методов атак и использование хакерами новых инструментов.

Отмечается, что с начала 2025 года некоторые российские компании уже подверглись кибератакам. К примеру, злоумышленники атаковали IT-ресурсы электронной торговой площадки «Росэлторг» (9 января компания ограничила доступ к своим сервисам). Позднее компания объявила о проведении «внеплановых технических работ», связанных с внешней попыткой уничтожения данных и всей инфраструктуры проведения электронных торгов. К настоящему моменту все данные и инфраструктура уже восстановлены.

Выпустив флагманскую линейку Galaxy S24, компания Samsung обязалась обеспечить их семилетней поддержкой с выпуском обновлений безопасности. Этому будет способствовать инициатива Project Infinity, о которой корейский производитель раскрыл некоторые подробности.

В Project Infinity войдут четыре команды экспертов по кибербезопасности: Red («Красная»), Blue («Синяя») и Purple («Пурпурная») и Cyber Threat Intelligence (CTI — «Разведка в области киберугроз»). Эти группы специалистов будут базироваться во Вьетнаме, Польше, Бразилии и работать по всему миру, не привлекая к себе внимания. Каждой команде отведена своя роль: от упреждающего обнаружения угроз до создания и развёртывания защитных мер. Для владельцев телефонов Samsung результатом работы этих подразделений будут обновления безопасности.

Задача специалистов CTI — выявление потенциальных киберугроз, которое гарантирует, что хакеры не смогут воспользоваться уязвимостями устройств Galaxy. Для этого эксперты будут прочёсывать сегменты интернета Deep Web и Dark Web в поисках признаков незаконной деятельности, осуществляя мониторинг вредоносного ПО и украденных данных. Анализируя аномальные запросы данных и подозрительный трафик, они станут выявлять и нейтрализовывать угрозы, сотрудничая с другими подразделениями инициативы.

Программа Project Infinity построена по военному образцу; задача команд Red и Blue — соответственно имитация атак и защита от них. Вбрасывая случайные данные в ПО, эксперты группы Red смогут находить скрытые уязвимости; специалисты Blue в это время будут непрерывно разрабатывать и внедрять средства защиты. Группа Purple будет работать по образцу Red и Blue сразу, но объектом исследований станет инфраструктура безопасности Galaxy; специалисты этого подразделения станут также привлекать сторонних экспертов, которые помогут в выявлении слабых мест.

2024 год установил антирекорд по утечкам персональных данных граждан России. Эксперты по кибербезопасности компании F.A.C.C.T. обнаружили 259 новых баз данных российских компаний, выложенных на хакерских форумах и в Telegram-каналах. Это на 5 % больше, чем в 2023 году, когда подобных утечек было зарегистрировано 246. Несмотря на ужесточение законодательства, крупные штрафы и уголовную ответственность, бизнес и госструктуры не успевают адаптироваться к новым реалиям.

Источник изображения: KeepCoding / Unsplash

Чаще всего кибератакам подвергались компании ретейла, интернет-магазины, медицинские учреждения и образовательные организации. В украденных базах содержались фамилии, имена, отчества, даты рождения, адреса, адреса электронной почты и номера телефонов пользователей. При этом большинство украденных данных распространялось бесплатно, поскольку целью злоумышленников было нанесение максимального ущерба компаниям и их клиентам. В 2024 году в Telegram появилось множество как публичных, так и закрытых каналов, где выкладывались утечки, ранее остававшиеся приватными. Одной из крупнейших стала публикация архива, включавшего 404 базы данных.

Масштабы проблемы подчёркивают данные центра мониторинга Solar AURA. За год было зафиксировано 898 сообщений об утечках данных россиян, что вдвое больше показателей 2023 года. Количество строк в опубликованных базах год к году увеличилось до 1 млрд. Среди них — 85 млн адресов электронной почты и 237 млн номеров телефонов. Наибольшее количество утечек зафиксировано в сфере ретейла (248 случаев), услуг (119), госсекторе (56) и образовательных учреждениях (52).

По данным Роскомнадзора, за первые девять месяцев 2024 года было зарегистрировано 110 фактов утечек персональных данных, что меньше, чем за тот же период 2023 года (145 случаев). Однако эта статистика отражает только инциденты, по которым регулятор инициировал расследования. Примечательно, что в январе 2024 года было зафиксировано 19 крупных утечек, из-за которых в открытый доступ попали более 510 млн строк персональных данных.

28 ноября 2024 года в России был принят закон, ужесточающий ответственность за утечки персональных данных, вплоть до уголовной. Штрафы для компаний составляют от 5 до 15 млн рублей за первый инцидент и до 3 % от годового оборота компании за повторные нарушения. Максимальная сумма штрафа достигает 500 млн рублей. В то же время предусмотрены послабления: компании, которые в течение трёх лет инвестировали в информационную безопасность не менее 0,1 % от своей выручки и соблюдали требования регулятора, смогут рассчитывать на снижение штрафов.

Тем не менее бизнес, по мнению экспертов, не готов к ужесточению требований. Вице-президент по информационной безопасности ПАО «ВымпелКом» Алексей Волков заявил, что компании не успеют адаптироваться к нововведениям до 2025 года. Он подчеркнул, что создание системы информационной безопасности требует не только значительных ресурсов, но и долгосрочного изменения организационной культуры. «Безопасность нельзя купить или построить – её можно только взрастить», — отметил Волков.

Количество атак с использованием программ-вымогателей в 2024 году выросло на 44 % по сравнению с предыдущим годом. В 10 % случаев злоумышленники не требовали выкупа, а намеренно наносили ущерб для дестабилизации работы бизнеса. В 50 % инцидентов использовались шифровальщики LockBit 3 Black и Mimic. Средняя сумма выкупа превысила 50 млн рублей, а минимальные требования для малого бизнеса составляли 100 тыс. рублей. Наибольшее количество атак пришлось на строительные, фармацевтические и IT-компании.

Прогосударственные хакерские группировки, число которых выросло до 27 в 2024 году (по сравнению с 14 в 2023 году), всё чаще становятся ключевыми инициаторами кибератак. Они используют методы, характерные для спецслужб, и нацеливаются на государственные учреждения, научные институты, промышленные предприятия и объекты критической инфраструктуры страны. Главными целями таких атак остаются шпионаж и диверсии.

Аналитики предупреждают, что в 2025 году рост числа утечек данных и кибератак продолжится. Угрозы будут усиливаться за счёт развития технологий, включая ИИ, который начнёт использоваться для создания более изощрённых методов хакерских атак, массового фишинга и поиска уязвимостей в информационных системах. Для противодействия этим вызовам потребуется объединение усилий бизнеса, государства и экспертов. Только системный подход позволит предотвратить дальнейшие репутационные и финансовые потери.

Международная операция Haechi V, проводимая Интерполом с июля по ноябрь 2024 года, завершилась арестом более чем 5500 подозреваемых в киберпреступлениях, в том числе инвестиционных аферах, компрометации электронной почты и вымогательствах. В ходе операции было изъято свыше $400 млн как в криптовалюте, так и в фиатных деньгах. Кроме того, правоохранительным органам удалось ликвидировать крупнейшую сеть телефонных мошенников, ущерб от деятельности которой составил $1,1 млрд.

Источник изображений: Interpol

В операции приняли участие правоохранительные органы из 40 стран, включая США, Канаду и Китай. Финансирование операции обеспечивалось правительством Южной Кореи. Главными задачами стали не только выявление и задержание преступников, но и возврат похищенных активов. В ходе одной из крупнейших операций полиция Южной Кореи и Китая ликвидировала китайский синдикат телефонных мошенников.

Преступники звонили жертвам, представляясь сотрудниками полиции и убеждали перевести деньги на «безопасные» счета, ссылаясь на мнимые уголовные обвинения. Для усиления доверия использовались поддельные удостоверения личности и ордера на арест. По данным следствия, в сеть мошенников попало около 1 900 жертв, что привело к финансовым потерям на сумму $1,1 млрд. В рамках операции были арестованы 27 подозреваемых, 19 из которых предстали перед судом.

Разоблачение схем компрометации деловой электронной почты стало ещё одной важной частью операции. Преступники проникали в корпоративные почтовые аккаунты и рассылали фейковые просьбы на перевод средств от имени руководства компании. В одном из таких случаев фирма из Сингапура перевела $42,3 млн на счёт подставного поставщика. Однако благодаря оперативным действиям Интерпола удалось перехватить $39,3 млн и задержать семерых подозреваемых. Дополнительно были возвращены ещё $2,6 млн, которые были переведены мошенниками из Восточного Тимора в Индонезию.

Интернет позволяет преступникам эффективно скрывать следы своей деятельности и перемещать финансовые средства между странами, оставаясь вне досягаемости правоохранительных органов. Интерпол в рамках операции Haechi V добился значительных успехов в упрощении взаимодействия между различными юрисдикциями. Благодаря оперативному обмену информацией и унификации процедур стало возможным не только задержание преступников, но и эффективная блокировка их активов.

Итоги операции Haechi V впечатляют. За пять месяцев были арестованы более чем 5500 подозреваемых, а число раскрытых дел достигло 8309 — это почти в два раза больше, чем в ходе предыдущих операций за 4 года. Это подчёркивает важность международной кооперации в борьбе с киберпреступлениями, а также необходимость дальнейшего развития взаимодействия между странами.

Вчера стало известно, что 42-летний Евгений Птицын был экстрадирован из Южной Кореи, чтобы предстать перед федеральным судом Мэриленда. Он обвиняется в администрировании масштабной операции по вымогательству при помощи вредоносной программы Phobos. Утверждается, что организованные Птицыным кибератаки нанесли ущерб в размере не менее $16 млн. Жертвами киберпреступника стали более тысячи государственных организаций и частных лиц по всему миру.

Источник изображения: pexels.com

Согласно недавно опубликованному обвинительному заключению, среди жертв киберпреступника — консалтинговая компания и несколько поставщиков медицинских услуг из Мэриленда, профсоюз правоохранительных органов из Нью-Йорка, подрядчик Министерства обороны США и Министерства энергетики США из Иллинойса, и детская больница из Северной Каролины. Обвинение считает, что Птицын присоединился к киберпреступникам ещё в 2020 году и с тех пор активно участвовал в разработке и распространении вируса. Также они рекламировали программу-вымогатель Phobos на форумах по киберпреступности.

Неназванные компании, перечисленные в обвинительном заключении, заплатили выкупы в размере от $12 000 до $300 000, чтобы получить ключ для восстановления доступа к зашифрованным вирусом-вымогателем файлам. Обвинение подтверждает причастность Птицына тем, что средства за дешифровку переводились на криптовалютный кошелёк «во владении и под контролем Птицына».

Птицыну предъявлены обвинения в сговоре с целью мошенничества и преступлениях с использованием электронных средств связи, сговоре с целью совершения компьютерного мошенничества и злоупотребления, а также в многочисленных случаях преднамеренного повреждения защищённых компьютеров и вымогательства. В случае признания виновным ему грозят десятилетия тюремного заключения.

«Евгений Птицын вымогал миллионы долларов выкупа у тысяч жертв и теперь предстаёт перед правосудием в Соединённых Штатах благодаря упорной работе и изобретательности правоохранительных органов по всему миру — от Республики Корея до Японии, Европы и, наконец, Балтимора, штат Мэриленд», — заявила заместитель генерального прокурора США Лиза Монако (Lisa Monaco).

Известно, что другие киберпреступные группы, включая 8Base, также использовали программу-вымогатель Phobos в своих атаках.

Персональные данные всех россиян уже утекли в Сеть и находятся в даркнете, сообщил глава «Ростелекома» Михаил Осеевский на конференции «Безопасность клиента на первом месте». По его словам, злоумышленники собрали масштабные базы данных, содержащие подробные сведения о каждом гражданине РФ. Такое положение дел свидетельствует об актуальности защиты личной информации.

Источник изображения: KeepCoding / Unsplash

Схожее мнение ранее выразил Владимир Дрюков, глава центра противодействия кибератакам Solar JSOC компании «Солар». По его сведениям, у хакеров уже имеется база данных, охватывающая почти всё население России. Её формирование стало возможным благодаря многочисленным утечкам, случившимся за прошедшие годы. Такие сведения активно используются злоумышленниками для целенаправленных кибератак, рассылки фишинговых писем и шантажа, что создаёт серьёзные угрозы как для граждан, так и для организаций.

В октябре текущего года издание «Ведомости» сообщало, что за 9 месяцев на теневых интернет-форумах и в Telegram-каналах было выложено 210 баз данных со сведениями клиентов российских компаний. По информации F.A.C.C.T., в общей сложности было скомпрометировано 250,5 млн строк информации, что на 7,76 % больше по сравнению с аналогичным периодом прошлого года.

Как отмечают эксперты, злоумышленников особенно интересуют базы данных, содержащие ФИО, паспортные данные, даты рождения, номера телефонов, IP-адреса, пароли, места работы, адреса проживания и электронной почты россиян. Эксперты подчёркивают, что одной из причин увеличения числа утечек данных является недостаточное внимание компаний к модернизации систем защиты. Использование устаревших технологий, слабых протоколов шифрования и отсутствие строгого контроля доступа к чувствительной информации способствуют росту числа кибератак.