ИИ, автоматизация и RaaS: Darktrace обнажает тревожные тренды киберугроз первой половины 2025 года

Компания Darktrace опубликовала анализ ключевых тенденций в области кибербезопасности за первые шесть месяцев 2025 года, основанный на данных своего глобального клиентского пула. Отчет выявил ускоряющуюся эволюцию тактик злоумышленников, активно интегрирующих искусственный интеллект и автоматизацию для повышения масштаба и изощренности атак, что подтверждает критическую важность технологий аномального обнаружения.

Описание

Наступление эры ИИ-поддержанных атак

Главным трендом стало массовое внедрение злоумышленниками технологий искусственного интеллекта, особенно больших языковых моделей (LLM), в свои операции. Это позволяет автоматизировать и усложнять атаки, затрудняя их распознавание. Ярким примером служит вредоносное ПО LameHug, зафиксированное CERT-UA, которое использует открытую LLM для своих функций. Наиболее ощутимо влияние ИИ проявилось в сфере фишинга. Хотя Darktrace не может однозначно подтвердить использование ИИ во всех случаях, косвенные признаки - резкий рост числа писем и изменения в их структуре - указывают на активное применение подобных инструментов. С января по май 2025 года системы Darktrace обнаружили более 12,6 миллионов вредоносных электронных писем. При этом 25% всех фишинговых атак были целенаправленно нацелены на VIP-пользователей. Сохраняется популярность фишинга с QR-кодами, пик которого пришелся на февраль (свыше 1 млн писем). Тревожным сигналом стал рост доли сложных писем: 32% фишинга содержали большой объем текста или многоэтапные полезные нагрузки, что может быть прямым следствием использования LLM для генерации убедительного контента.

Новые тактики и старые проблемы

Помимо ИИ, злоумышленники активно используют автоматизацию. Отмечено развитие таких фишинговых наборов, как FlowerStorm и Mamba2FA, имитирующих легитимные сервисы для обхода многофакторной аутентификации (MFA), что снижает порог входа для новых групп. Также зафиксирована активность кампании ClickFix, эксплуатирующей доверие пользователей. Атака маскируется под необходимость решения проблемы на веб-сайте или прохождения CAPTCHA, но на самом деле заставляет жертву выполнить вредоносный PowerShell-код. В первой половине 2025 года ClickFix атаковал организации в государственном секторе, здравоохранении, страховании, розничной торговле и некоммерческих организациях. Кража и компрометация учетных данных остаются ключевой проблемой для начального доступа в сети. Злоумышленники активно используют скомпрометированные данные для получения несанкционированного доступа к интернет-ориентированным системам (RDP-серверам, VPN) и SaaS-платформам.

Растущая угроза RaaS и эксплуатация уязвимостей

Ransomware-as-a-Service (RaaS) доминирует в ландшафте угроз. Группы вроде Qilin, RansomHub и Lynx были замечены в многочисленных атаках на клиентов Darktrace. RaaS добавляет сложности защитникам из-за разнообразия тактик, используемых разными аффилиатами на ранних стадиях атаки, что затрудняет предотвращение шифрования данных. Отмечен тревожный рост числа атак, нацеленных именно на SaaS-среды (например, Salesforce), где хранятся конфиденциальные данные. Злоумышленники видят в них более высокую рентабельность из-за часто менее строгой защиты (особенно при использовании Single Sign-On) и ценности информации. Параллельно сохраняется проблема эксплуатации известных уязвимостей (CVE), даже после выпуска заплаток. Группа Medusa использовала уязвимости в SimpleHelp (CVE-2024-57727, CVE-2024-57728) в марте, хотя патчи были доступны уже в январе. Эксплуатация интернет-ориентированных устройств остается распространенной тактикой. Darktrace наблюдала активное использование таких уязвимостей, как CVE-2025-0282 (Ivanti), CVE-2025-0994 (Trimble Cityworks), CVE-2025-31324 (SAP NetWeaver) и CVE-2025-4427/CVE-2025-4428 (Ivanti EPMM). Особенно показателен кейс с CVE-2025-0994 в системе Trimble Cityworks, используемой объектами Критической Национальной Инфраструктуры (КНИ). Признаки эксплуатации были обнаружены Darktrace уже 19 января, задолго до публичного раскрытия уязвимости 6 февраля, что указывает на целенаправленные кампании, вероятно, связанные с китае-ориентированными группами.

Старые и новые игроки

В отчете отмечена активность как новых, так и давно известных угроз. Среди APT-групп выделяется BlindEagle (APT-C-36), нацеленная на Латинскую Америку, и кампании, связываемые с Китаем (например, с использованием сети LapDogs ORB), что подчеркивает интеграцию кибервозможностей в цели национальной безопасности. Увеличивается функциональность вредоносного ПО. Например, бэкдор Auto-Color теперь использует тактики подавления для сокрытия следов при неудачной атаке. Продолжают представлять угрозу и менее изощренные, но живучие инструменты. Червяк Raspberry Robin, впервые замеченный в 2021 году и действующий как брокер начального доступа (IAB), все еще активен в клиентской базе Darktrace (апрель-май 2025). Также фиксируются Remote Access Trojans (RATs) - AsyncRAT, Gh0st RAT, и Malware-as-a-Service (MaaS), такие как инфостилеры Amadey и Stealc, распространяемые после начального заражения.

Заключение: Необходимость смены парадигмы защиты

Первая половина 2025 года подтвердила, что киберугрозы становятся все более динамичными, автоматизированными и опасными. Злоумышленники оперативно внедряют ИИ для создания убедительных фишинговых писем в огромных масштабах, развивают модели RaaS как организованной киберпреступности и быстро эксплуатируют уязвимости, часто до их публичного раскрытия. Хотя отраслевое сотрудничество приносит плоды (как в случае с операцией против Lumma Stealer в мае), угрозы быстро адаптируются или сменяются новыми. Традиционные средства защиты, основанные на сигнатурах или статических правилах, все чаще не справляются с адаптивными и быстро меняющимися атаками. В этих условиях технологии аномального обнаружения, способные выявлять отклонения в поведении пользователей и систем, перестают быть опцией и становятся необходимостью. Они обеспечивают проактивную защиту, способную обнаруживать новые и развивающиеся угрозы, включая те, что обходят традиционные средства безопасности. Инвестиции в такие решения критически важны для противостояния современным злоумышленникам, вооруженным автоматизацией, ИИ и глобальной координацией.