CrowdStrike делится важными инсайдами 2025 года: рост ransomware и усиление активности государств

Деятельность, связанная с охотой на «крупную добычу» (BGH, Big Game Hunting), активно распространена по всему региону. Европейские организации составили почти 22% всех структур, найденных на специализированных сайтах утечек данных (DLS), которые отслеживает отдел CrowdStrike Counter Adversary Operations, что делает Европу вторым наиболее атакуемым регионом после Северной Америки. С начала 2024 года примерно 2100 европейских жертв были названы BGH-злоумышленниками на более чем 100 DLS, которые используются для ransomware данных и программ-вымогателей. Сводные данные из DLS указывают, что среди европейских стран больше всего атак подверглись Великобритания, Германия, Италия, Франция и Испания. Наиболее атакованными секторами были производство, профессиональные услуги, технологии, промышленность и инжиниринг, а также розничная торговля.

Европейские компании все чаще становятся целями BGH-противников, что, вероятно, обусловлено несколькими причинами:

• Привлекательность целей: пять из десяти самых дорогих компаний мира расположены в Европе. Поскольку злоумышленники, использующие BGH, обычно устанавливают сумму выкупа в соответствии с доходом жертвы, они, вероятно, считают, что европейские организации способны выплатить значительные суммы.
• Политическая мотивация: хотя BGH-противники преимущественно преследуют финансовые интересы, некоторые из них высказывали политические взгляды и угрожали действиями по политическим мотивам.
• Правовое давление: злоумышленники использовали штрафные санкции ЕС, предусмотренные Общим регламентом по защите данных (GDPR) за утечку информации, чтобы заставить жертв платить. Некоторые хакеры угрожали сообщить о несоблюдении нормативных требований через свои DLS.

Европейская экосистема киберпреступности остается динамичной и адаптивной. Криминальные онлайн-рынки, такие как BreachForums (управляемые злоумышленниками из Франции и Великобритании), и зашифрованные приложения обеспечивают связь между брокерами первоначального доступа, разработчиками вредоносного программного обеспечения и филиалами программ-вымогателей. Русскоязычные и англоязычные форумы являются центрами, где продаются похищенные учетные данные, данные и доступы к системам. Для продажи фишинговых наборов и украденной логин-информации часто используется Telegram.

Голосовой фишинг и поддельные CAPTCHA-страницы стали основными способами получения доступа к целевым системам, которые затем злоумышленники используют для кражи данных и проведения кампаний с применением программ-вымогателей. В течение 2024 и 2025 годов CrowdStrike зафиксировала более 1000 инцидентов, связанных с использованием поддельных CAPTCHA-приманок, нацеленных на европейские организации.

Злоумышленники из таких стран, как Россия, Китай, Северная Корея и Иран, расширили свои региональные цели в различных отраслях промышленности. Война в Украине продолжала определять европейский ландшафт киберугроз. Хакеры, связанные с Россией, использовали фишинговые атаки против правительственных, оборонных и инфраструктурных сетей для сбора разведывательных данных и подрыва западной поддержки Украины. Деструктивные атаки продолжаются против украинских организаций с целью нарушения работы систем и оказания психологического давления на население.

Северная Корея усилила свой альянс с Россией, отправив военных для поддержки войны в обмен на передовую оборонную технику и системы радиоэлектронной борьбы. КНДР также расширила кибератаки на Европу, нацеливаясь на оборонные, дипломатические и финансовые учреждения с целью похищения криптовалюты и обхода санкций.

Злоумышленники, связанные с Китаем, продолжают атаковать европейские организации для сбора разведывательной информации, главным образом, атакуя периферийные устройства и облачную инфраструктуру. Многие субъекты, связанные с Китаем, постоянно сосредотачивались на государственном, медицинском и биотехнологическом секторах Европы.

Вооруженные конфликты на Ближнем Востоке, особенно между Израилем и ХАМАС, были основными движущими силами киберопераций, поддерживаемых Ираном, и проиранского хактивизма против европейских структур. Связанные с Ираном злоумышленники проводили операции по всей Европе, включая шпионаж, кампании взломов и утечек, а также деструктивные атаки. Многие иранские хакерские группировки выдавали себя за хактивистов, чтобы скрыть государственные шпионские усилия.

Поскольку ландшафт киберугроз Европы продолжает меняться, организациям необходимо сохранять бдительность в отношении разнообразия противников: от киберпреступных групп до государственных хакеров и хактивистов. Благодаря стратегиям безопасности, основанным на разведывательных данных, организации по всему региону могут укрепить свою оборону, снизить риски и опережать новые угрозы.