CrowdStrike ділиться важливими інсайдами 2025 року: зростання ransomware та посилення активності держав

Діяльність, пов’язана з полюванням на «велику здобич» (BGH, Big Game Hunting), активно поширена по всьому регіону. Європейські організації склали майже 22% усіх структур, знайдених на спеціалізованих сайтах витоків даних (DLS), які відстежує відділ CrowdStrike Counter Adversary Operations, що робить Європу другим найбільш атакованим регіоном після Північної Америки. З початку 2024 року, приблизно 2100 європейських жертв були названі BGH-зловмисниками на понад 100 DLS, які використовуються для ransomware даних та програм-вимагачів. Зведені дані з DLS вказують, що серед європейських країн найбільше атак зазнали Велика Британія, Німеччина, Італія, Франція та Іспанія. Найбільш атакованими секторами були виробництво, професійні послуги, технології, промисловість та інжиніринг, а також роздрібна торгівля.

Європейські компанії все частіше стають цілями BGH-супротивників, що, ймовірно, обумовлено кількома причинами:

• Привабливість цілей: п’ять із десяти найдорожчих компаній світу розташовані у Європі. Оскільки BGH-зловмисники зазвичай встановлюють суму викупу відповідно до доходу жертви, вони, ймовірно, вважають, що європейські організації здатні сплатити значні суми.
• Політична мотивація: хоча BGH-супротивники переважно мають фінансовий інтерес, деякі з них висловлювали політичні погляди та погрожували діями з політичних мотивів.
• Правовий тиск: зловмисники використовували штрафні санкції ЄС, передбачені Загальним регламентом про захист даних (GDPR) за витік інформації, щоб змусити жертв платити. Деякі хакери погрожували повідомити про недотримання регуляторних вимог через свої DLS.

Європейська екосистема кіберзлочинності залишається динамічною та пристосовуваною. Кримінальні онлайн-ринки, такі як BreachForums (яким керують зловмисники з Франції та Великої Британії), та зашифровані застосунки забезпечують зв’язок між брокерами початкового доступу, розробниками шкідливого програмного забезпечення та філіями програм-вимагачів. Російськомовні та англомовні форуми є осередками, де продаються викрадені облікові дані, дані та доступи до систем. Для продажу фішингових наборів та вкраденої логін-інформації часто використовується Telegram.

Голосовий фішинг та підроблені CAPTCHA-сторінки стали основними способами отримання доступу до цільових систем, які потім зловмисники використовують для крадіжки даних та проведення кампаній із застосуванням програм-вимагачів. Протягом 2024 та 2025 років компанія CrowdStrike зафіксувала понад 1000 інцидентів, пов’язаних із використанням підроблених CAPTCHA-приманок, націлених на європейські організації.

Держави зловмисники як Росія, Китай, Північна Корея та Іран розширили свої регіональні цілі в різних галузях промисловості. Війна в Україні продовжувала визначати європейський ландшафт кіберзагроз. Хакери, пов’язані з Росією, використовували фішингові атаки проти урядових, оборонних та інфраструктурних мереж для збору розвідувальних даних та підриву західної підтримки України. Деструктивні атаки тривають проти українських організацій з метою порушення роботи систем та чинення психологічного тиску на населення.

Північна Корея посилила свій альянс з Росією, відправивши військових для підтримки війни в обмін на передову оборонну техніку та системи радіоелектронної боротьби. КНДР також розширила кібератаки на Європу, націлюючись на оборонні, дипломатичні та фінансові установи з метою викрадення криптовалюти та обходу санкцій.

Зловмисники, пов’язані з Китаєм, продовжують атакувати європейські організації для збору розвідувальної інформації, головним чином, атакуючи периферійні пристрої та хмарну інфраструктуру. Багато суб’єктів, пов’язаних із Китаєм, постійно зосереджувалися на державному, медичному та біотехнологічному секторах Європи.

Збройні конфлікти на Близькому Сході, особливо між Ізраїлем та ХАМАС, були основними рушіями кібероперацій, підтримуваних Іраном, та проіранського хактивізму проти європейських структур. Пов’язані з Іраном зловмисник проводили операції по всій Європі, включаючи шпигунство, кампанії зламів та витоків, а також деструктивні атаки. Багато іранських хакерських угруповань видавали себе за хактивістів, щоб приховати державні шпигунські зусилля.

Оскільки ландшафт кіберзагроз Європи продовжує змінюватися, організаціям необхідно зберігати пильність щодо різноманіття супротивників: від кіберзлочинних груп до державних хакерів та хактивістів. Завдяки стратегіям безпеки, що ґрунтуються на розвідувальних даних, організації по всьому регіону можуть зміцнити свою оборону, зменшити ризики та випереджати нові загрози.