Финсектор удаленного доступа
Доля вредоносных программ для управления устройствами в успешных атаках достигла 35%
По итогам третьего квартала доля вредоносного программного обеспечения (ВПО) с удаленным доступом к устройству в успешных атаках на финансовые организации значительно выросла и достигла максимума за четыре года — 35%. По словам экспертов, рост использования такого ВПО несет серьезные риски вплоть до кражи персональных данных и финансовых потерь клиентов. Вместе с тем в ближайшее время доля ВПО с удаленным доступом в атаках продолжит расти, а программы будут становиться все более функциональными.
Фото: Влад Некрасов, Коммерсантъ
Фото: Влад Некрасов, Коммерсантъ
По оценкам системного интегратора «Информзащита», в третьем квартале 2025 года доля ВПО с удаленным доступом — RAT (Remote Access Trojan), или троян удаленного доступа,— в общем объеме успешных атак на финсектор (банки, биржи, МФО и др.) увеличилась на 15 процентных пунктов (п. п.) год к году и достигла 35%. Это максимальный показатель с 2022 года.
При этом как минимум за последние два года доля использования программ-шифровальщиков сократилась до 15%, шпионского ПО — до 12%, а доля загрузчиков составила 9%, указывают эксперты «Информзащиты». Всего, по их оценкам, в третьем квартале 2025 года было совершено 3,5 тыс. успешных атак на финансовый сектор.
По словам экспертов, такая динамика обусловлена повышением доступности и совершенствованием RAT. Продажи готового ВПО на теневых площадках и развитие платформ MaaS (вредоносное ПО как услуга) позволяют даже технически неподготовленным злоумышленникам легко арендовать готовые многофункциональные RAT, поясняет аналитик направления аналитических исследований Positive Technologies Анна Вяткина.
Современные ВПО с удаленным доступом, как отмечает госпожа Вяткина, объединяют функции шпионского ПО, загрузчиков и даже базовых шифровальщиков, что делает их универсальным инструментом для долгосрочного скрытного присутствия в инфраструктуре, кражи данных и последующего вывода средств. Все это, как отмечает госпожа Вяткина, ценно при атаках на финансовые организации, где важно как можно дольше скрытно пребывать в сети, чтобы получить максимальную прибыль.
Глава комитета по ИБ Ассоциации российских банков Андрей Федорец отмечает, что зачастую сотрудники финансовых организаций используют личные устройства в рабочих целях, что облегчает злоумышленникам задачу проникновения, поскольку эти устройства менее защищенные. Рост гибридной работы и использование личных устройств (включая смартфоны) в служебных целях расширяет поверхность атаки, подтверждает госпожа Вяткина.
ВПО с удаленным доступом позволяет злоумышленникам получить полный контроль над устройством жертвы, поясняет ведущий аналитик отдела мониторинга ИБ «Спикател» Алексей Козлов. Системы компаний финсектора привлекают хакеров возможностью доступа к широкому кругу клиентов в том числе для рассылки в их адрес различного ВПО (через электронную почту, мессенджеры и т. д.), отмечают в «Информзащите».
При этом клиенты финсектора могут пострадать не только из-за утечек их персональных и платежных данных, но и от прямых финансовых потерь из-за совершенных мошенниками переводов или блокировок счетов, указывает господин Козлов. По последним данным ЦБ, во втором квартале объем операций без добровольного согласия клиента в ДБО превысил 2,2 млрд руб.
Кроме того, RAT могут быть использованы не только для похищения конфиденциальных данных, но и для платного предоставления доступа во взломанную организацию другим злоумышленникам, и этим хакеры могут воспользоваться для шантажа компании-жертвы, последующей перепродажи украденных данных на черном рынке, добавляет эксперт группы анализа ВПО центра исследования киберугроз Solar 4RAYS ГК «Солар» Антон Каргин.
Эксперты считают, что доля ВПО с удаленным доступом продолжит расти, поскольку RAT будут становиться умнее — уже сейчас искусственный интеллект в ВПО является серьезным противником для систем защиты, говорит руководитель управления информационной безопасности ассоциации «ФинТех» Александр Товстолип.
Будут развиваться вирусы, «дописывающие» и модифицирующие себя исходя из окружающей среды: попадая в инфраструктуру компании, вирус (а скорее, набор ИИ-агентов) будет изменяться и адаптироваться, чтобы всеми средствами решить поставленную ему задачу, будь то кража денег со счетов, выгрузка ценных данных или нарушение функционирования системы, считает он.