🔝 Picus Red Report 2025 и The Top 10 Most Prevalent MITRE ATT&CK® Techniques

Picus Red Report 2025 – уже ставший традиционным ежегодный отчёт компании Picus Security, содержащий подробный анализ наиболее распространенных тактик, методов и процедур (TTP) противников, наблюдавшихся в течение предыдущего года.
Данные в отчете базируются на изучении более 1 миллиона образцов вредоносного ПО и 11 миллионов случаев применения методов MITRE ATT&CK. Согласно исследователям, 93 % атак в 2024 году были совершены с использованием следующих техник:

🗣️ T1055 Process Injection
🗣️ T1059 Command and Scripting Interpreter
🗣️ T1555 Credentials from Password Stores
🗣️ T1071 Application Layer Protocol
🗣️ T1562 Impair Defenses
🗣️ T1486 Data Encrypted for Impact
🗣️ T1082 System Information Discovery
🗣️ T1056 Input Capture
🗣️ T1547 Boot or Logon Autostart Execution
🗣️ T1005 Data from Local System

7 из 10 техник присутствуют в рейтинге прошлого года, следующие были заменены:
🔹 T1003 OS Credential Dumping
🔹 T1047 Windows Management Instrumentation
🔹 T1027 Obfuscated Files or Information

Три добавленных T1555, T1056 и T1005 (выделил жирным) характерны больше для программ-стилеров, крадущих пароли, аккаунты и пр. полезные разности, которые плохо лежат. И понятно почему: большая часть отчета посвящена эволюции современных вредоносных программам для кражи информации. Отмечена тенденция кражи учетных данных из менеджеров паролей, браузеров, кэша системы и пр.

Еще несколько инсайтов:
📎 «Шепчущие каналы» - эксфильтрация данных по шифрованным каналам становится «стандартом»
📎 Выполнение автозапуска при загрузке или входе в систему все чаще становится одним из основных методов, с помощью которых вредоносные программы переживают перезагрузки системы и попытки удаления
📎 Заметного роста использования методов вредоносного ПО, основанных на ИИ, не отмечено

Ну а ТОП-3 по версии исследователей следующий:
1️⃣ T1055 Process Injection
2️⃣ T1059 Command and Scripting Interpreter
3️⃣ T1555 Credentials from Password Stores
где первые две техники являются частью цепочки доставки полезной нагрузки в инфраструктуру жертвы и не выходят из чартов последние пару лет

Для борьбы с киберугрозами эксперты помимо «быстрее выше сильнее» советуют выбивать бюджеты на поведенческую аналитику и адаптивный поиск угроз, реактивное обнаружение и SecretNet
#mitre #analytics

🤳 Банк России утвердил стандарт безопасного использования QR-кодов для платежей и переводов

🟠 Финансовые организации и компании из других сфер, которые применяют QR-код для проведения платежей и переводов, смогут разработать на основе этого регламента внутренние меры защиты.

🟠 В документе в зависимости от видов QR-кодов систематизированы угрозы, которые могут возникнуть на каждом этапе операции. Также представлены типовые способы защиты от этих угроз. Для внесения и снятия денег в банкомате по QR-коду предусмотрены отдельные меры защиты.

Стандарт носит рекомендательный характер и вступит в силу 17 февраля.