LotL-атаки захлёстывают банки. Хакеры стали невидимками
LotL-атаки захлёстывают банки. Хакеры стали невидимками

Каждые четыре из пяти кибератак на банки в 2026 году обходятся без вредоносного ПО - злоумышленники орудуют штатными инструментами самих же жертв

Банковский сектор столкнулся с резким ростом атак класса Living off the Land - когда хакеры не тащат с собой собственный арсенал, а пользуются тем, что уже есть на заражённой машине. По данным экспертов «Кросстеха», в первом полугодии 2026 года доля таких инцидентов достигла 80% от общего числа атак на финансовые организации. Год назад этот показатель держался на уровне 60%. Рост - двадцать процентных пунктов за двенадцать месяцев. Это не тренд. Это уже норма.

Почему легитимные инструменты стали оружием

Логика злоумышленников проста: если не приносишь ничего подозрительного, детектировать тебя крайне сложно. В арсенал LotL-атак входят стандартные утилиты Windows - тот же WMI, встроенные административные скрипты, протоколы удалённого доступа вроде RDP, облачные командные интерфейсы. Всё это операционная система считает «своим». Администраторы безопасности - тоже.

Такими инструментами атакующие закрывают весь цикл вторжения: собирают данные о сети, выполняют команды, перемещаются между сегментами инфраструктуры, выводят похищенное наружу. Ни одна из этих фаз не требует загрузки стороннего ПО.

Парадокс в том, что сами банки спровоцировали этот сдвиг - пусть и невольно. Активное внедрение EDR, NDR и SIEM-платформ сделало обнаружение классических вредоносов быстрым и предсказуемым. Хакеры адаптировались. Теперь мониторинговые системы просто не видят значительную часть их действий как угрозу - слишком привычный трафик, слишком знакомые процессы.

APT-группировки задали тон всей индустрии

Профессиональные хакерские группы давно освоили эту тактику. По оценкам «Кросстеха», в атаках APT-группировок доля LotL-техник превышает 90% - для них это давно отработанный стандарт, а не экзотика. Массовые киберпреступники подтягиваются следом, перенимая методы у более опытных коллег по цеху.

«Доля LotL-атак постоянно увеличивается, их количество растёт ещё быстрее, так как атаки на банки становятся более интенсивными», - говорит Ильдар Галиев, руководитель направления развития услуг «Кросстеха».

Что это означает для защиты банков

Классические сигнатурные методы защиты в таких условиях теряют смысл - просто не за что зацепиться. На первый план выходят поведенческий анализ, детальное профилирование легитимных процессов и мониторинг аномалий в действиях пользователей и систем. Именно отклонение от нормы - а не наличие вредоносного файла - становится главным сигналом тревоги.

Ключевые векторы, которые злоумышленники эксплуатируют в рамках LotL-атак на финансовые организации:

  • WMI и PowerShell - для выполнения команд и сбора сведений о системе
  • RDP и другие средства удалённого доступа - для горизонтального перемещения внутри сети
  • Облачные и сторонние CLI - для взаимодействия с внешней инфраструктурой
  • Встроенные административные скрипты - для автоматизации кражи и вывода данных

Банкам придётся пересматривать модели угроз и настраивать мониторинг под реальность, в которой враг выглядит неотличимо от своего. Иного выхода нет.