Каждые четыре из пяти кибератак на банки в 2026 году обходятся без вредоносного ПО - злоумышленники орудуют штатными инструментами самих же жертв
Банковский сектор столкнулся с резким ростом атак класса Living off the Land - когда хакеры не тащат с собой собственный арсенал, а пользуются тем, что уже есть на заражённой машине. По данным экспертов «Кросстеха», в первом полугодии 2026 года доля таких инцидентов достигла 80% от общего числа атак на финансовые организации. Год назад этот показатель держался на уровне 60%. Рост - двадцать процентных пунктов за двенадцать месяцев. Это не тренд. Это уже норма.
Почему легитимные инструменты стали оружием
Логика злоумышленников проста: если не приносишь ничего подозрительного, детектировать тебя крайне сложно. В арсенал LotL-атак входят стандартные утилиты Windows - тот же WMI, встроенные административные скрипты, протоколы удалённого доступа вроде RDP, облачные командные интерфейсы. Всё это операционная система считает «своим». Администраторы безопасности - тоже.
Такими инструментами атакующие закрывают весь цикл вторжения: собирают данные о сети, выполняют команды, перемещаются между сегментами инфраструктуры, выводят похищенное наружу. Ни одна из этих фаз не требует загрузки стороннего ПО.
Парадокс в том, что сами банки спровоцировали этот сдвиг - пусть и невольно. Активное внедрение EDR, NDR и SIEM-платформ сделало обнаружение классических вредоносов быстрым и предсказуемым. Хакеры адаптировались. Теперь мониторинговые системы просто не видят значительную часть их действий как угрозу - слишком привычный трафик, слишком знакомые процессы.
APT-группировки задали тон всей индустрии
Профессиональные хакерские группы давно освоили эту тактику. По оценкам «Кросстеха», в атаках APT-группировок доля LotL-техник превышает 90% - для них это давно отработанный стандарт, а не экзотика. Массовые киберпреступники подтягиваются следом, перенимая методы у более опытных коллег по цеху.
«Доля LotL-атак постоянно увеличивается, их количество растёт ещё быстрее, так как атаки на банки становятся более интенсивными», - говорит Ильдар Галиев, руководитель направления развития услуг «Кросстеха».
Что это означает для защиты банков
Классические сигнатурные методы защиты в таких условиях теряют смысл - просто не за что зацепиться. На первый план выходят поведенческий анализ, детальное профилирование легитимных процессов и мониторинг аномалий в действиях пользователей и систем. Именно отклонение от нормы - а не наличие вредоносного файла - становится главным сигналом тревоги.
Ключевые векторы, которые злоумышленники эксплуатируют в рамках LotL-атак на финансовые организации:
- WMI и PowerShell - для выполнения команд и сбора сведений о системе
- RDP и другие средства удалённого доступа - для горизонтального перемещения внутри сети
- Облачные и сторонние CLI - для взаимодействия с внешней инфраструктурой
- Встроенные административные скрипты - для автоматизации кражи и вывода данных
Банкам придётся пересматривать модели угроз и настраивать мониторинг под реальность, в которой враг выглядит неотличимо от своего. Иного выхода нет.