В IV квартале 2025 года основной вектор атак — эксплуатация публичных приложений. Несмотря на спад ransomware, угрозы сместились в сторону быстрого использования уязвимостей и компрометации учётных данных. Ключевые риски — устаревшая инфраструктура, отсутствие MFA и недостаточное логирование.
В конце 2025 года основным каналом проникновения злоумышленников стали публичные приложения, несмотря на снижение активности ransomware. Руководители предприятий, отвечающие за цифровую трансформацию, сталкиваются с размыванием границ между внутренними сетями и публичным интернетом. По мере внедрения новых API и веб-сервисов для генерации дохода расширяется поверхность атаки. Данные за четвёртый квартал 2025 года показывают, что угрозы фокусируются именно на этих публичных цифровых активах, а не на таких методах, как фишинг.
Атаки на публичные приложения составили почти 40% всех инцидентов, с которыми работала команда реагирования Cisco Talos (Talos IR), в четвёртом квартале. Показатель снизился с более чем 60% в предыдущем квартале, когда кампания ToolShell резко повысила уровень эксплуатации уязвимостей, однако это свидетельствует о сохранении внимания к уязвимостям периметра, а не к атакам на пользователей.
Такая тенденция делает поддержку веб-приложений критичным риском. Злоумышленники быстро используют известные уязвимости. В IV квартале 2025 года Talos IR зафиксировала атаки на Oracle E-Business Suite (EBS) и React Server Components, в частности, уязвимость React2Shell (CVE-2025-55182). В нескольких случаях эксплуатация началась почти сразу после публикации информации об уязвимости.
Для руководителей телеком-операторов и провайдеров, где бесперебойная работа определяет бизнес-модель, такие темпы оставляют минимальное окно для обновления систем. В одном из инцидентов Talos IR реагировала на организацию с уязвимым сервером, где атака началась вскоре после публичного раскрытия уязвимости. Злоумышленники развернули веб-шеллы из цепочки инфицирования SAGE для сохранения доступа.
Риски идентификации в подключённых средах
Несмотря на спад ransomware, техническая эксплуатация остаётся ведущей угрозой. Однако манипуляции с легитимными учётными данными сохраняются как вторичная опасность. Фишинг стал вторым по частоте методом первоначального доступа в IV квартале, увеличившись до 32% от всех инцидентов с 23% в предыдущем квартале.
Кампания, нацеленная на организации коренных американцев, продемонстрировала операционные риски компрометации учётных записей. Противники использовали взломанные почтовые аккаунты и легальные, но скомпрометированные домены для распространения фишинговых писем. После получения доступа к легитимной учётной записи злоумышленники рассылали внутренние фишинговые сообщения, обходя периметр почтовых фильтров за счёт отправки с доверенного внутреннего источника.
Проблема «доверенного инсайдера» усложняет защиту крупных предприятий. В одном из случаев атакующие использовали скомпрометированный аккаунт для массовой рассылки фишинговых писем. Даже после удаления учётной записи кампания продолжилась — злоумышленники подделали адрес через внешний почтовый сервис. Отсутствие двухфакторной аутентификации (MFA) способствовало этим инцидентам, позволяя злоумышленникам укрепиться в системе.
IT-директорам необходимо строго внедрять политики MFA. Talos IR отметила, что слабости MFA — включая неправильную настройку, обход или полное отсутствие — являются одной из главных уязвимостей наравне с незащищённой инфраструктурой.
Государственные учреждения остались наиболее атакуемым сектором в IV квартале, сохранив лидерство с предыдущего квартала. Эти организации привлекательны для атак из-за ограниченного финансирования и зависимости от устаревшего оборудования.
Их ситуации отражают более широкую проблему для частных операторов: устаревшая инфраструктура — это уязвимость. Такие организации не терпят простоев и хранят чувствительные данные, что делает их мишенью как для шпионских, так и для финансово мотивированных групп.
Зависимость от старых технологий часто означает недостаточные возможности логирования, что, по данным Talos IR, регулярно затрудняет расследования. Без централизованной системы вроде SIEM (Security Information and Event Management) организация не может восстановить цепочку событий после инцидента.
Снижение активности ransomware
Инциденты, связанные с ransomware и предшествующие им, составили лишь 13% от всех случаев в IV квартале — спад с 20% в III квартале и почти 50% в первой половине года.
Несмотря на снижение объёмов, оставшиеся в этом сегменте группы, включая доминирующую Qilin, продолжают представлять угрозу. Злоумышленники всё чаще действуют «вживую» — используют легитимные инструменты удалённого мониторинга и управления (RMM).
В одном из ransomware-инцидентов противники задействовали несколько RMM-инструментов, включая ScreenConnect для сохранения доступа и SoftPerfect Network Scanner для разведки. Такой подход усложняет обнаружение, поскольку эти инструменты легально используются администраторами. Использование нескольких решений обеспечивает резервирование: если один инструмент будет заблокирован, другой может остаться активным.
Операционные приоритеты
Скорость, с которой злоумышленники начинают использовать новые уязвимости в таких фреймворках, как Next.js и Oracle EBS, требует гибкого управления обновлениями для публичных ресурсов. Разрыв между публикацией уязвимости и атакой измеряется теперь часами или днями.
Распространённость злоупотреблений легитимными учётными записями подчёркивает важность управления идентификацией. Инциденты с организациями коренных народов показали, что при наличии валидных учётных данных злоумышленник легко перемещается внутри сети. Выявление таких вторжений требует тщательного мониторинга логов MFA на предмет обхода кодов подтверждения или регистрации новых устройств.
Снижение числа ransomware-атак говорит о смещении угроз в сторону получения доступа и кражи данных. Поскольку уязвимая инфраструктура и слабости MFA остаются основными проблемами, путь к защите — в укреплении базовых мер: немедленное обновление серверов и обеспечение надёжной аутентификации для всех учётных записей.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ryan Daws