Атаки на российские организации не только участились, но и стали сложнее. По данным департамента киберразведки экспертного центра безопасности Positive Technologies (PT ESC TI), которыми они поделились с RuHard, в 2025 году APT-группировки более чем вдвое увеличили использование уникального вредоносного ПО — с 268 образцов в первом квартале до 584 в четвертом.
Хакеры чаще применяют скрытные сценарии атак: доставляют вредоносные файлы в несколько этапов, а после проникновения используют инструменты корпоративных систем для продолжения атаки и удержания доступа. Такая тактика позволяет им дольше оставаться незамеченными.
Показательными стали действия киберпреступников в четвертом квартале 2025 года. Активно атакующая российские компании группировка ExCobalt регулярно адаптирует свой инструментарий под конкретные инфраструктуры и задачи. С недавних пор хакеры стали размещать вредоносные файлы внешних обработок «1С», маскируя их под легитимные. Атакующие сохраняли длительный контроль над инфраструктурой, получая возможность выполнять команды через среду «1С».
Ускорился и цикл эксплуатации уязвимостей. Группировка QuietCrabs продемонстрировала рекордную скорость: в одном случае хакеры использовали свежую брешь всего лишь через день после официального заявления разработчика ПО, а в другом начали успешную атаку в течение суток после публикации эксплойта.
В последнем квартале 2025 года эксперты PT ESC TI также зафиксировали фишинговые атаки на российские банки со стороны финансово мотивированной группировки Silver Fox, ранее не проявлявшей интерес к России. Злоумышленники использовали многослойную схему доставки вредоносного кода, спрятанного внутри обычного изображения. Легитимный на вид исполняемый файл загружал скомпрометированную библиотеку, которая расшифровывала и запускала основной зловред.
«На протяжении 2025 года мы наблюдали тенденцию к усложнению атак. Злоумышленники прибегали не только к фишингу, но и ко взлому партнеров и подрядчиков, а также быстро использовали недавно опубликованные уязвимости в популярном ПО. При этом схемы проникновения в инфраструктуру организации, как и методы закрепления внутри нее, становились все изобретательнее. Во многом это связано с использованием больших языковых моделей для создания и модификации вредоносного кода. Чтобы эффективно противодействовать подобным угрозам, компаниям необходимо выстраивать эшелонированную защиту», — подчеркнул Денис Казаков, специалист группы киберразведки экспертного центра безопасности Positive Technologies (PT ESC TI).
Справка RuHard:
• Вредоносное ПО — это программы, предназначенные для получения несанкционированного доступа, нарушения работы систем или нанесения ущерба данным и пользователям.
• APT-группировки — это преступные группировки, участники которой отличаются высоким уровнем квалификации, как правило, обладают значительными финансовым ресурсами и техническими возможностями.
• Под брендом Positive Technologies работает АО «Позитив Текнолоджиз», зарегистрированное в 2007 году в Москве. Основной вид деятельности компании — разработка компьютерного программного обеспечения. В 2021 году выручка компании составила 6,4 млрд рублей, прибыль — 1,5 млрд. Более свежие данные отсутствуют.
📸 Дмитрий Матвеев / RuHard
RuHard в Max: https://max.ru/imaxairu
