В первом полугодии 2025 года в успешных атаках на организации чаще всего использовались шифровальщики (49% атак), ВПО для удаленного управления (33%) и шпионское ПО (22%). В успешных атаках на частных лиц на протяжении всего рассматриваемого периода сохраняется тренд на использование шпионского ПО (45%) и продолжение повышенного интереса к банковским троянам (20%, на 6 п. п. больше, чем в прошлом полугодии, и на 8 п. п. — по сравнению с аналогичный периодом предыдущего года). По данным компании ThreatFabric, с марта 2025 года кампании по распространению банковского трояна Crocodilus существенно расширились. Первоначально он был замечен в операциях на территории Европы, при этом основное внимание злоумышленников было сосредоточено на Турции. Однако последние данные указывают на увеличение числа кампаний, направленных уже на другие европейские страны, а также на Южную Америку. Особое внимание исследователей привлекла кампания, нацеленная на пользователей в Польше. Злоумышленники маскировали троян под официальные приложения банков и платформы электронной коммерции. Для продвижения использовались рекламные объявления в Facebook, предлагающие загрузить приложение для получения бонусных баллов.
Инструментарий злоумышленников постоянно расширяется за счет разработки новых вредоносных программ. Аналитики из Insikt Group выявили два новых семейства вредоносного ПО — TerraStealerV2 и TerraLogger, — связанных с группировкой Golden Chickens (она же Venom Spider), известной своими MaaS-услугами для таких киберпреступных группировок, как FIN6 и Cobalt Group. TerraStealerV2 нацелен на кражу учетных данных из браузеров, информации о криптокошельках и расширениях Chrome. Он использует Telegram и легитимные утилиты Windows для эксфильтрации украденных данных. TerraLogger представляет собой автономный кейлоггер, записывающий нажатия клавиш в локальные файлы. Оба семейства вредоносов находятся на стадии активной разработки и пока не обладают высоким уровнем скрытности, характерным для более зрелых инструментов, разработанных этой группировкой. Тем не менее, учитывая опыт Golden Chickens в создании разных видов вредоносных программ, можно ожидать дальнейшего развития этих инструментов.
Загрузчики — это еще один пример того, как быстро развивается современное вредоносное ПО. По нашим данным, во II квартале эти вредоносные программы обрели особую популярность у киберпреступников. Доля использования загрузчиков в атаках на организации не была так высока с начала 2023 года и превысила показатель предыдущего квартала в три раза. Подобная тенденция также связана с усложнением кибератак: злоумышленники все чаще используют загрузчики для многоэтапного развертывания вредоносного ПО с целью затруднить обнаружение и анализ угрозы. На первых этапах атаки используются сильно обфусцированные или полиморфные компоненты, которые скрывают свое истинное назначение от антивирусных программ. Лишь на финальном этапе загружается полезная нагрузка — стилеры, трояны удаленного доступа или вирусы-шифровальщики. К примеру, злоумышленники использовали новый загрузчик ModiLoader (DBatLoader), который распространялся через фишинговые письма с вложениями, выдаваемыми за официальные банковские документы. На завершающем этапе атаки в систему загружалось шпионское ПО SnakeKeylogger, способное перехватывать нажатия клавиш, собирать данные из буфера обмена и сохраненные учетные записи.
Во II квартале в успешных атаках на организации мы также фиксируем рост использования легального ПО (11%, на 7 п. п. больше, чем в прошлом квартале, и на 9 п. п. — по сравнению со II кварталом 2024 года). Злоумышленники постоянно пополняют свой арсенал новыми легальными программами. Так, в одной из недавних атак группировки вымогателей Fog исследователи из Symantec обнаружили крайне нетипичный для этих злоумышленников набор инструментов, включавший как легальные программы, так и малоизвестные опенсорсные утилиты. Среди них была обнаружена Syteca — легальная программа, предназначенная для удаленного мониторинга активности сотрудников с возможностью записи экрана и перехвата нажатий клавиш. Для скрытой доставки Syteca применялся прокси-инструмент Stowaway, а запуск осуществлялся через SMBExec из фреймворка Impacket. Также в атаке использовались популярные утилиты PsExec, Process Watchdog, 7-Zip, MegaSync и FreeFileSync.
В конце мая 2025 года специалисты PT ESC зафиксировали новые атаки группировки Rare Wolf (она же Rezet), нацеленные на российские предприятия военно-промышленного комплекса. В ходе текущей кампании эксперты отметили, что вместо публичного инструмента туннелирования ngrok злоумышленники стали создавать скрытый и надежный канал связи с C2-сервером через обратный SSH-туннель с использованием утилиты Tuna и процесса sshd.
