Актуальные киберугрозы: I–II кварталы 2025 года

Отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на экспертизе компании Positive Technologies, результатах расследований, проводимых PT Expert Security Center, а также на данных авторитетных источников.

По нашей оценке, большинство кибератак не предаются огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

Наша база инцидентов регулярно обновляется. Следует отметить, что информация о некоторых инцидентах может поступать значительно позже фактического времени кибератаки. Здесь представлены самые актуальные данные на момент публикации.

В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная атака, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.

В первом полугодии 2025 года злоумышленники чаще всего атаковали госучреждения (21% от общего количества успешных атак на организации), промышленность (13%), IT-компании (6%) и медицинские учреждения (6%). Наиболее распространенными методами успешных атак на организации стали использование ВПО (63%), социальная инженерия (50%) и эксплуатация уязвимостей (31%). За рассматриваемый период утечки конфиденциальных данных наблюдались в результате 52% успешных атак на организации и в 74% успешных атак на частных лиц. Доля атак, приводящих к нарушению основной деятельности компаний, увеличилась на 13 процентных пунктов по сравнению с предыдущим полугодием и на 15 п. п. по сравнению с первым полугодием 2024 года, что объясняется увеличением активности вымогателей и хактивистов. В 26% случаев успешные атаки на частных лиц привели к финансовым потерям: продолжается тенденция конца прошлого года.

В 21% успешных атак на организации жертвами становились госучреждения; это на 6 п. п. больше, чем в прошлом полугодии. Начиная с 2022 года доля атак на госучреждения никогда не была так высока. Подобный рост вызван геополитическими процессами по всему миру, которые спровоцировали и множественные атаки политически мотивированных хактивистов, и увеличение активности APT-группировок. Хактивисты стремятся дестабилизировать работу объектов критически значимой инфраструктуры, украсть и уничтожить данные и нанести репутационный ущерб, в то время как главная цель APT-атак — кибершпионаж. По данным исследователей, в первом полугодии 2025 года количество APT-атак на корпоративные сети выросло на 27% по сравнению с аналогичным периодом прошлого года.

Основные цели тех, кто атакует госструктуры, — нарушить основную деятельность того или иного учреждения (68% атак) и причинить ущерб интересам государства (29%). Так, в феврале 2025 года Роскомнадзор отразил 822 DDoS-атаки на российские системы госуправления, а самая длительная атака продолжалась 71 час. В мае в результате массированной DDoS-атаки произошел крупный сбой в работе нескольких ключевых государственных сервисов, включая платформы ФНС, «Госключ», «Честный знак», а также региональные системы, такие как московская ЕМИАС. В течение нескольких часов пользователи по всей стране не могли получить доступ к цифровым сервисам, подписывать документы и отправлять отчетность.

В течение всего первого полугодия группировка хактивистов NoName057(16) проводила многократные масштабные DDoS-атаки. Жертвами атак стали госучреждения, аэропорты, банки и другие организации в Швейцарии, Франции, Италии, Румынии и Германии. Такие атаки нарушали работу сайтов организаций-жертв, часто надолго.

Треть атак на госучреждения (32%) привели к утечкам конфиденциальных данных. Так, в январе APT-группировка Sticky Werewolf (она же Angry Likho) готовила новую волну целевых атак на государственные организации и их подрядчиков в России и Белоруссии. Используя инфостилер Lumma и вредоносные утилиты, злоумышленники крали данные и получали контроль над устройствами. Основные цели — криптокошельки и учетные записи сотрудников.

В конце прошлого — начале текущего года группа киберразведки PT ESC Threat Intelligence обнаружила новую волну кибератак APT-группировки Cloud Atlas на предприятия оборонно-промышленного комплекса России. Вектором проникновения традиционно выступала фишинговая рассылка электронных писем с вредоносными документами Microsoft Office во вложении.

В начале февраля злоумышленники опубликовали более 50 ГБ данных с документами 21 учреждения правительства «Талибана». Документы содержат сенсационную информацию, в том числе имена политических заключенных, а также сведения о запрете на выезд для ряда государственных служащих.

На протяжении трех дней вся IT-инфраструктура города Мелилья в Испании была недоступна: ее вывела из строя, как предполагается, кибератака вируса-шифровальщика. Инцидент серьезно затруднил предоставление госуслуг, нарушил нормальное функционирование местных органов власти.

Киберпреступники используют сложные тактики, которые стирают грань между идеологическим протестом и преступным бизнесом, с целью нанести максимальный ущерб государственным организациям. Так, с середины 2024 года и по сей день российские госорганизации, а также IT-компании, промышленность и телекоммуникации подвергаются сложным атакам со стороны группировки BO Team, которая успешно совмещает хактивизм с финансовыми мотивами. Злоумышленники действуют скрытно, используя целевой фишинг для проникновения в системы организаций, а затем наносят серьезный ущерб их инфраструктуре — уничтожают данные, блокируют доступ к критически важным системам, а иногда требуют выкуп за восстановление их работы.

В успешных атаках на организации мы отмечаем увеличение доли использования шифровальщиков относительно предыдущего полугодия на 6 п. п. (с 43% до 49%) и на 8 п. п. (с 41% до 49%) относительно первого полугодия 2024 года. Тренд вызван растущим интересом хактивистов к этому типу вредоносного ПО. Они используют шифровальщики в первую очередь не для получения финансовой выгоды, а для нанесения ущерба от блокировки доступа к критически важной информации. Кроме того, интерес финансово мотивированных киберпреступников к инструменту не снижается: вымогательские программы по-прежнему эффективны для незаконного заработка.

В феврале 2025 года российский малый и средний бизнес столкнулся с новой угрозой — вымогательской программой PE32, жертвами которой стали десятки предприятий (общая сумма выкупа варьируется от 500 до 150 000 долларов и выплачивалась в биткоинах).

Кибератаки редко угрожают непосредственно жизни людей, но когда мишенями злоумышленников становятся больницы и другие медицинские организации, опасность становится реальной. Крупный центр донорской крови в Нью-Йорке стал жертвой атаки с использованием шифровальщика. Кибератака затронула систему управления донорскими центрами, которая контролирует запись на сдачу крови, обрабатывает данные доноров и результаты лабораторных тестов, а также отслеживает поставки крови другим медицинским организациям. Это привело к полной остановке работы пунктов приема крови и к отмене ближайших донорских акций. В результате центр объявил о сокращении запасов донорской крови на 30%.

В марте пожарно-спасательные службы трех регионов Чехии стали объектом кибератаки вымогателей: IT-системы были полностью парализованы, основные приложения и программы, необходимые для ежедневной деятельности, не работали.

В I квартале 2025 года государственные учреждения оставались для вымогателей основной целью, однако во II квартале доля атак на них снизилась с 23% до 18%. На эту тенденцию оказывает влияние ужесточение государственной политики в отношении кибервымогателей. Как мы отмечали ранее, многие страны последовательно внедряют запреты на выплату выкупов, закрепляя их на законодательном уровне. Такой подход существенно снижает мотивацию преступников, поскольку госучреждения перестают быть выгодными целями. В результате во II квартале киберпреступные группировки начали переориентироваться на менее защищенные объекты — в первую очередь на промышленные предприятия. Доля атак на промышленность увеличилась с 8% в I квартале до 19% во II квартале, причем в 21% инцидентов использовались программы-вымогатели. По нашим данным, заражение шифровальщиками все чаще выходит за пределы корпоративной IT-инфраструктуры и затрагивает критически важные системы и технологические процессы, что может привести к серьезным последствиям, включая остановку производства, сбои в работе оборудования и значительные финансовые потери. Кроме того, выбор киберпреступников в пользу промышленности обусловлен высокой вероятностью получения выкупа: предприятия настолько заинтересованы в бесперебойной работе и непрерывности производственных процессов, что готовы платить.

В апреле 2025 года биофармацевтическая компания MJ Biopharm подверглась атаке программы-вымогателя, в результате которой были зашифрованы 15 серверов с конфиденциальной информацией. Кибератака серьезно нарушила операционную деятельность компании, заблокировав доступ к критически важным данным и парализовав работу внутренних систем. Неизвестный злоумышленник оставил сообщение с требованием выплатить 80 000 долларов в обмен на ключ для восстановления доступа к данным.

По итогам первого полугодия 2025 года социальная инженерия продолжает занимать одно из ведущих мест среди методов атак как на организации (50%), так и на частных лиц (93%). Основным каналом социальной инженерии в атаках на организации остается электронная почта (88%), в атаках на частных лиц — сайты (69%). При этом злоумышленники стали активно использовать мессенджеры в атаках на частных лиц. По сравнению с предыдущим полугодием этот канал стал применяться для социальной инженерии на 11 п. п. чаще. В последнее время одним из самых популярных мессенджеров среди киберпреступников стал Telegram. Он совмещает в себе преимущества мессенджера для повседневного общения и площадки, через которую злоумышленники могут эффективно распространять противозаконные товары и услуги. Кроме того, Telegram пользуется особым доверием у пользователей благодаря своей политике приватности и анонимности, удобству в использовании и независимости от других источников информации, что увеличивает количество потенциальных жертв. По данным Координационного центра доменов .RU/.РФ, за последние два месяца 2024 года количество атак на пользователей Telegram выросло в 19 раз.

С начала 2025 года злоумышленники стали массово использовать тактику распространения вредоносного ПО через веб-ресурсы. В первом полугодии доля таких атак достигла 13%, что почти в два раза выше показателя за аналогичный период прошлого года. За последние три года этот показатель никогда не был так высок. Тренд вызван возросшей популярностью схем обмана, использующих популярные платформы и позволяющих обмануть даже самых осторожных пользователей. Рассмотрим их подробнее.

Веб-сервисы для проектов с исходным кодом GitHub и GitLab стали популярным местом хранения и распространения вредоносной нагрузки. Злоумышленники размещают фиктивные проекты, цель которых — заставить жертву запустить вредоносный код, отвечающий за извлечение дополнительных компонентов из контролируемого злоумышленником репозитория и их выполнение. Таким образом на устройства жертв загружаются трояны удаленного доступа и шпионское ПО.

В России, Бразилии и Турции фиксировали кампанию, нацеленную на геймеров и криптовалютных инвесторов под видом проектов с открытым исходным кодом, размещенных на GitHub. Вся предполагаемая функциональность проектов была поддельной. На устройства загружался инфостилер, и киберпреступники крали личные и банковские данные и адреса криптокошельков.

Целевые жертвы подобных атак — разработчики. Встраивая вредоносное ПО в рабочие процессы программистов, злоумышленники могут скомпрометировать не только отдельных жертв, но и проекты и системы, в которые они вносят свой вклад.

Группировка Lazarus активно использует эту тактику: во время целевой атаки на разработчиков группировка внедряла JavaScript-имплант с помощью репозитория с открытым исходным кодом. Это вредоносное ПО предназначено для сбора системной информации и может быть встроено в сайты и пакеты npm, что создает риск для цепочки поставок. Подтверждено 233 жертвы этой кампании в США, Европе и Азии.

В первом полугодии 2025 года широкое распространение получила техника тайпсквоттинга¹. Особенно уязвимыми оказываются экосистемы с открытым исходным кодом, которые часто используются разработчиками как в личных, так и в коммерческих проектах. Атакующие рассчитывают на то, что разработчики или обычные пользователи могут случайно допустить опечатку при вводе названий необходимых библиотек или пакетов — и загрузить на свои устройства поддельные, но схожие по названию пакеты.

Так, исследователи Socket выявили шесть вредоносных npm-пакетов, связанных с хакерской группировкой Lazarus. Эти пакеты уже были загружены 330 раз и предназначены для кражи учетных данных, установки бэкдоров на зараженные системы и похищения конфиденциальной криптовалютной информации.

В июне 2025 года исследователи зафиксировали новую волну атак через зараженные пакеты в репозиториях Python Package Index (PyPI) и npm. Злоумышленники маскировали вредоносный код под легитимные библиотеки, используемые в разработке на Python и JavaScript. Один из обнаруженных примеров — пакет chimera-sandbox-extensions в PyPI, выдававший себя за инструмент для машинного обучения, но на самом деле собиравший токены аутентификации, переменные окружения и данные конфигураций. В экосистеме npm исследователи из Veracode и SafeDep обнаружили сразу несколько вредоносных пакетов, которые суммарно были загружены более 3600 раз. Они использовали сложные методы маскировки и запускали многоэтапные атаки, включающие загрузку троянов удаленного доступа, которые позволяли злоумышленникам полностью контролировать зараженные системы.

Специалисты PT ESC также выявили вредоносные пакеты в репозитории PyPI. Атака была нацелена на разработчиков, ML-специалистов и простых энтузиастов, которым могла быть интересна интеграция DeepSeek в свои системы. Найденные пакеты могли собирать данные о пользователе и его компьютере, а также похищать переменные окружения после установки в систему. Вредоносная функциональность выполнялась при вызове консольных команд «deepseeek» или «deepseekai», в зависимости от установленного пакета. Переменные окружения часто содержат конфиденциальные данные, необходимые для работы приложений, например API-ключи для S3-хранилища, учетные данные для баз данных и доступы к другим инфраструктурным ресурсам.

Электронная почта продолжает оставаться основным каналом распространения вредоносного ПО в атаках на организации с начала прошлого года и до сегодняшнего дня. Однако в последнее время злоумышленники все чаще отказываются от традиционных методов доставки, таких как зараженные документы или вредоносные ссылки, и переходят к использованию форматов, которые труднее обнаружить.

LNK-файлы — это обычные ярлыки, которые используются в операционной системе Windows для удобного доступа к другим файлам, папкам или программам. Обычно такие файлы не считаются опасными, так как сами по себе они не содержат исполняемого кода. Однако злоумышленники научились использовать особенности работы этих файлов для запуска вредоносных программ. Так, по данным исследовательского подразделения компании Palo Alto Networks, за год количество обнаруженных вредоносных LNK-файлов выросло более чем в три раза.

Эту технику взяли на вооружение многие хакерские группировки, специализирующиеся на кибершпионаже и финансовых преступлениях: Kimsuky, Confucius, Skeleton Spider, Ocean Lotus, Charming Kitten. В апреле 2025 года исследователи из Seqrite Labs выявили кампанию Swan Vector, приписываемую одной из APT-группировок, действующих в Восточной Азии. Она была направлена на образовательные учреждения и машиностроительные предприятия в Китае и Японии. Злоумышленники использовали фишинговые письма с вложениями в виде архивов, содержащих вредоносные LNK-файлы, которые запускали многоэтапную цепочку заражения.

В другой серии атак, направленной на российские организации из сферы промышленности, энергетики и ЖКХ, группировка PhantomCore тоже использовала фишинговые письма, в которых содержались архивы с вредоносными LNK-файлами, замаскированными под PDF-документы. После открытия ярлыка запускался бэкдор, позволяющий злоумышленникам удаленно управлять зараженной системой. Атака была направлена на получение доступа к конфиденциальной информации и длительное скрытое пребывание внутри сети организации.

Киберпреступники активно используют LNK-файлы и в атаках, направленных на частных лиц. Так, в одной из недавно обнаруженных фишинговых кампаний вредоносные ярлыки, замаскированные под налоговые документы, при открытии запускали многоэтапную цепочку заражения с использованием PowerShell-команд, обеспечивающих загрузку шпионского ПО Stealerium, предназначенного для кражи личных данных, паролей, информации из браузеров, криптокошельков и другой конфиденциальной информации.

На протяжении всего первого полугодия 2025 года мы наблюдали атаки, в которых для проникновения в системы использовалась техника ClickFix. В ее основе лежат методы социальной инженерии, цель которых — побудить пользователя самостоятельно инициировать заражение своего устройства вредоносным ПО. Злоумышленники маскируют вредоносные действия под привычные интерфейсные элементы: CAPTCHA, инструкции по открытию файлов, фейковые обновления программ или системные уведомления. При этом визуальное оформление этих элементов тщательно имитирует легитимные процессы, что существенно снижает бдительность пользователей и повышает эффективность подобных атак. По данным ESET Research, в первом полугодии 2025 года доля атак, в которых использовалась техника ClickFix, выросла более чем на 500% по сравнению со вторым полугодием 2024 года.

Большинство таких атак нацелено на пользователей Windows и заключается в запуске на целевом устройстве PowerShell-скриптов, используемых для последующей загрузки программ-вымогателей или инфостилеров. Однако во II квартале 2025 года исследователи из Hunt.io выявили вариацию техники ClickFix, адаптированную для пользователей Linux. Атака, приписываемая группировке APT36 (Transparent Tribe), начинается с фишингового сайта, на котором пользователям предлагается ознакомиться с поддельным пресс-релизом. При переходе по ссылке сайт определяет операционную систему пользователя и перенаправляет его на соответствующую страницу с CAPTCHA. В результате в систему загружается bash-скрипт, который извлекает JPEG-изображение с сервера злоумышленников. Хотя текущая версия скрипта безвредна, исследователи предполагают, что этот вектор атаки находится на стадии тестирования. В будущем атакующие могут заменить изображение на вредоносный код, реализующий полноценное удаленное управление или сбор конфиденциальных данных.

Во II квартале 2025 года техника ClickFix впервые стала использоваться в атаках на российские организации. Ранее аналогичные атаки наблюдались только в отношении зарубежных компаний. Злоумышленники рассылали фишинговые электронные письма с PDF-файлами, замаскированными под официальные сообщения от силовых ведомств, и с помощью поддельной CAPTCHA заставляли пользователей вручную запускать вредоносный код. Атака включала загрузку трояна удаленного доступа через PNG-изображения с политическими мемами и была направлена на сбор конфиденциальных данных и удаленное управление скомпрометированными системами. В мае и начале июня от этой кампании пострадали минимум 30 российских организаций.

Во II квартале в успешных атаках на организации мы отмечаем значительный рост интереса злоумышленников к вредоносному ПО (76%, на 26 п. п. больше по сравнению с предыдущим кварталом и на 12 п. п. — по сравнению с аналогичным периодом 2024 года). Оно остается одним из самых эффективных инструментов кибератак благодаря своей способности быстро проникать в целевые системы, длительное время оставаться незамеченным и обеспечивать злоумышленникам устойчивый контроль над захваченными ресурсами. По данным Координационного центра доменов .RU/.РФ, в апреле в российском интернете продолжало расти число случаев распространения вредоносного ПО.

Однако с развитием механизмов обнаружения вредоносного кода злоумышленникам приходится искать новые пути обхода средств защиты, разрабатывая все более скрытные вариации своих вредоносных программ. К примеру, в период с апреля по июнь исследователи из Arctic Wolf Labs наблюдали использование новых версий шпионской программы GIFTEDCROOK, которая из примитивного сборщика данных из браузеров эволюционировала в мощный инструмент для проведения кампаний кибершпионажа. Обновленные версии GIFTEDCROOK 1.2 и 1.3 получили функциональность, которая позволяет им не только красть данные из популярных браузеров, но и сканировать файловую систему на предмет наличия документов, созданных или измененных за последние 45 дней. При этом особое внимание уделяется файлам определенных форматов (DOC, PDF, XLSX, EML и др.) и конфигурационным файлам VPN-подключений. Используя эти возможности GIFTEDCROOK, злоумышленники могут красть не только учетные данные, но и крайне чувствительную информацию, относящуюся к коммерческой или государственной тайне.

Особый креатив в вопросе внедрения новых возможностей проявляют операторы вредоносных программ, которые распространятся по модели malware as a service (MaaS). В одном из недавних обновлений своего вируса-шифровальщика злоумышленники из группировки Qilin добавили функцию Call Lawyer, позволяющую привлекать юристов для усиления давления на организации, заставляя их платить выкуп. Эта функция, интегрированная в панель управления вредоносным ПО, предоставляет возможность консультаций по максимизации финансового ущерба от атаки, правовой оценке украденных данных и даже прямых переговоров с представителями пострадавшей компании.

Другой пример — вирус-шифровальщик Anubis, который недавно получил новый модуль под названием wiper. Этот модуль добавляет функциональность, позволяющую вредоносу не просто шифровать файлы, а полностью удалять их со взломанного устройства. После активации wiper-функция стирает содержимое всех выбранных файлов, оставляя только их имена и структуру каталогов. Таким образом, даже в случае оплаты выкупа восстановление данных становится невозможным, поскольку все файлы превращаются в пустышки размером 0 килобайт.

В первом полугодии 2025 года в успешных атаках на организации чаще всего использовались шифровальщики (49% атак), ВПО для удаленного управления (33%) и шпионское ПО (22%). В успешных атаках на частных лиц на протяжении всего рассматриваемого периода сохраняется тренд на использование шпионского ПО (45%) и продолжение повышенного интереса к банковским троянам (20%, на 6 п. п. больше, чем в прошлом полугодии, и на 8 п. п. — по сравнению с аналогичный периодом предыдущего года). По данным компании ThreatFabric, с марта 2025 года кампании по распространению банковского трояна Crocodilus существенно расширились. Первоначально он был замечен в операциях на территории Европы, при этом основное внимание злоумышленников было сосредоточено на Турции. Однако последние данные указывают на увеличение числа кампаний, направленных уже на другие европейские страны, а также на Южную Америку. Особое внимание исследователей привлекла кампания, нацеленная на пользователей в Польше. Злоумышленники маскировали троян под официальные приложения банков и платформы электронной коммерции. Для продвижения использовались рекламные объявления в Facebook, предлагающие загрузить приложение для получения бонусных баллов.

Инструментарий злоумышленников постоянно расширяется за счет разработки новых вредоносных программ. Аналитики из Insikt Group выявили два новых семейства вредоносного ПО — TerraStealerV2 и TerraLogger, — связанных с группировкой Golden Chickens (она же Venom Spider), известной своими MaaS-услугами для таких киберпреступных группировок, как FIN6 и Cobalt Group. TerraStealerV2 нацелен на кражу учетных данных из браузеров, информации о криптокошельках и расширениях Chrome. Он использует Telegram и легитимные утилиты Windows для эксфильтрации украденных данных. TerraLogger представляет собой автономный кейлоггер, записывающий нажатия клавиш в локальные файлы. Оба семейства вредоносов находятся на стадии активной разработки и пока не обладают высоким уровнем скрытности, характерным для более зрелых инструментов, разработанных этой группировкой. Тем не менее, учитывая опыт Golden Chickens в создании разных видов вредоносных программ, можно ожидать дальнейшего развития этих инструментов.

Загрузчики — это еще один пример того, как быстро развивается современное вредоносное ПО. По нашим данным, во II квартале эти вредоносные программы обрели особую популярность у киберпреступников. Доля использования загрузчиков в атаках на организации не была так высока с начала 2023 года и превысила показатель предыдущего квартала в три раза. Подобная тенденция также связана с усложнением кибератак: злоумышленники все чаще используют загрузчики для многоэтапного развертывания вредоносного ПО с целью затруднить обнаружение и анализ угрозы. На первых этапах атаки используются сильно обфусцированные или полиморфные компоненты, которые скрывают свое истинное назначение от антивирусных программ. Лишь на финальном этапе загружается полезная нагрузка — стилеры, трояны удаленного доступа или вирусы-шифровальщики. К примеру, злоумышленники использовали новый загрузчик ModiLoader (DBatLoader), который распространялся через фишинговые письма с вложениями, выдаваемыми за официальные банковские документы. На завершающем этапе атаки в систему загружалось шпионское ПО SnakeKeylogger, способное перехватывать нажатия клавиш, собирать данные из буфера обмена и сохраненные учетные записи.

Во II квартале в успешных атаках на организации мы также фиксируем рост использования легального ПО (11%, на 7 п. п. больше, чем в прошлом квартале, и на 9 п. п. — по сравнению со II кварталом 2024 года). Злоумышленники постоянно пополняют свой арсенал новыми легальными программами. Так, в одной из недавних атак группировки вымогателей Fog исследователи из Symantec обнаружили крайне нетипичный для этих злоумышленников набор инструментов, включавший как легальные программы, так и малоизвестные опенсорсные утилиты. Среди них была обнаружена Syteca — легальная программа, предназначенная для удаленного мониторинга активности сотрудников с возможностью записи экрана и перехвата нажатий клавиш. Для скрытой доставки Syteca применялся прокси-инструмент Stowaway, а запуск осуществлялся через SMBExec из фреймворка Impacket. Также в атаке использовались популярные утилиты PsExec, Process Watchdog, 7-Zip, MegaSync и FreeFileSync.

В конце мая 2025 года специалисты PT ESC зафиксировали новые атаки группировки Rare Wolf (она же Rezet), нацеленные на российские предприятия военно-промышленного комплекса. В ходе текущей кампании эксперты отметили, что вместо публичного инструмента туннелирования ngrok злоумышленники стали создавать скрытый и надежный канал связи с C2-сервером через обратный SSH-туннель с использованием утилиты Tuna и процесса sshd.

В январе 2025 года DeepSeek представил бесплатную большую языковую модель с отрытым исходным кодом R1 и привлек большое внимание на мировом рынке искусственного интеллекта. Однако эта новообретенная популярность привлекла также и злоумышленников, которые используют имя DeepSeek в преступных целях.

В одной кампании киберпреступники создавали фишинговые сайты, которые имитировали официальный сайт DeepSeek, и использовали их для распространения вредоносных программ. Знакомый интерфейс заставлял ничего не подозревающих пользователей верить, что они скачивают официальное приложение DeepSeek.

В другой кампании киберпреступники создали убедительный поддельный сайт DeepSeek, связанный с вредоносной рекламой Google. При нажатии на кнопку загрузки появлялась троянская программа на основе MSIL. Исследователи также обнаружили другие поддельные рекламные объявления Google, написанные на разных языках.

Также появилась новая волна атак типа LLMjacking, нацеленная на модель DeepSeek, где злоумышленники с помощью OpenAI Reverse Proxy похищали API-ключи облачных сервисов и перепродавали доступ к моделям через теневые сервисы в дарквебе, что приводило к значительным финансовым потерям владельцев скомпрометированных аккаунтов.

В феврале 2025 года компания xAI выпустила новую версию чат-бота Grok 3, которая стала доступна бесплатно всем пользователям. Как и в случае с DeepSeek, под видом популярной языковой модели злоумышленники продолжили распространять вредоносное ПО. В одной из кампаний они использовали домены, имитирующие ресурсы, связанные с DeepSeek V3 и R1, предлагая пользователям скачать клиент для Windows с доступом к функциям моделей. Однако вместо программы пользователи получали архив с ранее неизвестным инфостилером, который собирал конфиденциальные данные из браузеров, логины и пароли от почты, аккаунтов в играх и других сервисах, а также информацию из криптокошельков. Позднее злоумышленники адаптировали свою схему, заменив DeepSeek на Grok. После выхода улучшенной версии Grok 3 они воспользовались возросшей популярностью этой модели. При этом сам вредонос и метод его распространения не изменились.

Волна подобных инцидентов продолжилась и во II квартале года. Так, в мае исследователи обнаружили, что малоизвестные группировки, занимающиеся вымогательством, активно используют популярность ИИ-инструментов для распространения шифровальщиков CyberLock, Lucky_Gh0$t и Numero. Заражении происходит через SEO-отравление и вредоносную рекламу: злоумышленники выводят свои фишинговые страницы в топ поисковой выдачи по запросам, связанным с ИИ-программами.

Мы отмечаем снижение доли использования шпионского ПО в атаках до 16% за счет резкого роста популярности шифровальщиков в I квартале года. Однако шпионское ПО нельзя недооценивать. Использование скомпрометированных учетных данных — это дешевый и легкий метод проникновения в инфраструктуру. Используя украденные инфостилерами данные, злоумышленники реализуют дальнейшие атаки, более масштабные и разрушительные.

Группировка HELLCAT взяла на вооружение этот способ и выложила в дарквеб несколько утечек крупных компаний — французского телекома Orange, английской автомобильной компании Jaguar Land Rover и испанского телекома Telefónica. Все атаки начинаются с того, что простой инфостилер крадет учетные данные Jira или Confluence. С этого момента киберпреступники сразу же приступают к извлечению больших объемов данных с внутренних серверов, а после выкладывают их на теневые форумы.

Утечка Orange занимает 7,19 ГБ и содержит внутренние документы, переписку. Украденные из Telefónica данные включали в себя 24 тыс. адресов электронной почты и имен сотрудников, 500 тыс. записей из Jira и 5 тыс. внутренних документов.

Jaguar Land Rover стала жертвой двух последовательных кибератак, совершенных с разницей в пять дней разными преступными группами. В обоих случаях злоумышленники использовали скомпрометированные учетные данные к серверу Jira, принадлежащие сотруднику компании LG Electronics. Эти данные были украдены и выложены в дарквеб еще в 2021 году. В результате атак были похищены гигабайты конфиденциальной информации, включая служебные документы, исходный код, а также персональные данные сотрудников и партнеров.

Часто учетные данные и другая конфиденциальная информация, которые злоумышленники похищают с помощью шпионского ПО, записываются в единую базу данных. Операторы стилеров, которые обычно распространяются по модели stealer as a service, продают доступ к этим данным другим киберпреступным группировкам, которые используют их для своих атак. Однако из-за неправильных параметров безопасности такие базы данных могут оказаться в открытом доступе, раскрывая утечки огромных объемов конфиденциальной информации. Так, в июне 2025 года исследователи обнаружили в открытом доступе базу данных, содержащую 16 млрд записей, среди которых логины и пароли от популярных онлайн-сервисов, социальных сетей, мессенджеров, корпоративных систем и государственных платформ, а также токены аутентификации, куки и другие метаданные. Несмотря на то что многие из этих данных могли устареть или могли быть опубликованы ранее в других утечках, среди них могут быть и актуальные учетные данные. Такие масштабные утечки повышают риск вторжения в корпоративные сети с использованием скомпрометированных учетных данных сотрудников, особенно учитывая, что многие из них используют корпоративные адреса электронной почты и одинаковые пароли для регистрации в различных онлайн-сервисах.

Эксплуатация уязвимостей продолжает оставаться одним из самых эффективных методов атак на организации: она использовалась в 31% успешных атак.

Самой громкой в I квартале стала критически опасная уязвимость в устройствах Ivanti Connect Secure CVE-2025-0282. Это RCE-уязвимость, вызванная переполнением стека. Она позволяет удаленному злоумышленнику, не прошедшему аутентификацию, выполнять удаленный код на устройствах жертв. Множество атакующих взяло ее на вооружение и стало активно применять в атаках:

• по данным компании Mandiant, уязвимость активно используется китайской кибершпионской группировкой UNC5337;
• компания Microsoft сообщила, что уязвимость также эксплуатировалась другой китайской группой — Silk Typhoon, ранее известной как Hafnium;
• Nominet, официальный регистратор доменных имен .UK и один из крупнейших регистраторов доменных имен в мире, стал жертвой эксплуатации этой уязвимости;
• американское агентство CISA сообщило о новой версии вредоносного ПО под названием RESURGE, которое применяется при эксплуатации уязвимости. Одна из ключевых особенностей этой вредоносной программы — ее умение выживать после перезагрузки системы и незаметно внедряться в критически значимые процессы.

По итогам II квартала наиболее значимой стала критически опасная уязвимость в платформе интеграции приложенный и данных SAP NetWeaver CVE-2025-31324, которую оценили в максимальные 10 баллов по шкале CVSS 3.1. Уязвимость позволяет неаутентифицированному злоумышленнику загружать на сервер произвольные файлы, включая вредоносные. Это дает ему возможность обходить средства защиты, напрямую размещать и запускать вредоносный код на уязвимых устройствах. В период активной эксплуатации уязвимости в мире насчитывалось более 3400 уязвимых серверов SAP NetWeaver, доступных в интернете. Злоумышленники использовали эту уязвимость в разных сценариях атак:

• по данным Forescout, группировка Chaya_004, предположительно связанная с Китаем, использовала уязвимость для загрузки кастомных веб-шеллов на устройства и проведения шпионских операций;
• исследователи из EclecticIQ сообщили, что уязвимость эксплуатировалась группировками UNC5221, UNC5174 и CL-STA-0048 для проникновения в корпоративные сети с целью сбора конфиденциальных данных;
• по данным ReliaQuest, уязвимость также использовалась группировками вымогателей BianLian и RansomEXX.

Другие заметные уязвимости, которые активно эксплуатировались в I–II кварталах:

• CVE-2024-4577 — критически опасная RCE-уязвимость в PHP-CGI, которая затрагивает Windows-сборки PHP с активным режимом CGI. Она позволяет злоумышленникам удаленно выполнять вредоносные команды в Windows-системах. Злоумышленники использовали уязвимость для атак на японские организации начиная с января 2025 года. Они стремились похитить учетные данные атакованных организаций, закрепиться во взломанных системах, повысить привилегии до уровня SYSTEM и развернуть различные инструменты и фреймворки. Исследователи из GreyNoise предупреждают, что стоящие за этой вредоносной активностью злоумышленники действуют гораздо шире и атакуют уязвимые устройства по всему миру. По их словам, с января 2025 года значительное увеличение количества атак наблюдается в США, Индонезии, Индии, Малайзии и других странах.
• CVE-2024-27564 — уязвимость, связанная с подменой запросов на стороне сервера (SSRF) в ChatGPT, которая позволяет удаленным злоумышленникам заставить приложение выполнять произвольные запросы путем внедрения произвольных URL-адресов в параметр. Исследователи Veriti наблюдали более 10 тысяч попыток атак в неделю со стороны нескольких злоумышленников. Наиболее частые цели — правительственные организации в США, но атаки также были нацелены на финансовые и медицинские компании в Германии, Таиланде, Индонезии, Колумбии и Великобритании.
• CVE-2025-24071 — уязвимость, затрагивающая широкий спектр операционных систем Windows. Она связана с механизмом обработки файлов в «Проводнике», который при распаковке файлов из архива автоматически анализирует файл с расширением .library-ms, содержащий ссылку на общую сетевую папку. Успешная эксплуатация уязвимости позволяет неавторизованному злоумышленнику перехватывать NTLM-хеш-суммы через созданные сетевые ресурсы общего доступа, что приводит к краже учетных данных и расширению возможностей для компрометации. Эксперты PT ESC обнаружили попытки эксплуатации уязвимости в организациях в России и Белоруссии.
• CVE-2024-24919 — уязвимость в шлюзах безопасности Check Point, которая позволяет неавторизованным злоумышленникам читать произвольные файлы на устройствах для межсетевого экранирования. Злоумышленники использовали уязвимость для проникновения в организации в Европе, Африке и Америке. Атаки в первую очередь были нацелены на производственный сектор, но также затронули предприятия в сфере здравоохранения, логистические и энергетические компании.
• CVE-2017-11882 — уязвимость в редакторе уравнений из пакета Microsoft Office, которая позволяет злоумышленнику выполнять произвольный код в контексте текущего пользователя. Для эксплуатации уязвимости атакующий должен создать вредоносный файл и убедить жертву открыть его. Масштабная фишинговая атака группировки ТА558 произошла 27 января и затронула финансовые, логистические, строительные, туристические и промышленные компании в России и Белоруссии. Вложенные файлы в письмах активировали вредоносное ПО, использующее эту уязвимость, эксплуатация которой запускала программу Remcos RAT. Это дает злоумышленникам удаленный контроль над системой жертвы.
• CVE-2024-52875 — критически опасная уязвимость в продукте GFI KerioControl типа CRLF Injection, которая позволяет выполнять удаленный код при помощи одного клика. Платформа мониторинга угроз GreyNoise зафиксировала попытки эксплуатации уязвимости с четырех различных IP-адресов. Эти действия признаны вредоносными и связываются с атаками, а не исследовательской деятельностью. По данным Censys, в сети насчитывается более 23 тыс. экземпляров KerioControl с открытым доступом.
• CVE-2025-2783 — критически опасная уязвимость в браузере Google Chrome на Windows, которая позволяет злоумышленнику обойти защитные механизмы встроенной песочницы и выполнить на удаленном устройстве пользователя произвольный код. Эта уязвимость использовалась в APT-атаках на российские организации в марте 2025 года. Злоумышленники из группировки Operation ForumTroll рассылали фишинговые письма, содержащие вредоносные ссылки, переход по которым приводил к заражению Windows-устройств ранее неизвестным вредоносным ПО. Основными целями кампании были государственные организации, образовательные учреждения и СМИ. Предположительно, основной целью злоумышленников был шпионаж.
• CVE-2025-5419 — вторая критически опасная уязвимость нулевого дня, исправленная Google в 2025 году. Она затрагивает версии браузера Google Chrome до 137.0.7151.68 на компьютерах под управлением Windows, macOS и Linux. Эксплуатируя эту уязвимость, злоумышленник может создать специальную HTML-страницу, которая при открытии в браузере вызовет переполнение кучи, позволяющее атакующему читать или записывать данные за пределами выделенной для программы области памяти. В результате устройство пользователя становится уязвимым к потенциальному выполнению произвольного кода, и злоумышленник может удаленно запустить там свою вредоносную программу. Подобные атаки могут привести к краже конфиденциальных данных, установке вредоносного ПО или полной компрометации системы.
• CVE-2025-4427, CVE-2025-4428 — две уязвимости в ПО для управления мобильными устройствами Ivanti Endpoint Manager Mobile (EPMM), которые начали активно эксплуатироваться с середины мая 2025 года. Исследователи из Wiz отмечают, что атаки затрагивают не только on-premise-решения, но и экземпляры, развернутые в облаке. Уязвимость CVE-2025-4427 допускает возможность обхода аутентификации, открывая доступ к защищенным ресурсам на уязвимом устройстве, а через эксплуатацию уязвимости CVE-2025-4428 авторизованный злоумышленник может удаленно выполнять вредоносный код. Объединение этих уязвимостей в цепочку позволяет получить полный контроль над взломанным устройством: запустить на нем вредоносное ПО, выгрузить данные конфигурации — и развивать атаку далее в корпоративной сети.

С расширенным списком наиболее популярных уязвимостей можно ознакомиться в ежемесячном дайджесте на нашем сайте.

Чаще всего злоумышленникам удавалось украсть конфиденциальные данные (52% успешных атак на организации и 74% атак на частных лиц). Другое частое последствие для организаций — это нарушение основной деятельности, к нему приводило 45% успешных атак. Это на 13 п. п. больше, чем в предыдущем полугодии. Успешные атаки на частных лиц приводили к прямым финансовым потерям в 26% случаев.

Атаки в I–II кварталах, которые повлекли за собой негативные последствия и вызвали большой резонанс:

• В приграничном американском городе Мишен, штат Техас, администрация попросила губернатора ввести чрезвычайное положение из-за возможной утечки данных после кибератаки на правительственные системы. Мэр города сообщила об отключении части сетевых ресурсов; полиция, к примеру, потеряла возможность проверять номерные знаки и водительские удостоверения.
• Кража денежных средств у криптобиржи Bybit на неслыханную сумму в 1,46 млрд долларов с криптокошелька ETH. Украденные деньги сразу разбили на меньшие суммы и перевели на почти 50 различных адресов. Предполагаемый преступник, стоящий за кражей, это группировка Lazarus. Атака была произведена за счет изменения логики смарт-контракта.
• Кибератака вымогателей Qilin на медиахолдинг Lee Enterprises привела к серьезным последствиям — к задержкам в выпуске 79 печатных и цифровых изданий, сбоям в ключевых бизнес-процессах, включая доставку газет и выставление счетов, а также к утечке конфиденциальных данных, в том числе сканов удостоверений личности и корпоративных документов.
• Масштабная кибератака на систему «Платон»², связанная с атакой на провайдера связи, привела к серьезным последствиям: сбои в работе сервиса парализовали движение грузовиков по всей России, поскольку водители не могли оформить маршрутные карты, что повлекло за собой нарушения в цепочке поставок товаров, включая задержки доставки продуктов в магазины.
• Крупный британский ритейлер Marks & Spencer подтвердил утечку персональных данных клиентов после кибератаки с использованием программы-вымогателя, которая привела к шифрованию серверов и остановке работы с онлайн-заказами. Акции Marks & Spencer упали примерно на 12% за месяц, а общие убытки от инцидента составили около 300 млн фунтов.
• Компания Fasana, производитель бумажных салфеток из Германии, объявила о банкротстве после масштабной кибератаки 19 мая, которая парализовала ее системы и привела к потере около 2 млн евро за две недели простоя. В результате инцидента были остановлены производство, выплата зарплат и обработка заказов на сумму свыше 250 000 евро.
• Неизвестные хакеры взломали систему управления плотиной в норвежской коммуне Бремангер, полностью открыв клапан на четыре часа. По предположению экспертов, атака стала возможной из-за использования слабого пароля для доступа к веб-интерфейсу управления клапаном. Хотя превышение расхода воды было незначительным и не привело к аварии, инцидент продемонстрировал уязвимость критически значимой инфраструктуры для кибератак.
• Крупнейший оптовый дистрибьютор продуктов питания в Северной Америке United Natural Foods подвергся кибератаке, в результате которой были нарушены процессы поставок продукции и обслуживания клиентов. Располагая 53 распределительными центрами и обслуживая более 30 тысяч торговых точек в США и Канаде, компания столкнулась с перебоями в поставках, массовыми сбоями во внутренних платформах и отменой рабочих смен сотрудников, что привело к снижению объемов продаж и росту операционных издержек. Компания также отметила, что инцидент окажет существенное влияние на финансовые показатели по итогам года.

В успешных атаках на организации, повлекших утечки конфиденциальной информации, преступники чаще были нацелены на учетные данные (25% успешных атак), персональные данные (17%) и коммерческую тайну (15%). В атаках на частных лиц целью злоумышленников чаще всего становились учетные данные (32%), данные платежных карт (19%), персональные данные (12%) и переписка (11%).

Мы отмечаем снижение количества атак на организации, повлекших за собой утечку персональных данных: этот показатель снизился на 9 п. п. по сравнению с предыдущим полугодием и на 14 п. п. по сравнению с аналогичным периодом в прошлом году. Такая тенденция связана с ужесточением требований по защите персональных данных, регулярно внедряемых как в европейском, так и в отечественном законодательстве. В преддверии введения оборотных штрафов за утечки персональных данных в России значительно возрос спрос на решения класса data loss prevention, позволяющие предотвратить случайные или намеренные утечки данных, которые могут произойти из-за действий сотрудников компании.

• Крупнейшая российская электронная торговая площадка государственных и корпоративных закупок Росэлторг подверглась кибератаке со стороны группировки Yellow Drift. Злоумышленники заявили об удалении 550 ТБ данных, включая электронные письма и резервные копии. Кибератака затронула клиентов платформы, включая государственные учреждения и поставщиков.
• Правительство Испании расследует масштабную утечку данных, в результате которой были раскрыты личные данные примерно 160 тыс. сотрудников гражданской гвардии и министерства обороны. Среди прочего скомпрометированы имена, электронные адреса, служебные идентификаторы, даты рождения и результаты медицинских проверок.
• Злоумышленники получили доступ к базам данных клиентов телеком-оператора «Ростелеком». В качестве доказательства взлома группировка Silent Crow опубликовала на одном из дарквеб-ресурсов скриншоты таблиц, которые в общей сложности содержат 154 тыс. адресов электронной почты и 101 тыс. телефонных номеров. Предположительно, в украденные базы данных попали данные сервисов company.rt.ru и zakupki.rostelecom.ru. После появления в Сети информации об утечке «Ростелеком» заявил, что она, вероятно, могла произойти по вине одного из подрядчиков.
• Крупная утечка данных произошла в компании Oracle Health, которая предоставляет IT-услуги для здравоохранения. Атака затронула множество больниц и других медицинских учреждений в США. Злоумышленник похитил информацию пациентов с устаревших серверов, использовав скомпрометированные учетные данные. Похищенная информация включает в себя данные пациентов из электронных медицинских карт.
• Индийская компания Zoomcar сообщила о кибератаке, в результате которой хакерами был получен доступ к данным 8,4 млн пользователей. В ходе расследования было установлено, что были украдены имена, номера телефонов, домашние адреса, адреса электронной почты и регистрационные номера автомобилей. При этом финансовая информация и пароли скомпрометированы не были.
• Исследователи Resecurity обнаружили в дарквебе 7,4 млн записей с персональными данными граждан Парагвая, которые были украдены хакерской группировкой Cyber PMC. Злоумышленники требуют выкуп в размере 7,4 млн долларов — по доллару за каждого гражданина. Утечка включает данные из нескольких государственных систем, в числе которых Национальное агентство дорожного движения и дорожной безопасности, Министерство здравоохранения и социального обеспечения, а также еще одна неизвестная система. Правительство Парагвая отказалось платить выкуп и не раскрыло источник утечки, несмотря на предыдущие инциденты, связанные с массовыми утечками данных в стране.
• Британский онлайн-брокер Infinox пострадал от атаки группировки вымогателей Arkana. По заявлению злоумышленников, в результате инцидента было похищено около 50 ГБ конфиденциальных данных компании. Среди украденных данных — KYC-информация более чем по 202 тыс. заявок и персональные данные 163 тыс. клиентов, включая имена, даты рождения, номера документов, сканы водительских прав и паспортов. Также были скомпрометированы метаданные и журналы серверов с IP-адресами и данными о пользовательских устройствах.
• В ходе журналистского расследования, проведенного совместно двумя международными изданиями, были обнаружены и проанализированы сотни подробных технических документов, касающихся инфраструктуры ряда российских стратегических объектов. Данные документы содержали чертежи и спецификации, относящиеся к модернизации и переоснащению одного из ключевых ядерных объектов страны. Эти материалы были получен через публичную базу данных государственных закупок, доступ к которой был открыт в течение некоторого времени. Исследователям удалось получить значительный объем информации, включая данные о строительстве и реконструкции объектов, поставках материалов и оборудования, а также сведения о системах безопасности и внутренней инфраструктуре. После обнаружения утечки доступ к базе данных был ограничен.
• Сразу две группировки вымогатели практически одновременно заявили о взломе систем компании Coca-Cola. Одна из них (Gehenna) разместила в сети более 64 ГБ данных, включающих 23 млн записей с информацией о клиентах, заказах, продажах и других операциях, предположительно украденных из CRM-системы Salesforce дочерней компании Coca-Cola Europacific Partners. Вторая утечка касается 502 МБ персональных данных сотрудников компании из стран Ближнего Востока. Опубликовавшая их группировка Everest сообщила, что ранее требовала выкуп за сохранение информации в тайне.