Эволюция массовых атак и стратегия защиты

В исследовании представлена информация об общемировых актуальных угрозах информационной безопасности, основанная на экспертизе компании Positive Technologies, а также на данных авторитетных источников.

Исследование основано на публичных сведениях об инцидентах информационной безопасности за первые три квартала 2025 года. Следует отметить, что информация о некоторых инцидентах может поступать значительно позже фактического времени кибератаки. В данном исследовании представлены самые актуальные данные на момент публикации.

По нашей оценке, большинство кибератак не предаются огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.

В рамках отчета каждая массовая атака¹ (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная атака вне зависимости от количества жертв. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.

• За первые три квартала 2025 года каждая пятая успешная атака на организации (20%) была массовой. При этом каждая такая атака может иметь от десятков до нескольких тысяч жертв.
• Чаще всего жертвами массовых атак на организации становятся госучреждения (12%) и промышленность (9%); эти же отрасли являются самыми атакуемыми и в целевых атаках. Высокая ценность хранимых данных, геополитическая значимость, масштабная цифровизация, а также относительно незрелые процессы кибербезопасности — все это делает госучреждения и промышленность привлекательными, уязвимыми мишенями для киберпреступников.
• Самое частое последствие массовых атак — утечки конфиденциальных данных (40%). На втором месте — использование ресурсов жертвы для проведения атак (26%). Чаще всего это DDoS-атаки с использованием ресурсов компании, фишинговые атаки, в том числе от лица жертвы, а также использование ресурсов жертвы как канала распространения ВПО и для атаки на клиентов или партнеров.
• Помимо прямых последствий, массовые атаки порождают ряд системных проблем. Они вызывают многократное увеличение нагрузки на защитные механизмы и команды реагирования. Одновременное появление множества инцидентов приводит к перегрузке команд реагирования, что затрудняет своевременное выявление и отражение угроз.
• В 56% всех массовых атак злоумышленники использовали ВПО. Это выгодный подход: вложения в разработку или покупку готового ВПО быстро окупаются за счет масштабности кампаний. Другая важная причина массового использования ВПО — его высокая эффективность и простота применения, позволяющие злоумышленникам проникать в IT-инфраструктуру организаций, развивать атаку и доводить ее до полной компрометации критически важных систем.
• ВПО для удаленного управления (RAT) лидирует в массовых атаках с использованием ВПО (34%), поскольку обеспечивает злоумышленнику полный контроль над зараженными устройствами, позволяет автоматизировать сбор данных, перемещение по сети и установку дополнительного ПО, а также используется для создания ботнетов. Это делает его идеальным инструментом для автоматизированных кампаний.
• Шпионское ПО (22%) сохраняет высокую актуальность как в массовых, так и в целевых атаках благодаря своей универсальности: оно позволяет скрытно собирать конфиденциальные данные для последующей монетизации или использования в цепочках атак. В то же время применение майнеров (19%) хотя и остается характерным для массовых кампаний, становится менее выгодным из-за снижения доходности криптомайнинга.
• Шифровальщики (14%) сегодня остаются основным инструментом целевых атак, но благодаря широкой доступности платформ ransomware as a service (RaaS) и высокой степени автоматизации их использование в массовых атаках будет расти. В ближайшем будущем можно ожидать роста доли таких кампаний за счет низкого порога входа и высокой монетизации.
• Эволюция массовых атак проходит от простых, легко обнаруживаемых сценариев (с уже известными идентификаторами компрометации и раскрытыми уязвимостями) к сложным адаптивным кампаниям, где злоумышленники применяют обфускацию кода, автоматизированное создание вредоносных файлов, ботнеты с динамической логикой. Эти техники позволяют маскировать активность, избегать сигнатурного детектирования и масштабировать атаки без риска быстрого обнаружения. В результате граница между массовыми и целевыми атаками становится все менее четкой, а эффективная защита требует перехода на решения с поведенческим анализом, машинным обучением и комбинированием классов решений EPP и EDR.
• Для защиты от массовых атак критически важны профилактика социальной инженерии и своевременное устранение уязвимостей: регулярное обучение персонала, фильтрация электронной почты, контроль за вложениями и ссылками, а также эффективный процесс управления уязвимостями.

В текущем ландшафте киберугроз массовые кибератаки являются одной из ключевых угроз для организаций: за первые три квартала 2025 года массовой была каждая пятая успешная атака на организации (20%). Масштабный характер и высокая степень автоматизации подобных атак позволяют злоумышленникам проводить кампании, охватывающие тысячи жертв по всему миру. Так, в феврале 2025 года была обнаружена массовая кампания группировки вымогателей RansomHub, которая скомпрометировала более 600 организаций, в том числе в здравоохранении, финансовой сфере, а также предприятия критически важной инфраструктуры. Злоумышленники использовали уникальные методы шифрования, продвинутые техники обхода защиты и эксплуатацию известных уязвимостей. Это позволило им зашифровать критически важные файлы и требовать выкуп за их расшифровку.

Характерными признаками массовых кампаний являются:

• одинаковые признаки компрометации у множества разных жертв (например, одни и те же вредоносные файлы или домены);
• резкие всплески активности: сканирование сетей или попытки подключений исходят либо от одного и того же провайдера, либо с большого числа распределенных прокси-серверов;
• разнообразные цели атак, которые часто ограничиваются публично доступными сервисами — например, почтовыми серверами или системами удаленного доступа;
• быстрый захват как можно большего количества систем, а не детальная разведка.

Почти половина массовых атак (47%) происходит без привязки к конкретной отрасли: злоумышленники выбирают цели, стараясь охватить как можно больше жертв, эксплуатируя стандартные векторы атак и общие уязвимости, распространенные в инфраструктуре многих организаций. Чаще всего жертвами массовых атак становятся госучреждения (12%) и промышленность (9%). Эти же отрасли наиболее часто страдают и в целевых атаках. Причина в их стратегической значимости, высокой ценности данных и в наличии системных уязвимостей как государственного сектора, так и промышленной отрасли.

Государственные структуры хранят конфиденциальную информацию о гражданах, процессах управления и национальной безопасности, что делает их главными объектами интереса злоумышленников. Их геополитическая значимость повышает привлекательность всех видов атак, особенно в условиях напряженной международной обстановки. Ярким примером служит массовая атака группировки Hazy Hawk, которая эксплуатировала неправильно настроенные DNS-записи, указывающие на заброшенные облачные сервисы. Злоумышленники регистрировали новые ресурсы с теми же именами, перехватывая контроль над поддоменами известных организаций. В результате этой автоматизированной кампании были скомпрометированы десятки доверенных доменов, включая множество государственных сервисов, а также корпоративные домены крупных компаний. Через эти поддомены распространялись фишинг, поддельные приложения и вредоносная реклама, при этом злоумышленники использовали высокий рейтинг доверия родительских доменов для маскировки своих действий в поисковых системах.

Промышленность также находится в зоне повышенного риска из-за активной цифровизации и интеграции информационных и операционных технологий, при этом уровень зрелости кибербезопасности в этой сфере остается низким. Производственные системы могут работать на устаревшем оборудовании без поддержки современных механизмов защиты, а нарушение технологического процесса может привести к остановке производства, финансовым потерям и даже к авариям. Так, в январе 2025 года группировка Rezet провела волну массовых атак на промышленные предприятия России. Жертвами стали предприятия химической, пищевой и фармацевтической промышленности. Злоумышленники рассылали фишинговые письма с фальшивыми приглашениями на семинары по стандартизации оборонной продукции. Письма содержали архив с PDF-документом и вредоносной нагрузкой, запуск которой приводил к компрометации системы.

Массовые атаки способны приводить к серьезным последствиям для организаций, включая реализацию недопустимых событий: утечки конфиденциальных данных, остановку бизнес-процессов, потерю контроля над инфраструктурой и использование скомпрометированных систем для последующих атак. Несмотря на отсутствие глубокой персонализации, присущей целевым атакам, масштаб и автоматизация позволяют наносить ущерб, сопоставимый с целевыми атаками.

Самое частое последствие массовых атак — утечка конфиденциальных данных (40% успешных атак на организации). Чаще всего злоумышленники получают доступ к учетным данным (39% массовых атак, которые привели к утечкам), данным платежных карт (14%) и коммерческой тайне (7%). В дальнейшем злоумышленники могут продать полученную информацию на теневых площадках — или использовать уже в целевых атаках (и это дополнительный риск для пострадавших организаций). Утечки могут стать причиной юридических санкций, репутационного ущерба, потери доверия со стороны партнеров и клиентов.

В 2025 году была выявлена кампания вредоносного ПО, распространяемого через поддельные проверки CAPTCHA. Через скомпрометированные сайты под видом проверки «Я не робот» в системе жертвы запускается инфостилер EDDIESTEALER. Он нацелен на кражу широкого спектра конфиденциальных данных, включая номера криптовалютных кошельков, учетные данные из браузеров, базы данных менеджера паролей, конфигурации FTP-клиентов и переписку из мессенджеров.

Более четверти массовых атак (26%) приводят к использованию скомпрометированных систем для проведения дальнейших атак, причем не только на организации, но и на частных лиц (это последствие специфическое именно для массовых кампаний). Чаще всего это DDoS-атаки с использованием ресурсов компании (46%), фишинговые атаки от лица третьих лиц или от лица жертвы (31%), а также использование ресурсов жертвы как канала распространения ВПО (14%) и атаки на клиентов или партнеров (9%). Например, в январе 2025 года произошла компрометация интернет-магазина Casio UK и еще 17 сайтов, когда злоумышленники внедрили скрытый скрипт-скиммер в процесс оформления заказа. Этот скрипт перехватывал данные кредитных карт клиентов и передавал их на серверы атакующих. При этом сайты-жертвы использовались как доверенные площадки для сбора конфиденциальной информации, что повышало доверие со стороны пользователей и снижало вероятность обнаружения атаки. Так зараженная компания становится не только жертвой, но и инструментом в цепочке киберпреступлений — в данном случае каналом для кражи данных у клиентов.

Практически каждая четвертая массовая атака за рассматриваемый период привела к нарушению основной деятельности организации (24%). Массовые атаки приводят к потере доступа к инфраструктуре или данным, сбоям в предоставлении сервисов клиентам и к нарушению внутренних бизнес-процессов. Например, уязвимость CVE-2025-6543 в Citrix NetScaler, связанная с переполнением памяти, массово использовалась злоумышленниками в атаках, направленных на отказ в обслуживании. Несколько организаций в Нидерландах были успешно атакованы с помощью этой уязвимости, а прокуратура королевства столкнулась со значительными сбоями в работе: у сотрудников не было доступа в интернет, с ними нельзя было связаться по электронной почте, а функциональность систем Citrix была ограничена.

Не стоит забывать, что, помимо прямых последствий, массовые атаки порождают ряд системных проблем. Они вызывают многократное увеличение нагрузки на защитные механизмы и команды реагирования. Одновременное появление множества инцидентов приводит к перегрузке команд SOC, CSIRT и поставщиков услуг MDR/EDR, что затрудняет своевременное выявление и отражение угроз. Постоянный поток событий генерирует большое количество ложных срабатываний, истощает аналитические ресурсы и способствует профессиональному выгоранию специалистов. В результате даже эффективные системы защиты оказываются под угрозой перегрузки, снижая общую готовность к реагированию и повышая риск критически опасных инцидентов.

Главный принцип массовых атак — это охват большого числа жертв при минимальных затратах. Ключевую роль в них играет вредоносное программное обеспечение: его злоумышленники использовали в 56% успешных массовых атак. Одной из основных причин является его высокая эффективность при относительной простоте применения: оно позволяет злоумышленникам не только проникнуть в инфраструктуру и закрепиться в ней, но и развивать атаку вплоть до полной компрометации домена и критически важных систем, что может привести к реализации недопустимых событий. На начальных этапах массовых атак именно ВПО чаще всего используется для получения первичного доступа — будь то через вредоносные почтовые вложения, фишинговые сайты или эксплуатацию уязвимостей. Современный ландшафт ВПО — разнообразный и динамичный, а выбор инструментов определяется целями атакующих и их ресурсами, при этом вложения в разработку или покупку готового ВПО быстро окупаются за счет масштабности кампаний.

Второй причиной является доступность ВПО: современный теневой рынок предлагает широкий выбор готовых вредоносных решений для покупки или по подписке, включая инфостилеры, загрузчики, RAT и даже билдеры шифровальщиков в рамках моделей ransomware as a service (RaaS). Многие инструменты стоят от нескольких десятков до нескольких сотен долларов, а утечки мануалов известных группировок, таких как LockBit и Conti, позволяют даже начинающим злоумышленникам эффективно проводить сложные атаки. Затраты на создание или аренду ВПО (например, по модели MaaS/RaaS) несопоставимы с потенциальной прибылью — будь то выкуп, продажа украденных данных или доступа к инфраструктуре. Так, в исследовании рынка киберпреступности мы рассказывали, что чистая прибыль от успешной кибератаки может в пять раз превышать затраты на ее организацию.

Наиболее популярный канал распространения вредоносного ПО — компрометация компьютеров, серверов и сетевого оборудования (52%): злоумышленники взламывают устройства, подбирая учетные данные или эксплуатируя уязвимости. Вторым каналом являются сайты (19,5%): заражение происходит при посещении поддельных или скомпрометированных ресурсов, часто через автоматическую загрузку ВПО. На третьем месте электронная почта (18,9%), которая остается одним из самых эффективных методов доставки фишинговых писем с вредоносными вложениями или ссылками.

ВПО для удаленного управления (remote access trojan, RAT) занимает первое место среди типов вредоносного ПО в массовых кибератаках, его использовали в каждой третьей успешной атаке (34% случаев). Оно идеально соответствуют ключевым характеристикам массовых атак, которые отличаются высокой степенью автоматизации, параллелизма и масштабируемости.

RAT дает злоумышленнику полный контроль над зараженными устройствами: данный тип ВПО может выполнять команды, перемещаться по сети, запускать другие программы, собирать данные и устанавливать дополнительное ПО. Это делает такие инструменты идеальными для масштабирования атаки: после успешного заражения одного устройства, злоумышленник может использовать его как входную точку для дальнейшего распространения по внутренней сети или для сбора информации. Так, в марте 2025 года группировка Head Mare провела волну атак на промышленные предприятия России, затронув около 100 организаций. Злоумышленники рассылали фишинговые письма с ZIP-вложениями. В результате на зараженных системах устанавливался Python-бэкдор PhantomPyramid, предназначенный для удаленного управления, а также легитимный инструмент MeshAgent, используемый злоумышленниками для маскировки под административное ПО.

Кроме того, злоумышленники активно используют RAT для создания ботнетов — сетей зараженных устройств, которые могут использоваться для DDoS-атак, рассылки спама, фишинга или добычи криптовалюты. Благодаря автоматизированному управлению такие ботнеты легко масштабируются: новые жертвы добавляются в сеть, а команды распространяются на все узлы одновременно.

Шпионское ПО и майнеры применялись в каждой пятой атаке (22% и 19% соответственно). Однако стоит отметить, что шпионское ПО сохраняет высокую актуальность как в массовых, так и в целевых атаках благодаря своей универсальности, при этом майнеры становятся все менее выгодным инструментом из-за снижения доходности криптомайнинга. Их применение оправдано только при масштабном заражении очень большого числа устройств: они приносят небольшую прибыль с каждого устройства, но суммарный эффект достигается за счет широкого охвата, что делает их типичным элементом массовых кампаний, распространяемых через фишинг или эксплуатацию уязвимостей. Однако в целевых атаках майнеры практически не используются: их работа приводит к заметному падению производительности, что быстро привлекает внимание.

Шифровальщики (14%) сегодня остаются основным инструментом целевых атак, а благодаря широкой доступности платформ RaaS и высокой степени автоматизации их использование будет расти и в массовых атаках. Так, в феврале 2025 года российский малый и средний бизнес столкнулся с новой угрозой — вымогательской программой PE32. Этот шифровальщик — один из самых сложных и продвинутых, он использует стандарты постквантовой криптографии для шифрования данных в три раунда. Жертвами стали десятки предприятий, суммы выкупа варьировались от 500 до 150 000 долларов, выплачиваемых в биткоинах.

Технологии, ранее характерные для целевых вымогательских атак, все активнее адаптируются для массового применения: на теневых форумах появляется все больше объявлений о создании RaaS-сервисов, предлагающих готовые билдеры, мануалы и инфраструктуру для запуска кампаний. Благодаря росту конкуренции на криминальном рынке злоумышленники стремятся модернизировать свои платформы, добавляя уникальные функции и улучшая механизмы маскировки, чтобы привлечь как можно больше партнеров-исполнителей. Это позволяет даже малоопытным преступникам организовывать высокотехнологичные кампании с автоматизированной доставкой и обходом защиты. В результате мы можем ожидать дальнейшего роста числа и доли массовых атак с использованием шифровальщиков, поскольку низкий порог входа, высокая степень автоматизации и значительная монетизация делают такие сервисы крайне привлекательными в условиях эскалации киберпреступности. Так, на русскоязычных киберпреступных форумах активизировалась новая платформа RaaS под названием Pay2Key, построенная на базе шифровальщика Mimic и ориентированная на массовые атаки с возможностью персонализации кампаний. Несмотря на негласные запреты на атаки по СНГ, злоумышленники провели как минимум три фишинговые кампании против российских компаний из сферы финансов, строительства и ритейла. Атаки начинались с рассылки фишинговых писем, содержащих либо вредоносные вложения в формате RAR, либо ссылки на файлы в Dropbox. После запуска самораспаковывающегося архива (SFX) на устройство загружался шифровальщик Pay2Key.

В 2025 году происходит явный переход от простых атак к более сложным адаптивным схемам. Теперь атаки гораздо труднее обнаружить традиционными сигнатурными методами; подтверждается общий тренд на переход к адаптивным угрозам.

Искусственный интеллект и методы машинного обучения все активнее используются злоумышленниками для подготовки и проведения атак. Согласно исследованию, в 5% техник из матрицы MITRE ATT&CK уже зафиксировано применение ИИ, включая подтехнику T1587.001 «Разработка собственных средств: вредоносное ПО».

Уже известны и случаи, когда ИИ использовался в подготовке именно массовых атак. Так, исследователи обнаружили массовую кампанию группировки Koske, которая демонстрирует признаки разработки ВПО с привлечением больших языковых моделей (LLM). Атака начинается с компрометации интерактивной среды разработки JupyterLab, после чего вредонос внедряется в систему жертвы через JPEG-изображения со встроенным исполняемым кодом. После загрузки файла запускается двухэтапная атака: в памяти исполняется библиотека на языке C, реализующая руткит. Параллельно запускается шелл-скрипт, который скачивает и активирует криптомайнер. Код Koske отличается высокой структурированностью, наличием подробных комментариев — все это указывает на использование ИИ. Кроме того, вредонос проявляет адаптивное поведение: проверяет доступ в интернет через curl, wget и raw TCP, автоматически восстанавливает соединение через прокси и переключается между майнинговыми пулами. Такие характеристики позволяют предположить, что ИИ не просто участвовал в генерации кода, но и способствовал созданию более автономной, скрытной и устойчивой угрозы.

Современные злоумышленники все чаще комбинируют проверенные временем инструменты с передовыми методами скрытия активности. Например, помимо генерации вредоносного ПО, злоумышленники применяют языковые модели для обфускации кода, что значительно усложняет его обнаружение и анализ средствами защиты информации.

Разработка вредоносного ПО развивается по двум параллельным направлениям:

• переработка устаревшего кода для расширения функциональности;
• совершенствование методов маскировки для обхода систем обнаружения.

Помимо методов обфускации, использование искусственного интеллекта может помочь злоумышленникам с обходом существующих систем защиты. Так, в августе 2025 года компания ESET обнаружила на VirusTotal программу-вымогателя на основе ИИ под названием PromptLock. Программа генерирует Lua-скрипты через модель GPT прямо на лету, из-за чего индикаторы компрометации меняются при каждом запуске. Помимо шифрования, программа может быть использована для кражи данных или для их уничтожения. Позже исследователи узнали, что это лишь проверка концепции (PoC), а не полностью рабочее ВПО, развернутое «в дикой природе». Мы можем видеть, что подобные системы уже достаточно сложны, чтобы обмануть экспертов по безопасности, заставив их думать, что перед ними настоящее вредоносное ПО.

Эволюция массовых атак проявляется и в росте интеллектуальных бот-угроз, о чем свидетельствует исследование Imperva: если прежде боты были примитивными и их легко было обнаружить, то теперь, благодаря внедрению искусственного интеллекта, они превращаются в адаптивные, устойчивые к детектированию системы. Например, злоумышленники все чаще используют генеративный ИИ и платформы «бот как услуга» (BaaS), чтобы автоматизировать создание вредоносных сценариев даже без глубокой технической подготовки, что резко снижает порог входа для атак. При этом современные боты применяют машинное обучение для анализа защитных механизмов, маскировки под человека — через поддельные браузерные идентификаторы, residential-прокси и headless-браузеры — и многократного повторения атак до достижения цели. Традиционные меры, основанные на сигнатурах, часто не срабатывают, поэтому боты все лучше имитируют легитимное поведение пользователей и ускользают от обнаружения.

Массовые кибератаки в 2026 году останутся одной из распространенных и опасных угроз для организаций. Растет число автоматизированных, масштабируемых кампаний вредоносного ПО, и конечные устройства — компьютеры, серверы, виртуальные рабочие места — становятся главной мишенью злоумышленников. Раньше системы защиты успешно выявляли атаки по простым сигнатурам и известным уязвимостям, но в современных массовых атаках злоумышленники используют обфускацию кода, динамическую генерацию вредоносных файлов, ботнеты с адаптивной логикой и многоэтапные цепочки заражения. Эти техники позволяют избегать методов обнаружения, основанных на статических признаках и сигнатурах, маскировать активность под легитимную и быстро масштабировать атаки. В такой среде эффективная защита невозможна без комплексного подхода к безопасности конечных устройств (endpoint security).

По данным AV-TEST, ежедневно в мире появляется более 450 тыс. новых вредоносов и нежелательных приложений. Объем известных образцов превысил 800 млн в базе AV-ATLAS. Общее число новых угроз показывает ежегодный устойчивый рост. Традиционные антивирусные решения, основанные исключительно на сигнатурном анализе, уже не способны обеспечить достаточный уровень защиты. Они отстают от темпов появления новых угроз. Даже эвристические методы анализа оказываются недостаточными перед лицом ИИ-обфускации и полиморфного кода.

На смену им приходят современные платформы защиты конечных точек (endpoint protection platform, EPP), которые формируют первый и самый важный рубеж обороны. EPP-решения объединяют несколько технологий в единую систему: антивирусный движок с анализом сигнатур и эвристикой, обнаружение и блокировку на основе эмуляции поведения ВПО, защиту от шифровальщиков, контроль устройств и приложений, защиту от сетевых угроз.

Современные платформы защиты конечных точек должны обеспечивать многоуровневый подход и максимальную оперативность. Для обеспечения эффективной защиты современное EPP-решение должно содержать все актуальные сигнатуры за последние три-четыре года, покрывающие все основные семейства вредоносного ПО.

Учитывая, что ежедневно появляется около полумиллиона новых угроз, критически важен не только размер базы, но и скорость ее обновления. Чем чаще актуальные сигнатуры и индикаторы доходят до агентов, тем быстрее система обнаружит недавно появившиеся угрозы. Оптимально обновлять базы несколько раз в день.

Хотя технические средства играют ключевую роль, безопасность конечных точек напрямую зависит и от человеческого фактора. Многие массовые атаки начинаются с фишинговых писем, содержащих вредоносные вложения или ссылки. Поэтому профилактика социальной инженерии становится важной частью защиты конечных устройств: регулярное обучение сотрудников, симуляции фишинговых атак, фильтрация почты. Кроме того, на безопасность конечных точек напрямую влияет управление уязвимостями. Средства защиты конечных устройств должны быть интегрированы в процесс устранения уязвимостей: это обеспечивает автоматизированное сканирование, актуальную картину уязвимостей и упрощает контроль исполнения мер по их устранению.