Поделиться
Угрозы, векторы и тактики 2024-2025: специалисты ЦК F6 назвали актуальные киберугрозы для российских компаний
Компания F6, разработчик технологий для борьбы с киберпреступностью, исследовала основные угрозы, векторы атак и тактики киберпреступников, атакующих российские компании в 2024–2025 гг. По данным Центра кибербезопасности (ЦК) F6, 37% инцидентов были связаны с майнерами криптовалют, а загрузка пользователями программ с вредоносной нагрузкой из непроверенных ресурсов оказалась самым распространенным вектором компрометации. Об этом CNews сообщили представители F6.
Специалисты Центра кибербезопасности компании F6 проанализировали инциденты и оценили изменения ландшафта актуальных угроз с 1 июля 2024 г. по 30 июня 2025 г. В исследовании учитывались исключительно инциденты высокого уровня критичности и требовавшие реакции со стороны аналитиков ЦК F6 в рамках предоставления сервиса мониторинга и реагирования SOC MDR.
Выявленные угрозы
По данным исследования, среди выявленных угроз чаще всего встречались майнеры криптовалют (37% всех критичных инцидентов). При этом, если во втором полугодии 2024 года их доля составляла 42%, то в первом полугодии 2025 года сократилась до 31% от общего числа критичных инцидентов. На втором месте идут инциденты, связанные с управляемыми человеком атаками (15%), на третьем – использование бэкдоров (14%).
По сравнению с июлем-декабрем 2024 г. в январе – июне 2025 г. наблюдается перераспределение инструментов атакующих. Так, доля зафиксированных инцидентов с троянами удаленного доступа (RAT) за полугодие выросла с 4% до 13%. Кроме того, были зафиксированы инциденты с модульным вредоносным программным обеспечением (ПО), загрузчиками и дропперами.
Векторы атаки
В ходе реагирования на инциденты аналитики ЦК F6 установили, что наиболее часто реализуемым вектором атаки на российские организации оказались загрузки пользователями содержащих вредоносную нагрузку программ – 70% от общего количества инцидентов за 12 месяцев. Более того, в I полугодии 2025 г. по сравнению с предыдущими шестью месяцами их доля выросла с 60 до 74%.
Также среди распространенных способов компрометации устройств можно выделить использование заражённых съемных накопителей (9% в среднем за 12 месяцев) и целевые фишинговые кампании (5%).
Через вредоносные рассылки злоумышленники чаще всего распространяют шпионское ПО и стилеры — их общая доля в рассылках достигала 83%.
Наиболее изменчивым вектором атаки оказалась эксплуатация уязвимостей — ее доля с 30% во II полугодии 2024 г. упала до 5% в I полугодии 2025 г.
Распределение событий
В случае успешного проникновения в инфраструктуру компании злоумышленники переходят к следующему этапу атаки — закреплению, разведке и развитию активности. В исследовании аналитики ЦК F6 систематизировали эти действия и описали тактики атакующих с 1 июля 2024 г. по 30 июня 2025 г. по матрице MITRE ATT&CK.
Чаще всего злоумышленники использовали тактику обхода защиты (TA0005: Defense Evasion, 30%). Она позволяет скрывать свое присутствие в инфраструктуре и минимизировать вероятность обнаружения, а часть функций реализуется через вредоносные программы.
Следующими по распространенности в исследуемых инцидентах оказались тактики исполнения (TA0002: Execution, 17%) и закрепления (TA0003: Persistence, 17%). Тактика исполнения применяется злоумышленниками для запуска программ на устройствах жертв для дальнейшей реализации атаки. Тактика закрепления обеспечивала сохранение доступа к инфраструктуре даже после перезагрузки системы или завершения сеанса пользователем.
«Наше исследование демонстрирует, что злоумышленники стремятся повысить гибкость и устойчивость атак, используя более сложные многоступенчатые схемы проникновения и закрепления в инфраструктуре. Мы наблюдаем тенденцию к усложнению инструментов и методов атакующих, а это в свою очередь требует повышенного внимания к многоуровневой защите и своевременной детекции новых классов угроз. Когда традиционные подходы уже не эффективны, компаниям необходимо двигаться от простого обнаружения к активному предотвращению и оперативному реагированию», — сказала Марина Романова, руководитель отдела по выявлению киберинцидентов Центра кибербезопасности компании F6.
Короткая ссылка
