PT NGFW
Производительность и защита на новом уровне
Атаки на российские организации не только участились, но и стали сложнее. По данным департамента киберразведки экспертного центра безопасности Positive Technologies (PT ESC TI), в 2025 году APT-группировки1 более чем вдвое увеличили использование уникального вредоносного ПО2 — с 268 образцов в первом квартале до 584 в четвертом. Хакеры чаще применяют скрытные сценарии атак: доставляют вредоносные файлы в несколько этапов, а после проникновения используют инструменты корпоративных систем для продолжения атаки и удержания доступа. Такая тактика позволяет им дольше оставаться незамеченными.
Показательными стали действия киберпреступников в четвертом квартале 2025 года. Активно атакующая российские компании группировка ExCobalt регулярно адаптирует свой инструментарий под конкретные инфраструктуры и задачи. С недавних пор хакеры стали размещать вредоносные файлы внешних обработок «1С», маскируя их под легитимные. Таким образом атакующие сохраняли длительный контроль над инфраструктурой, получая возможность выполнять команды через среду «1С».
Ускорился и цикл эксплуатации уязвимостей. Группировка QuietCrabs продемонстрировала рекордную скорость: в одном случае хакеры использовали свежую брешь всего лишь через день после официального заявления разработчика ПО, а в другом начали успешную атаку в течение суток после публикации эксплойта.
В последнем квартале 2025 года эксперты PT ESC TI также зафиксировали фишинговые атаки на российские банки со стороны финансово мотивированной группировки Silver Fox, ранее не проявлявшей интерес к России. Злоумышленники использовали многослойную схему доставки вредоносного кода, спрятанного внутри обычного изображения: легитимный на вид исполняемый файл загружал скомпрометированную библиотеку, которая расшифровывала и запускала основной зловред.
1 Вредоносное ПО — это программы, предназначенные для получения несанкционированного доступа, нарушения работы систем или нанесения ущерба данным и пользователям.
2 APT-группировки — это преступные группировки, участники которой отличаются высоким уровнем квалификации, как правило, обладают значительными финансовым ресурсами и техническими возможностями.
«На протяжении 2025 года мы наблюдали тенденцию к усложнению атак. Злоумышленники прибегали не только к фишингу, но и ко взлому партнеров и подрядчиков, а также быстро использовали недавно опубликованные уязвимости в популярном ПО. При этом схемы проникновения в инфраструктуру организации, как и методы закрепления внутри нее, становились все изобретательнее. Во многом это связано с использованием больших языковых моделей для создания и модификации вредоносного кода. Чтобы эффективно противодействовать подобным угрозам, компаниям необходимо выстраивать эшелонированную защиту».
Денис КазаковСпециалист группы киберразведки экспертного центра безопасности Positive Technologies (PT ESC TI)
Эксперты Positive Technologies рекомендуют организациям ужесточить правила безопасности для подрядчиков и партнеров, а также максимально сократить время на установку исправлений. Необходимо комбинировать защиту на всех уровнях: использовать безопасный шлюз электронной почты и настроить его интеграцию с песочницей, которая вовремя обнаружит и заблокирует ВПО в почтовом трафике (PT Sandbox), тестировать ее защищенность с помощью специальных сервисов (PT Knockin), внедрять средства анализа сетевого трафика (PT Network Attack Discovery), применять комплексную защиту конечных устройств от массовых и целевых APT-атак (MaxPatrol Endpoint Security) и межсетевые экраны нового поколения (PT NGFW). А чтобы оперативнее реагировать на кибергурозы из единого интерфейса, все СЗИ можно интегрировать в единую SIEM-систему, например MaxPatrol SIEM. Ключевые данные о киберугрозах можно найти на портале PT Fusion.
