По данным Positive Technologies1, наиболее часто среди вредоносного программного обеспечения (ВПО) в России встречались шпионские программы из семейства FormBook, Agent Tesla и Snake Keylogger. Впервые в топ-10 вошли вредонос для удаленного доступа DarkWatchman и модульный ботнет2 Prometei. Рейтинг основан на данных, полученных в результате анализа ВПО продуктом PT Sandbox за 2024 год и первый квартал 2025 года.
Заметно укрепило позиции семейство шпионского ПО Snake Keylogger: в сравнении с 2023 годом количество обнаружений увеличилось более чем в 30 раз. Вероятно, это связано со сменой приоритетов злоумышленников с финансовой выгоды на получение доступа к данным. В числе наиболее распространенных также остаются шпионские вредоносы FormBook и Agent Tesla — в рассматриваемый период последний встречался в три раза чаще, чем в предыдущий. Во многом это объясняется простотой их использования злоумышленниками, широким набором функций и доступностью в дарквебе, в том числе по схеме malware as a service (MaaS).
В ряду востребованных среди киберпреступников оказался бэкдор Carbon, объединяющий функции ВПО для удаленного доступа (remote access trojan, RAT), стилера3, кейлоггера4 и криптомайнера5: число случаев его использования увеличилось в восемь раз. Резко выросли по количеству обнаружений, впервые попав в топ-10, RAT DarkWatchman и модульный ботнет Prometei.
В результате анализа поведения ВПО эксперты Positive Technologies определили, что наибольшую популярность у атакующих набирают техники, связанные со сбором информации, шпионажем и маскировкой действий. При этом чаще всего злоумышленники использовали ВПО для захвата аудиопотока с микрофона, динамиков и других источников. Интересно, что в 2023 году техника Audio Capture не входила даже в топ-10. Вероятно, интерес хакеров продиктован тем, что некоторые аудиоданные можно использовать в атаках методом социальной инженерии, например для создания голосовых дипфейков.
В исследовании компании отмечается, что киберпреступники все реже используют грубые и заметные методы закрепления в системе, предпочитая более скрытные: например, удаление журналов, временных файлов и других следов активности, а также манипуляции токенами доступа для повышения привилегий или выполнения действий от лица легитимного пользователя.
Чаще других жертвами атак с использованием ВПО становились государственные учреждения, предприятия промышленного сектора и ИТ-компании. Интерес к первым связан с доступом к критически важным данным и системам, ко вторым — с возможностью нарушить технологические процессы, а к третьим — с перспективой компрометации цепочек поставок программного обеспечения и выхода на другие компании. Основным методом доставки вредоносов в атаках на организации по-прежнему остается электронная почта.
1 Исследование основано на публичных сведениях об инцидентах информационной безопасности за период с 2024 года до конца первой половины 2025 года, собственной экспертизе Positive Technologies, результатах анализа вредоносного ПО продуктом PT Sandbox на территории России за период с 2024 года до конца первого квартала 2025 года, на данных о работе сервиса по проверке защищенности электронной почты PT Knockin, а также на исследованиях авторитетных организаций и экспертов.
2 Модульный ботнет — сеть зараженных устройств (ботов), которая состоит из отдельных модулей с разными функциями.
3 Стилер — вредоносное программное обеспечение для кражи паролей пользователей.
4 Кейлоггер — программное средство, используемое для регистрации и сохранения нажатий клавиш на клавиатуре пользователя без его ведома.
5 Криптомайнер — вредоносное программное обеспечение, которое без разрешения на то владельца компьютера использует вычислительные ресурсы с целью добычи криптовалюты.
