• О компании
  • Новости
  • Positive Technologies: более 70% успешных кибератак происходят с использованием вредоносного ПО
Новости

Positive Technologies: более 70% успешных кибератак происходят с использованием вредоносного ПО

Во II квартале 2025 года интерес злоумышленников к вредоносным программам вырос на 26% по сравнению с предыдущим кварталом

Согласно исследованию Positive Technologies об актуальных киберугрозах за первые два квартала 2025 года, вредоносное программное обеспечение (ВПО) остается ключевым инструментом в арсенале киберпреступников. Во II квартале 2025 года его использование в успешных атаках на организации достигло 76%. Основные последствия атак — утечки конфиденциальных данных (52%) и нарушение основной деятельности компаний (45%).

В течение первого полугодия 2025 года специалисты экспертного центра безопасности Positive Technologies (PT ESC) зафиксировали значительный рост использования вредоносного ПО: во II квартале этот показатель вырос на 26% по сравнению с предыдущим кварталом и на 12% по сравнению с аналогичным периодом 2024 года. Среди наиболее распространенных типов ВПО:

  • программы-вымогатели (шифровальщики) — 49%;
  • вредоносное ПО для удаленного управления — 33%;
  • шпионское ПО — 22%.

Рост популярности ВПО обусловлен его способностью быстро проникать в целевые системы, длительное время оставаться незамеченным и обеспечивать злоумышленникам устойчивый контроль над захваченными ресурсами. 
 

С развитием механизмов обнаружения вредоносного кода злоумышленникам приходится искать новые пути обхода средств защиты, разрабатывая все более скрытные вариации ВПО. Один из примеров того, как быстро развиваются вредоносные программы, — загрузчики1. Их доля увеличилась в три раза по сравнению с предыдущим кварталом. Злоумышленники все чаще используют их для многоэтапного развертывания вредоносного ПО с целью затруднить обнаружение и анализ угрозы. Загрузчики позволяют злоумышленникам скрытно развертывать на финальной стадии атаки другие вредоносные программы, такие как трояны удаленного доступа2, инфостилеры3 и шифровальщики4. Например, злоумышленники использовали новый загрузчик ModiLoader (DBatLoader), который распространялся через фишинговые письма с вложениями, выдаваемыми за официальные банковские документы. На завершающем этапе атаки в систему загружалось шпионское ПО Snake Keylogger, способное перехватывать нажатия клавиш, собирать данные из буфера обмена и сохраненные учетные записи.

Исследователи Positive Technologies также фиксируют рост использования в кибератаках легального ПО (11%). Злоумышленники постоянно пополняют свой арсенал новыми легальными программами. В одной из недавних атак группировки вымогателей Fog исследователи из Symantec обнаружили крайне нетипичный для этих злоумышленников набор инструментов, включавший и легальные программы, и малоизвестные опенсорсные утилиты. 

Эксперты Positive Technologies прогнозируют рост числа сложных атак, комбинирующих несколько видов ВПО, а также увеличение количества точечных и скрытных атак программ-вымогателей, цель которых — не столько шифрование данных, сколько их кража и последующее вымогательство. Злоумышленники будут активнее использовать легитимные инструменты, облачные сервисы и в целом подход living off the land5 для маскировки вредоносных действий, что может значительно усложнить обнаружение угроз.

1 Загрузчики — вспомогательное ПО для загрузки дополнительных компонентов с управляющих серверов злоумышленника или со сторонних интернет-ресурсов. 

2 Трояны удаленного доступа — программы для управления устройством, на которое они были установлены. Такое ВПО может использоваться для кражи, изменения или удаления информации на устройстве, а также служить точкой входа в сеть и применяться для дальнейшего развития атаки.

3 Инфостилеры — это особый класс вредоносного ПО, цель которого — собрать и отправить злоумышленнику максимально полный набор конфиденциальных данных с зараженного устройства.

4 Шифровальщики — ВПО, которое шифрует файлы пользователя, а его создатели затем требуют выкуп за их расшифровку. 

5 Living off the land — это техника кибератак, при которой злоумышленники используют уже установленное в системе жертвы легитимное программное обеспечение и системные функции для выполнения вредоносных действий, вместо того чтобы внедрять собственный вредоносный код.

«Вредоносное ПО продолжает эволюционировать, становясь сложнее и опаснее. Злоумышленники активно используют многоэтапные схемы доставки, легитимное ПО и методы обфускации, чтобы обойти традиционные средства защиты. В таких условиях критически важно внедрять многоуровневую систему безопасности, включающую современные песочницы, такие как PT Sandbox, которые с помощью ML-технологий умеют анализировать подозрительные объекты и предотвращать попадание вредоносного ПО в контур организации. Также средства глубокого анализа сетевого трафика, например, PT Network Attack Discovery (PT NAD) с помощью экспертных правил и ML-технологий в продукте, могут обнаружить и подсветить аналитику SOC активность ВПО в трафике. PT NAD детектирует все современные киберугрозы и адаптируется к появляющимся вызовам, в том числе к активности новых вредоносных программ. Например, в новом релизе PT NAD появились модули для обнаружения аномальных запросов к Telegram API. Это наш ответ на использование вредоносными программами инфраструктуры Telegram в качестве канала управления».

Кирилл Шипулин
Кирилл ШипулинРуководитель экспертизы PT NAD в Positive Technologies

Для комплексной защиты от атак злоумышленников организациям следует также использовать антивирусы, почтовые шлюзы, межсетевые экраны нового поколения, песочницы, SIEM-системы и продукты класса WAF. А расследовать APT-атаки на практике без вреда инфраструктре вы можете на онлайн-полигоне Standoff Defend.

Чтобы узнать, как вовремя защититься от злоумышленников, на основе реальных кейсов, регистрируйтесь на онлайн-митап NetCase Day, который пройдет 16 сентября в 15:00.

Поделиться ссылкой