12/09/25
Согласно исследованию Positive Technologies об актуальных киберугрозах за первые два квартала 2025 года, вредоносное программное обеспечение (ВПО) остается ключевым инструментом в арсенале киберпреступников. Во II квартале 2025 года его использование в успешных атаках на организации достигло 76%. Основные последствия атак — утечки конфиденциальных данных (52%) и нарушение основной деятельности компаний (45%).
В течение первого полугодия 2025 года специалисты экспертного центра безопасности Positive Technologies (PT ESC) зафиксировали значительный рост использования вредоносного ПО: во II квартале этот показатель вырос на 26% по сравнению с предыдущим кварталом и на 12% по сравнению с аналогичным периодом 2024 года. Среди наиболее распространенных типов ВПО:
- программы-вымогатели (шифровальщики) — 49%;
- вредоносное ПО для удаленного управления — 33%;
- шпионское ПО — 22%.
.png?width=630&height=280&name=image004%20(4).png)
Рост популярности ВПО обусловлен его способностью быстро проникать в целевые системы, длительное время оставаться незамеченным и обеспечивать злоумышленникам устойчивый контроль над захваченными ресурсами.
С развитием механизмов обнаружения вредоносного кода злоумышленникам приходится искать новые пути обхода средств защиты, разрабатывая все более скрытные вариации ВПО. Один из примеров того, как быстро развиваются вредоносные программы, — загрузчики[1]. Их доля увеличилась в три раза по сравнению с предыдущим кварталом. Злоумышленники все чаще используют их для многоэтапного развертывания вредоносного ПО с целью затруднить обнаружение и анализ угрозы. Загрузчики позволяют злоумышленникам скрытно развертывать на финальной стадии атаки другие вредоносные программы, такие как трояны удаленного доступа[2], инфостилеры[3] и шифровальщики[4]. Например, злоумышленники использовали новый загрузчик ModiLoader (DBatLoader), который распространялся через фишинговые письма с вложениями, выдаваемыми за официальные банковские документы. На завершающем этапе атаки в систему загружалось шпионское ПО Snake Keylogger, способное перехватывать нажатия клавиш, собирать данные из буфера обмена и сохраненные учетные записи.
Исследователи Positive Technologies также фиксируют рост использования в кибератаках легального ПО (11%). Злоумышленники постоянно пополняют свой арсенал новыми легальными программами. В одной из недавних атак группировки вымогателей Fog исследователи из Symantec обнаружили крайне нетипичный для этих злоумышленников набор инструментов, включавший и легальные программы, и малоизвестные опенсорсные утилиты.
Эксперты Positive Technologies прогнозируют рост числа сложных атак, комбинирующих несколько видов ВПО, а также увеличение количества точечных и скрытных атак программ-вымогателей, цель которых — не столько шифрование данных, сколько их кража и последующее вымогательство. Злоумышленники будут активнее использовать легитимные инструменты, облачные сервисы и в целом подход living off the land[5] для маскировки вредоносных действий, что может значительно усложнить обнаружение угроз.
«Вредоносное ПО продолжает эволюционировать, становясь сложнее и опаснее. Злоумышленники активно используют многоэтапные схемы доставки, легитимное ПО и методы обфускации, чтобы обойти традиционные средства защиты. В таких условиях критически важно внедрять многоуровневую систему безопасности, включающую средства глубокого анализа сетевого трафика — продукты классов NTA/NDR, например, PT Network Attack Discovery (PT NAD), — прокомментировал Кирилл Шипулин, руководитель экспертизы PT NAD в Positive Technologies. — Система детектирует все современные киберугрозы и адаптируется к появляющимся вызовам, в том числе к активности новых вредоносных программ. Например, в новом релизе PT NAD появились модули для обнаружения аномальных запросов к Telegram API. Это наш ответ на использование вредоносными программами инфраструктуры Telegram в качестве канала управления».
Для комплексной защиты от атак злоумышленников организациям следует также использовать антивирусы, межсетевые экраны нового поколения, песочницы, SIEM-системы и продукты класса WAF. А расследовать APT-атаки на практике без вреда инфраструктре вы можете на онлайн-полигоне Standoff Defend.
Чтобы узнать, как вовремя защититься от злоумышленников, на основе реальных кейсов, регистрируйтесь на онлайн-митап NetCase Day, который пройдет 16 сентября в 15:00.
