По данным «Кода Безопасности», за первые три квартала 2025 года промышленный сектор стал главным объектом кибератак в России — на него пришлось 28% всех инцидентов. В топ-3 наиболее атакуемых сфер также вошли государственные структуры (24%) и финансовые организации (22%).
Исследователи отмечают, что ключевой особенностью атак в 2025 году стало комбинирование вредоносных и легитимных программ. Злоумышленники активно используют уязвимости в широко применяемых продуктах:
- браузеры на базе Chromium — в 23% атак;
- Telegram — в 19%;
- Linux — в 15%.
Часто задействуются Microsoft Office, SharePoint, Windows Server и VMware ESXi.
В тройку наиболее распространённых категорий угроз вошли:
- вредоносные программы — 93% инцидентов;
- C2-инфраструктуры — 58%;
- фишинг — 45%.
Среди вредоносного софта аналитики отмечают стилеры (например, Lumma Stealer), программы-вымогатели LockBit и Conti, а также бэкдоры, обеспечивающие длительное скрытое присутствие. Кроме того, заметную роль играют инструменты вроде Cobalt Strike и легитимные средства удалённого доступа — AnyDesk и ScreenConnect.
Как действует современный злоумышленник
По словам экспертов, сегодняшний атакующий — квалифицированный киберпреступник, который использует полный набор инструментов: от фишинга для первоначального проникновения до шифрования вредоносных файлов для обхода защитных систем и применения командно-контрольных серверов для управления кампанией.
Атаки всё чаще разворачиваются как полноценная цепочка kill chain:
- сканирование и разведка;
- проникновение через уязвимость;
- закрепление;
- кража данных;
- шифрование или вывод систем из строя.
При этом злоумышленники ориентируются на масштабируемые и длительные кампании, рассчитанные на автоматизацию и устойчивость.
