70% атак на компании связаны со скачиванием вредоносной программы

70% атак на компании связаны со скачиванием вредоносной программы

70% атак на компании связаны со скачиванием вредоносной программы

За год с июля 2024-го по июнь 2025-го российские компании чаще всего сталкивались с заражением майнерами криптовалют, скачиванием пользователями вредоносных программ из непроверенных источников и атаками с использованием бэкдоров и RAT. Наибольший рост показали трояны для удалённого доступа, а эксплуатация уязвимостей, наоборот, резко пошла на спад.

Главные угрозы

Как отмечается в исследовании F6, майнеры криптовалют составили 37% всех инцидентов высокой критичности. Однако их доля постепенно снижается: во второй половине 2024 года они встречались в 42% случаев, в первой половине 2025-го — уже в 31%.

На втором месте — атаки с ручным управлением (15%), на третьем — использование бэкдоров (14%).

Серьёзный рост показали трояны удалённого доступа (RAT): их доля за полгода выросла с 4% до 13%. Также фиксировались случаи применения модульных вредоносов, загрузчиков и дропперов.

Векторы атак

Наиболее распространённый путь заражения — загрузка вредоносной программы из ненадёжных источников (70% всех инцидентов). Причём в первой половине 2025-го этот показатель вырос с 60% до 74%.

Среди других способов — заражённые съёмные носители (9%) и целевые фишинговые рассылки (5%). Последние чаще всего распространяли стилеры и шпионский софт: их доля в рассылках составила 83%.

Эксплуатация уязвимостей, напротив, потеряла позиции: с 30% во второй половине 2024 года до 5% в первой половине 2025-го.

Тактики злоумышленников

После проникновения в инфраструктуру атакующие чаще всего использовали обход защиты (30%), что позволяло скрывать присутствие. Реже встречались тактики исполнения (17%) и закрепления (17%).

«Наше исследование демонстрирует, что злоумышленники стремятся повысить гибкость и устойчивость атак, используя более сложные многоступенчатые схемы проникновения и закрепления в инфраструктуре. Мы наблюдаем тенденцию к усложнению инструментов и методов атакующих, а это в свою очередь требует повышенного внимания к многоуровневой защите и своевременной детекции новых классов угроз. Когда традиционные подходы уже не эффективны, компаниям необходимо двигаться от простого обнаружения к активному предотвращению и оперативному реагированию», — отмечает Марина Романова, руководитель отдела по выявлению киберинцидентов Центра кибербезопасности F6.

OpenClaw взломали через WhatsApp: ИИ-ассистент мог отдать доступ к хосту

В OpenClaw нашли сразу три серьёзные уязвимости, которые позволяли красть учетные данные, повышать привилегии и выполнять произвольный код в системе, где запущен ИИ-ассистент. Две ошибки получили оценку 8,8 из 10 по шкале CVSS.

Они были связаны с фильтрацией команд: защитный механизм блокировал не все опасные входные данные, поэтому злоумышленник мог протащить системную команду туда, где ей быть совсем не положено.

Третья уязвимость с рейтингом 8,4 позволяла обходить ограничения песочницы через монтирование родительских каталогов. OpenClaw запрещал прямой доступ к папкам вроде ~/.ssh, ~/.aws и ~/.gnupg, но при этом мог разрешить подключить весь каталог /home. После этого SSH-ключи, облачные токены и GPG-секреты оказывались буквально на столе.

 

Еще веселее с /var: через него атакующий мог добраться до сокета Docker и выбраться из песочницы прямо на хост.

Исследователь Чинмохан Наяк утверждает, что атаку можно было запустить внешним сообщением через WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) без предварительного доступа к системе. В худшем сценарии злоумышленник получал данные, закреплялся в системе и выполнял код на машине владельца.

 

Разработчики закрыли все три дыры в OpenClaw 2026.6.6. Пользователям советуют срочно обновиться, включить песочницу для всех второстепенных сессий, убрать exec из разрешенных инструментов и максимально сузить списки доверенных каналов.

RSS: Новости на портале Anti-Malware.ru