Шаров на нашей киберёлке всё больше, а мы продолжаем знакомить вас с кибертрендами уходящего года и делиться прогнозами на будущее. Слово нашим детективам из экспертного центра безопасности.
Денис Гойденко
Руководитель департамента комплексного реагирования на киберугрозы экспертного центра безопасности Positive Technologies
Денис Кувшинов
Руководитель департамента Threat Intelligence экспертного центра безопасности Positive Technologies
Расследование инцидентов и ретроспективный анализ: бизнес стал обнаруживать атаки быстрее
Спрос на проекты по расследованию инцидентов и ретроспективному анализу атак остается стабильно высоким, однако изменилась его структура. Если количество запросов на расследование снизилось на 8%, то интерес к ретроспективному анализу вырос в два раза. Наибольшее количество обращений к нам поступило от ИТ-компаний и государственных организаций: на их долю пришлось по 24% атак. Всего за период с IV квартала 2024-го по III квартал 2025 года специалисты департамента комплексного реагирования на киберугрозы экспертного центра безопасности (PT ESC IR) реализовали более 100 проектов.
Медианное время от начала инцидента до его обнаружения сократилось до 9 дней. Это на 8 дней меньше, чем годом ранее. Самая продолжительная кибератака длилась 3,5 года, а самая короткая — всего сутки.
В 43% компаний была выявлена деятельность известных APT-группировок, а более половины изученных инцидентов (55%) привели к реальному нарушению бизнес-процессов. Анализ векторов проникновения показал, что в 36% случаев исходной точкой являлась компрометация бизнес-приложений на периметре организации, при этом доля атак через доверительные отношения с подрядчиком увеличилась до 28%. Основными причинами успешных проникновений стали недостаточная сегментация сети (24%), использован��е устаревшего ПО (23%) и отсутствие двухфакторной аутентификации (21%).
Угрозы «в дикой природе»: массовые атаки и возвращение уязвимостей нулевого дня
В рамках исследований и киберразведки специалисты TI-департамента PT ESC в 2025 году отправили компаниям почти в четыре раза больше уведомлений о том, что они могли стать целью киберпреступников, чем годом ранее. И если в 2024 году атаки были сконцентрированы в основном на оборонном секторе и госуправлении, то теперь под удар попали практически все отрасли.
Количество уведомлений об инцидентах (данные по России)
| 2024 | 2025 |
Всего атак | 45 | 168 |
Атак известных APT-группировок | 21 | 135 |
Наибольший рост угроз зафиксирован в ИТ и промышленности. Также существенно увеличилось давление на ритейл, транспорт, на госкомпании и оборонный сектор. Выбор этих целей не случаен: в условиях напряженной геополитической обстановки злоумышленники целенаправленно нападают на критически важные отрасли.
Рост числа уведомлений среди прочего связан с переходом хакеров к массовым атакам на различные отрасли российской экономики и с появлением новых агрессивных группировок. Наибольшую активность проявляли злоумышленники из Thor, PhantomCore, Fluffy Wolf и Cloud Atlas; эти группировки в основном нацелены на кражу или уничтожение данных.
Количество уведомлений об отслеживаемых хакерских группировках
Группировка | 2024 | 2025 |
Thor | 0 | 107 |
PhantomCore | 0 | 13 |
Fluffy Wolf | 12 | 7 |
Cloud Atlas | 9 | 4 |
Black Owl Team | 0 | 1 |
Lone Wolf | 0 | 1 |
PhaseShifters | 0 | 1 |
PseudoGamaredon | 0 | 1 |
(Ex)Cobalt | 4 | 0 |
GOFFEE | 1 | 0 |
Hellhounds | 1 | 0 |
IAmTheKing | 1 | 0 |
Space Pirates | 2 | 0 |
Кроме того, продолжился рост числа целевых атак. При этом после нескольких лет затишья, атакующие вновь начали использовать уязвимости нулевого дня в атаках против российских компаний. Группировка Team46 применила многоступенчатую* уязвимость в браузере Google Chrome, а злоумышленники из GOFFEE эксплуатировали баг в архиваторе WinRAR. Отдельно можно выделить появление нового типа кейлоггера — программы, перехватывающей учетные данные при входе на серверы Microsoft Exchange.
В 2026 году мы прогнозируем рост числа случаев эксплуатации ранее неизвестных уязвимостей, поскольку для киберпреступников она остается практически единственным способом проникнуть в хорошо защищенные корпоративные инфраструктуры.
*Многоступенчатая уязвимость (exploit chain) — это цепочка из нескольких уязвимостей или техник, которые используются последовательно для достижения конечной цели атаки. Каждый этап такой цепочки обходит определенный уровень защиты.
Тенденции ВПО в опенсорсе PyPI и NPM
В экосистеме PyPI — основной платформы для распространения библиотек на языке программирования Python — в 2025 году зафиксирован значительный рост активности злоумышленников. Количество вредоносных пакетов увеличилось на 54% (514 против 333 в 2024 году).
Среди ключевых трендов — активное использование автоматизации для публикации пакетов, преобладание тайпсквоттинга, а также разработка вредоносного ПО с помощью языковых моделей. Основными целями злоумышленников остаются кража криптовалюты, переменных окружения, браузерных паролей и системных данных.
В NPM — главном репозитории пакетов для JavaScript — в 2025 году количество вредоносных па��етов снизилось почти в 5 раз по сравнению с предыдущим годом. Такой спад объясняется крупной кампанией вредоносов, прошедшей в мае–июне 2024 года. При этом среднее время обнаружения угроз значительно уменьшилось: с 81 дня в 2024 году до 18 дней в 2025-м.
Главной целью злоумышленников остается кража информации, причем особый упор делается на криптовалюту: атаки либо отслеживают буфер обмена для подмены кошельков (clipboard hijacking), либо маскируются под клиентские библиотеки для работы с хранилищами (vault). Как и в PyPI, продолжают распространяться стандартные стилеры, нацеленные на переменные окружения и другие конфиденциальные данные.
Отдельной проблемой остается фишинг, в 2025 году эксперты зафиксировали две крупные кампании. Первую обнаружили в июне: злоумышленники получили доступ к учетным записям разработчиков и внедрили вредоносный код в несколько популярных пакетов NPM, включая библиотеки семейства eslint-*, для распространения стилера Scavenger. Вторая прошла в сентябре: массовый фишинг привел к компрометации пакетов debug, chalk и 16 других библиотек с распространением clipboard hijacker — вредоносной программы, которая подменяет криптовалютные адреса в буфере обмена и перенаправляет платежи на кошельки злоумышленников.
Количество фишинговых доменов за год выросло с 156 тысяч до 318 тысяч. Эта тенденция коррелирует с общим ростом числа атак, однако не все домены были использованы напрямую. Часть из них была делегирована еще до начала атак, а некоторые вообще не использовались. Вероятно, злоумышленники таким образом пытаются обойти логику систем защиты, которые отслеживают новые зарегистрированные домены.
Напоследок ещё немного цифр и фактов о спросе на про защиту.
В 2025 году наша компания оказала более 800 услуг по тестированию на проникновение, анализу защищенности и расследованию инцидентов, что на 85% превышает показатель 2024 года. Увеличение спроса на профессиональные сервисы информационной безопасности отражает общую тенденцию усиления киберугроз и повышения осознанности организаций в вопросах защиты цифровых активов.
Классические направления услуг сохранили стабильный рост: спрос на пентест вырос на 7% (с 87 до 93 проектов), тестирование веб-приложений — на 8% (с 105 до 113 проектов), спрос на расследования силами PT Expert Security Center — на 13% (с 40 до 45 проектов), тестирование мобильных приложений — на 17% (с 30 до 35 проектов).
Важным трендом 2025 года стало увеличение сложности и длительности проектов. Средняя длительность пентеста возросла на две недели — с 34 до 44 рабочих дней. Средняя длительность работы red team увеличилась на месяц (20 рабочих дней). Это свидетельствует о росте сложности инфраструктур клиентов и повышении требований к глубине анализа защищенности.
Спасибо, что остаётесь с нами подводить киберитоги года. Мы продолжим в скором времени нашу киберэпопею рассказом о новых технологиях на службе кибербеза. Stay safe and tune!
