Слив засчитан
Image

Слив засчитан

Твои данные уже на прилавке даркнета, пока ты слепо веришь в надежность своей двухфакторки. 

584 новых вируса за квартал и взломы через „1С“. Как российские компании пытаются выжить в рекордный год кибератак

исследование Positive Technologies APT-группировки Россия PT ESC TI
584 новых вируса за квартал и взломы через „1С“. Как российские компании пытаются выжить в рекордный год кибератак
исследование Positive Technologies APT-группировки Россия PT ESC TI

APT-группировки перестали действовать «под копирку» и перешли на индивидуальный подход.

image

Атаки на российские организации в 2025 году не только участились, но и заметно усложнились. По данным департамента киберразведки экспертного центра безопасности Positive Technologies, APT-группировки более чем вдвое нарастили использование уникального вредоносного ПО: с 268 образцов в первом квартале до 584 в четвертом. При этом злоумышленники все чаще действуют скрытно - доставляют вредоносные файлы в несколько этапов, а после проникновения стараются развивать атаку за счет легитимных инструментов корпоративной среды, чтобы дольше оставаться незамеченными и удерживать доступ.

Показательным стал четвертый квартал 2025 года. Группировка ExCobalt, регулярно атакующая российские компании, адаптирует инструментарий под конкретные инфраструктуры и задачи, а также начала маскировать вредоносные файлы внешних обработок «1С» под легитимные. Такой подход, по оценке экспертов, помогает сохранять контроль над инфраструктурой и выполнять команды через среду «1С». Параллельно ускорился цикл эксплуатации уязвимостей: QuietCrabs в отдельных случаях использовала брешь уже на следующий день после официального заявления разработчика, а также начинала успешные атаки в течение суток после публикации эксплойта.

Еще один тренд конца года - расширение географии интересов финансово мотивированных групп. В PT ESC TI сообщили, что в последнем квартале 2025-го зафиксировали фишинговые атаки на российские банки со стороны Silver Fox, которая раньше не проявляла интереса к России. В этих атаках применялась многоступенчатая схема доставки кода, спрятанного в обычном изображении: внешне легитимный исполняемый файл загружал скомпрометированную библиотеку, а та расшифровывала и запускала основной зловред. В компании отмечают, что усложнение методов проникновения и закрепления частично связано с использованием больших языковых моделей для создания и модификации вредоносного кода, а в качестве мер защиты рекомендуют усиливать требования к безопасности подрядчиков, сокращать сроки установки патчей и выстраивать эшелонированную оборону на почте, сети и конечных устройствах.