Доля инцидентов с троянами удаленного доступа за полугодие выросла до 13%
На втором месте идут инциденты, связанные с управляемыми человеком атаками (15%), на третьем – использование бэкдоров (14%).
По сравнению с июлем-декабрем 2024 года в январе – июне 2025-го наблюдается перераспределение инструментов атакующих. Так, доля зафиксированных инцидентов с троянами удаленного доступа (RAT) за полугодие выросла с 4% до 13%. Кроме того, были зафиксированы инциденты с модульным вредоносным программным обеспечением (ПО), загрузчиками и дропперами.
Векторы атаки
В ходе реагирования на инциденты аналитики ЦК F6 установили, что наиболее часто реализуемым вектором атаки на российские организации оказались загрузки пользователями содержащих вредоносную нагрузку программ – 70% от общего количества инцидентов за 12 месяцев. Более того, в первом полугодии 2025 года по сравнению с предыдущими шестью месяцами их доля выросла с 60 до 74%.
Также среди распространенных способов компрометации устройств можно выделить использование заражённых съёмных накопителей (9% в среднем за 12 месяцев) и целевые фишинговые кампании (5%).
Через вредоносные рассылки злоумышленники чаще всего распространяют шпионское ПО и стилеры - их общая доля в рассылках достигала 83%.
Наиболее изменчивым вектором атаки оказалась эксплуатация уязвимостей - ее доля с 30% во втором полугодии 2024 года упала до 5% в первом полугодии 2025-го.
Распределение событий
В случае успешного проникновения в инфраструктуру компании злоумышленники переходят к следующему этапу атаки — закреплению, разведке и развитию активности. В исследовании аналитики ЦК F6 систематизировали эти действия и описали тактики атакующих с 1 июля 2024 года по 30 июня 2025 года по матрице MITRE ATT&CK.
Чаще всего злоумышленники использовали тактику обхода защиты (TA0005: Defense Evasion, 30%). Она позволяет скрывать свое присутствие в инфраструктуре и минимизировать вероятность обнаружения, а часть функций реализуется через вредоносные программы.
Следующими по распространенности в исследуемых инцидентах оказались тактики исполнения (TA0002: Execution, 17%) и закрепления (TA0003: Persistence, 17%). Тактика исполнения применяется злоумышленниками для запуска программ на устройствах жертв для дальнейшей реализации атаки. Тактика закрепления обеспечивала сохранение доступа к инфраструктуре даже после перезагрузки системы или завершения сеанса пользователем.
«Наше исследование демонстрирует, что злоумышленники стремятся повысить гибкость и устойчивость атак, используя более сложные многоступенчатые схемы проникновения и закрепления в инфраструктуре. Мы наблюдаем тенденцию к усложнению инструментов и методов атакующих, а это в свою очередь требует повышенного внимания к многоуровневой защите и своевременной детекции новых классов угроз. Когда традиционные подходы уже не эффективны, компаниям необходимо двигаться от простого обнаружения к активному предотвращению и оперативному реагированию», — отмечает Марина Романова, руководитель отдела по выявлению киберинцидентов Центра кибербезопасности компании F6.
