Ключевые тактики

RED Security проанализировала итоги проектов по расследованию инцидентов и выявила ключевые тактики, которые киберпреступники используют для проникновения в инфраструктуры российских организаций.

Анализ проводился на базе проектов в компаниях, ранее не использовавших сервисы мониторинга и реагирования на инциденты кибербезопасности и столкнувшихся с успешными кибератаками на свои инфраструктуры в 2025 году. В ходе этих проектов эксперты направления реагирования на инциденты RED Security SOC проводили расследование, выявляли точку компрометации и сценарий развития атаки, а также помогали в устранении ее последствий.

Исследование показало, что почти в половине случаев причиной взлома компаний становится эксплуатация уязвимостей в веб-приложениях, доступных из сети Интернет (тактика T1190 по фреймворку MITRE ATT&CK). Это подтверждает критическую важность своевременного обновления ПО и контроля уязвимостей на внешнем ИТ-периметре.

Аналитики отмечают активное использование злоумышленниками цепочек уязвимостей в таких решениях, как Microsoft SharePoint (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771), TrueConf (BDU:2025-10114 и BDU:2025-10116), а также широко распространенной уязвимости React4Shell (CVE-2025-55182). Эксперты RED Security подчеркивают, что игнорирование угроз, связанных с этими уязвимостями, существенно повышает риск успешных кибератак.

Вторым по распространенности способом компрометации инфраструктур российских компаний стали атаки через подрядчиков (T1199). На его долю пришлась треть всех расследованных инцидентов – кратно больше, чем годом ранее, когда их доля не превышала 10 процентов. Злоумышленники взламывают компании, оказывающие ИТ-услуги, и используют их учетные записи для доступа в инфраструктуры их заказчиков. Такая техника затрудняет обнаружение угрозы на ранних этапах и помогает киберпреступникам достичь своих целей, оставаясь полностью незаметными для технических средств защиты.

Несмотря на высокую активность фишинговых кампаний от таких кибергруппировок, как BO Team, GOFFEE, PhantomCore, Old Gremlin и других, лишь 10 процентов инцидентов начались с успешной реализации фишинга (T1566). Это может указывать на повышение осведомленности сотрудников о подобных угрозах, но не отменяет необходимости в регулярном обучении и технических средствах защиты.

Всего за 2025 год аналитики RED Security SOC зафиксировали и помогли отразить почти 142 тысячи кибератак, что на девять процентов больше, чем годом ранее. Наиболее напряженным стал период с августа по ноябрь, когда среднемесячное количество попыток вторжения превысило 15 тысяч, тогда как в среднем на протяжении года этот показатель не превышал двух тысяч. Заметные всплески активности также фиксировались в апреле и мае, что может быть связано с усилением активности политически мотивированных группировок.