Угрозы, векторы и тактики

Специалисты центра кибербезопасности компании F6 проанализировали инциденты и оценили изменения ландшафта актуальных угроз с 1 июля 2024 года по 30 июня 2025 года. В исследовании учитывались исключительно инциденты высокого уровня критичности и требовавшие реакции со стороны аналитиков ЦК F6 в рамках предоставления сервиса мониторинга и реагирования SOC MDR.

По данным исследования, среди выявленных угроз чаще всего встречались «майнеры» криптовалют (37 процентов всех критичных инцидентов). При этом если во втором полугодии 2024 года их доля составляла 42 процента, то в первом полугодии 2025 года сократилась до 31 процента от общего числа критичных инцидентов. На втором месте инциденты, связанные с управляемыми человеком атаками (15 %), на третьем – использование бэкдоров (14 %).

По сравнению с июлем — декабрем 2024 года в январе – июне 2025-го наблюдается перераспределение инструментов атакующих. Так, доля зафиксированных инцидентов с троянами удаленного доступа (RAT) за полугодие выросла с 4 до 13 процентов. Кроме того, были зафиксированы инциденты с модульным вредоносным программным обеспечением (ПО), загрузчиками и «дропперами».

В ходе реагирования на инциденты аналитики ЦК F6 установили, что наиболее часто реализуемым вектором атаки на российские организации оказались загрузки пользователями содержащих вредоносную нагрузку программ – 70 процентов от общего количества инцидентов за 12 месяцев. Более того, в первом полугодии 2025 года по сравнению с предыдущими шестью месяцами их доля выросла с 60 до 74 процентов.

Также среди распространенных способов компрометации устройств можно выделить использование зараженных съемных накопителей (9 процентов в среднем за 12 месяцев) и целевые фишинговые кампании (5 %).

Через вредоносные рассылки злоумышленники чаще всего распространяют шпионское ПО и «стилеры» — их общая доля в рассылках достигала 83 процентов.

Наиболее изменчивым вектором атаки оказалась эксплуатация уязвимостей — ее доля 30 процентов во втором полугодии 2024 года упала до пяти процентов в первом полугодии 2025-го.

В случае успешного проникновения в инфраструктуру компании злоумышленники переходят к следующему этапу атаки — закреплению, разведке и развитию активности. В исследовании аналитики ЦК F6 систематизировали эти действия и описали тактики атакующих с 1 июля 2024 года по 30 июня 2025 года по матрице MITRE ATT&CK.

Чаще всего злоумышленники использовали тактику обхода защиты (TA0005: Defense Evasion, 30 %). Она позволяет скрывать свое присутствие в инфраструктуре и минимизировать вероятность обнаружения, а часть функций реализуется через вредоносные программы.

Следующими по распространенности в исследуемых инцидентах оказались тактики исполнения (TA0002: Execution, 17 %) и закрепления (TA0003: Persistence, 17 %). Тактика исполнения применяется злоумышленниками для запуска программ на устройствах жертв для дальнейшей реализации атаки. Тактика закрепления обеспечивала сохранение доступа к инфраструктуре даже после перезагрузки системы или завершения сеанса пользователем.