Хакеры удвоили использование уникального вредоносного ПО в атаках на российские компании

Атаки на российские организации не только участились, но и стали сложнее. По данным департамента киберразведки экспертного центра безопасности Positive Technologies (PT ESC TI), в 2025 году APT-группировки более чем вдвое увеличили использование уникального вредоносного ПО — с 268 образцов в первом квартале до 584 в четвертом. Хакеры чаще применяют скрытные сценарии атак: доставляют вредоносные файлы в несколько этапов, а после проникновения используют инструменты корпоративных систем для продолжения атаки и удержания доступа. Такая тактика позволяет им дольше оставаться незамеченными.

Показательными стали действия киберпреступников в четвертом квартале 2025 года. Активно атакующая российские компании группировка ExCobalt регулярно адаптирует свой инструментарий под конкретные инфраструктуры и задачи. С недавних пор хакеры стали размещать вредоносные файлы внешних обработок «1С», маскируя их под легитимные. Таким образом атакующие сохраняли длительный контроль над инфраструктурой, получая возможность выполнять команды через среду «1С».

Ускорился и цикл эксплуатации уязвимостей. Группировка QuietCrabs продемонстрировала рекордную скорость: в одном случае хакеры использовали свежую брешь всего лишь через день после официального заявления разработчика ПО, а в другом начали успешную атаку в течение суток после публикации эксплойта.

В последнем квартале 2025 года эксперты PT ESC TI также зафиксировали фишинговые атаки на российские банки со стороны финансово мотивированной группировки Silver Fox, ранее не проявлявшей интерес к России. Злоумышленники использовали многослойную схему доставки вредоносного кода, спрятанного внутри обычного изображения: легитимный на вид исполняемый файл загружал скомпрометированную библиотеку,