Исследование компании F6 показало, что майнеры криптовалют остаются самой распространенной угрозой для российских компаний, составляя 37% критических инцидентов. При этом основным способом проникновения в корпоративные сети стала загрузка сотрудниками вредоносных программ из непроверенных источников.
Компания F6, специализирующаяся на противодействии киберпреступности, представила исследование основных угроз для российских компаний в 2024–2025 годах. Анализ инцидентов высокой критичности показал, что наиболее частой угрозой стали майнеры криптовалют, на которые пришлось 37% всех случаев. При этом их доля снизилась с 42% во втором полугодии 2024 года до 31% в первой половине 2025 года. На втором месте по распространенности находятся атаки, управляемые человеком — 15%, а на третьем — использование бэкдоров, что составило 14% инцидентов.
Основным способом проникновения в системы стала загрузка пользователями вредоносных программ из непроверенных источников. Этот вектор атаки составил 70% от общего числа инцидентов за год, причем его доля возросла с 60% до 74% в первом полугодии 2025 года. Среди других способов компрометации отмечаются зараженные съемные накопители и целевой фишинг. При этом значительное снижение продемонстрировала эксплуатация уязвимостей: ее доля упала с 30% до 5%. Также наблюдается изменение в инструментах злоумышленников: выросла доля инцидентов с троянами удаленного доступа и модульным вредоносным ПО.
«Мы наблюдаем тенденцию к усложнению инструментов и методов атакующих, а это в свою очередь требует повышенного внимания к многоуровневой защите и своевременному детектированию новых классов угроз. Когда традиционные подходы уже не эффективны, компаниям необходимо двигаться от простого обнаружения к активному предотвращению и оперативному реагированию».
Марина Романова, руководитель отдела по выявлению киберинцидентов Центра кибербезопасности компании F6
После проникновения в инфраструктуру злоумышленники применяют различные тактики для развития атаки. Чаще всего использовалась тактика обхода защиты, позволяющая скрыть свое присутствие в системе. На втором месте по распространенности оказались тактики исполнения кода на устройствах жертв и закрепления в системе для сохранения доступа даже после ее перезагрузки.