Эксперты RED Security, представляющие открытую экосистему решений и экспертизы в области информационной безопасности для всесторонней защиты бизнеса, изучили результаты работ по расследованию инцидентов и определили основные методы, применяемые злоумышленниками для проникновения в ИТ-инфраструктуры российских компаний. Об этом информировали CNews представители RED Security.
Основой для анализа послужили проекты в организациях, которые ранее не задействовали сервисы мониторинга и реагирования на киберинциденты и подверглись успешным атакам на свои системы в 2025 году. Специалисты из группы реагирования на инциденты RED Security SOC в рамках этих проектов проводили расследования, устанавливали первоначальную точку компрометации и сценарий развития атаки, а также оказывали помощь в ликвидации ее последствий.
Согласно исследованию, почти в 50% случаев причиной взлома организаций стала эксплуатация уязвимостей в веб-приложениях, доступных из интернета (тактика T1190 по классификации MITRE ATT&CK). Это доказывает исключительную важность своевременного обновления программного обеспечения и контроля уязвимостей на внешнем ИТ-периметре.
Аналитики обратили внимание на активное использование злоумышленниками цепочек уязвимостей в таких продуктах, как Microsoft SharePoint (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771), TrueConf (BDU:2025-10114 и BDU:2025-10116), а также в широко распространенной уязвимости React4Shell (CVE-2025-55182). Эксперты RED Security отмечают, что игнорирование угроз, связанных с этими уязвимостями, значительно увеличивает вероятность успешных кибератак.
Вторым по частоте способом компрометации инфраструктур отечественных компаний стали атаки через подрядчиков (T1199). На их долю пришлась треть всех рассмотренных инцидентов — что существенно больше, чем годом ранее, когда этот показатель не превышал 10%. Злоумышленники взламывают фирмы, предоставляющие ИТ-услуги, и используют их учетные данные для доступа к системам их клиентов. Подобная методика осложняет обнаружение угрозы на начальных стадиях и позволяет киберпреступникам достигать своих целей, оставаясь практически невидимыми для средств защиты.
При этом, несмотря на высокую активность фишинговых кампаний таких кибергруппировок, как BO Team, GOFFEE, PhantomCore, Old Gremlin и других, лишь в 10% случаев инциденты начинались с успешной фишинговой атаки (T1566). Это может свидетельствовать о росте осведомленности сотрудников о подобных угрозах, однако не отменяет необходимости в регулярном обучении и применении технических средств защиты.
«Проведенный анализ четко демонстрирует: организации, пренебрегающие превентивным контролем защиты данных, превращаются в уязвимую цель, — отметил Никита Полосухин, главный эксперт центра обнаружения и противодействия киберугрозам RED Security SOC. — Вторжения чаще всего стартуют с использования известных, но не устраненных брешей в безопасности либо посредством компрометации законных учетных записей. Ситуативный метод, при котором помощь привлекается лишь после произошедшего нарушения, неизбежно влечет за собой серьезный рост как прямых убытков, так и ущерба для деловой репутации. Подключение SOC в формате аутсорсинга дает возможность осуществлять непрерывный надзор за основными каналами угроз и нейтрализовать их в зародыше».
В течение 2025 года эксперты RED Security SOC выявили и способствовали отражению около 142 тысяч кибератак, что на 9% превышает показатели предыдущего года. Наибольшая активность злоумышленников наблюдалась с августа по ноябрь, когда ежемесячное число попыток несанкционированного доступа в среднем превышало 15 тысяч, в то время как общий средний показатель за год оставался ниже 2 тысяч. Значительные пики атак также были зарегистрированы в апреле и мае, что, вероятно, связано с активизацией групп, движимых политическими интересами.
