В F6 выделили главные киберугрозы для российских компаний в прошлом и текущем году
Более трети угроз «высокого уровня критичности», с которыми столкнулись российские компании с 1 июля 2024 года по 30 июня 2025 года, были связаны с майнерами криптовалют, говорится в исследовании компании F6. За ними по частотности идут инциденты, связанные с управляемыми человеком атаками, и использование бэкдоров. Самым популярным вектором угроз оказались загрузки пользователями вредоносных программ
Более трети (37%) угроз «высокого уровня критичности», с которыми столкнулись российские компании с 1 июля 2024 года по 30 июня 2025 года, связаны с майнерами криптовалют, говорится в исследовании разработчика технологий для борьбы с киберпреступностью F6. С ним ознакомился Forbes.
Во втором полугодии 2024 года доля таких инцидентов была еще выше (42%), в первом полугодии 2025-го она снизилась до 31%.
На втором месте по частотности инциденты, связанные с управляемыми человеком атаками (15%), на третьем — использование бэкдоров (вредоносных программ или уязвимостей), на них пришлось 14% случаев, рассказали в компании.
По сравнению с июлем—декабрем 2024 года в январе—июне 2025-го наблюдается перераспределение инструментов хакеров, отметили в F6. Так, доля инцидентов с троянами удаленного доступа (RAT) выросла с 4% до 13%. Кроме того, были зафиксированы инциденты с модульным вредоносным программным обеспечением (ПО), загрузчиками и дропперами.
«Мы наблюдаем тенденцию к усложнению инструментов и методов атакующих, а это, в свою очередь, требует повышенного внимания к многоуровневой защите и своевременной детекции новых классов угроз», — отметила глава отдела по выявлению киберинцидентов Центра кибербезопасности F6 Марина Романова.
Самым популярным вектором атаки на российские компании оказались загрузки пользователями вредоносных программ — 70% от общего количества инцидентов за 12 месяцев. Также среди распространенных способов компрометации устройств — использование зараженных съёмных накопителей (9% в среднем за 12 месяцев) и целевые фишинговые кампании (5%).
Доля инцидентов, в которых хакеры использовали уязвимости, резко снизилась — с 30% во втором полугодии 2024-го до 5% в первом полугодии 2025-го.
В случае успешного проникновения в инфраструктуру компании злоумышленники переходили к следующему этапу атаки — закреплению, разведке и развитию активности. Чаще всего (в 30% случаев) злоумышленники использовали тактику обхода защиты, которая позволяет скрывать свое присутствие и минимизировать вероятность обнаружения. Следующими по популярности в исследуемых инцидентах были тактики исполнения (TA0002: Execution, 17%) и закрепления (TA0003: Persistence, 17%). Тактика исполнения применяется злоумышленниками для запуска программ на устройствах жертв для дальнейшей атаки. Тактика закрепления обеспечивала сохранение доступа к устройству даже после перезагрузки системы или завершения сеанса.