Компания RED Security проанализировала итоги проектов по расследованию инцидентов и выявила ключевые тактики, которые киберпреступники используют для проникновения в инфраструктуры российских организаций, сообщает компания в четверг.
Анализ проводился на базе проектов в компаниях, ранее не использовавших сервисы мониторинга и реагирования на инциденты кибербезопасности и столкнувшихся с успешными кибератаками на свои инфраструктуры в 2025 году. В ходе этих проектов эксперты направления реагирования на инциденты RED Security SOC проводили расследование, выявляли точку компрометации и сценарий развития атаки, а также помогали в устранении её последствий.
Исследование показало, что почти в половине случаев причиной взлома компаний становится эксплуатация уязвимостей в веб-приложениях, доступных из сети Интернет (тактика T1190 по фреймворку MITRE ATT&CK). Это подтверждает критическую важность своевременного обновления ПО и контроля уязвимостей на внешнем IT-периметре.
Аналитики отмечают активное использование злоумышленниками цепочек уязвимостей в таких решениях, как Microsoft SharePoint (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771), TrueConf (BDU:2025-10114 и BDU:2025-10116), а также широко распространенной уязвимости React4Shell (CVE-2025-55182). Эксперты RED Security подчёркивают, что игнорирование угроз, связанных с этими уязвимостями, существенно повышает риск успешных кибератак.
Вторым по распространённости способом компрометации инфраструктур российских компаний стали атаки через подрядчиков (T1199). На его долю пришлась треть всех расследованных инцидентов – кратно больше, чем годом ранее, когда их доля не превышала 10%. Злоумышленники взламывают компании, оказывающие IT-услуги, и используют их учётные записи для доступа в инфраструктуры их заказчиков. Такая техника затрудняет обнаружение угрозы на ранних этапах и помогает киберпреступникам достичь своих целей, оставаясь полностью незаметными для технических средств защиты.
При этом, несмотря на высокую активность фишинговых кампаний от таких кибергруппировок, как BO Team, GOFFEE, PhantomCore, Old Gremlin и других, лишь 10% инцидентов начались с успешной реализации фишинга (T1566). Это может указывать на повышение осведомлённости сотрудников о подобных угрозах, но не отменяет необходимости в регулярном обучении и технических средствах защиты.
Всего за 2025 год аналитики RED Security SOC зафиксировали и помогли отразить почти 142 тысячи кибератак, что на 9% больше, чем годом ранее. Наиболее напряжённым стал период с августа по ноябрь, когда среднемесячное количество попыток вторжения превысило 15 тысяч, тогда как в среднем на протяжении года этот показатель не превышал двух тысяч. Заметные всплески активности также фиксировались в апреле и мае, что может быть связано с усилением активности политически мотивированных группировок, говорится в сообщении.
