Компания RED Security, открытая экосистема ИБ-решений и экспертизы для комплексной защиты бизнеса, проанализировала итоги проектов по расследованию инцидентов и выявила ключевые тактики, которые киберпреступники используют для проникновения в инфраструктуры российских организаций. Об этом CNews сообщили представители RED Security.

Анализ проводился на базе проектов в компаниях, ранее не использовавших сервисы мониторинга и реагирования на инциденты кибербезопасности и столкнувшихся с успешными кибератаками на свои инфраструктуры в 2025 г. В ходе этих проектов эксперты направления реагирования на инциденты RED Security SOC проводили расследование, выявляли точку компрометации и сценарий развития атаки, а также помогали в устранении ее последствий.

Исследование показало, что почти в половине случаев причиной взлома компаний становится эксплуатация уязвимостей в веб-приложениях, доступных из сети Интернет (тактика T1190 по фреймворку MITRE ATT&CK). Это подтверждает критическую важность своевременного обновления ПО и контроля уязвимостей на внешнем ИТ-периметре.

Аналитики отмечают активное использование злоумышленниками цепочек уязвимостей в таких решениях, как Microsoft SharePoint (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771), TrueConf (BDU:2025-10114 и BDU:2025-10116), а также широко распространенной уязвимости React4Shell (CVE-2025-55182). Эксперты RED Security подчеркивают, что игнорирование угроз, связанных с этими уязвимостями, существенно повышает риск успешных кибератак.

Вторым по распространенности способом компрометации инфраструктур российских компаний стали атаки через подрядчиков (T1199). На его долю пришлась треть всех расследованных инцидентов – кратно больше, чем годом ранее, когда их доля не превышала 10%. Злоумышленники взламывают компании, оказывающие ИТ-услуги, и используют их учетные записи для доступа в инфраструктуры их заказчиков. Такая техника затрудняет обнаружение угрозы на ранних этапах и помогает киберпреступникам достичь своих целей, оставаясь полностью незаметными для технических средств защиты.

При этом, несмотря на высокую активность фишинговых кампаний от таких кибергруппировок, как BO Team, GOFFEE, PhantomCore, Old Gremlin и других, лишь 10% инцидентов начались с успешной реализации фишинга (T1566). Это может указывать на повышение осведомленности сотрудников о подобных угрозах, но не отменяет необходимости в регулярном обучении и технических средствах защиты.

«Наше исследование наглядно показывает, что компании, которые экономят на проактивном мониторинге безопасности, становятся легкой мишенью, — сказал Никита Полосухин, ведущий аналитик центра мониторинга и реагирования на кибератаки RED Security SOC. — Атаки начинаются с эксплуатации известных, но не закрытых уязвимостей или через злоупотребление легитимным доступом. Реактивный подход, когда компания обращается к специалистам уже после инцидента, ведет к многократному увеличению финансовых и репутационных потерь. Внедрение SOC как сервиса позволяет круглосуточно контролировать эти ключевые векторы атак и пресекать их на самой ранней стадии».

Всего за 2025 г. аналитики RED Security SOC зафиксировали и помогли отразить почти 142 тыс. кибератак, что на 9% больше, чем годом ранее. Наиболее напряженным стал период с августа по ноябрь, когда среднемесячное количество попыток вторжения превысило 15 тыс., тогда как в среднем на протяжении 2025 г. этот показатель не превышал 2 тыс. Заметные всплески активности также фиксировались в апреле и мае, что может быть связано с усилением активности политически мотивированных группировок.

Короткая ссылка