Введение и методология
Ежедневно сервисы и продукты «Солара» распознают и блокируют десятки тысяч кибератак на тысячи организаций. Информация об угрозах, с которыми сталкиваются наши клиенты, поступает как от организаций-партнеров, так и из наших собственных источников: расследований инцидентов, анализа вредоносных инструментов, практики Threat Hunting и сети сенсоров сервиса PDNS, который осуществляет мониторинг коммуникаций различных вредоносных программ с серверами управления из зараженных сетей на территории России, что позволяет оценить распространенность угроз в стране.
DNS-серверы используются при интернет-соединении. Каждый раз, когда пользователь или приложение осуществляет попытку соединения с тем или иным веб-ресурсом, браузер делает обращение на DNS-серверу, который хранит информацию о том, какое доменное имя какому IP-адресу соответствует.
Информация о попытках соединений (резолвах) анализируется с помощью технологии Passive DNS. Она позволяет сравнить список IP-адресов, с которыми устанавливалось соединение, со списком IP-адресов, о которых известно, что они относятся к вредоносным программам и/или атакам.
Если в списке обнаруживаются резолвы к IP-адресам, которые относятся к угрозам, этот случай считается событием, потенциально указывающим на заражение инфраструктуры клиента телеком-оператора, и учитывается в статистике отчета.
В потоке данных, полученных на основе анализа PDNS, мы выделяем несколько типов угроз по их характерным признакам:
- деятельность известных профессиональных хакерских группировок (APT);
- работа инструментов удаленного администрирования (Remote Access Tools, RAT);
- заражение вредоносами-стилерами (ВПО, похищающее конфиденциальную информацию);
- присутствие ботов одного из известных ботнетов;
- заражение вымогателями;
- заражение ВПО для майнинга криптовалют;
- заражение загрузчиками — ВПО, способным устанавливать на атакованный компьютер дополнительные вредоносы;
- переход на фишинговые страницы.
Признаки заражения выявляются в российских организациях, классифицированных по двум критериям: географическое расположение и принадлежность к той или иной сфере экономики, среди которых мы выделяем семь:
- Государственный сектор
- Здравоохранение
- Образование
- Промышленность
- Финансовая индустрия
- Телекоммуникационная индустрия
- ИТ-организации
Отслеживание изменений в ландшафте угроз на основе данных PDNS позволяет получить примерное понимание того, какие угрозы представляют наибольшую опасность.
В отчете мы сравниваем статистику, собранную с сенсоров в третьем квартале 2025 года, и сравниваем ее с результатами второго квартала.
Информация в отчете является субъективной оценкой ландшафта киберугроз, сделанной на основе доступной Solar 4RAYS информации с сенсоров и ханипотов. Сведения и выводы в отчете не могут быть основанием для каких-либо решений в области практической информационной безопасности. Для детальных консультаций следует обращаться в Solar 4RAYS.
Основные результаты третьего квартала
- После роста в течение двух кварталов интенсивность атак сократилась на 47%, но все еще остается высокой. В среднем каждая компания сталкивается со 100 потенциальными заражениями в месяц.
- На фоне общего падения в других индустриях ТЭК продемонстрировала рост интенсивности атак, свидетельствующий о фокусе злоумышленников именно на этой индустрии.
- Общее число организаций, в которых было зарегистрировано хотя бы одно событие потенциального заражения, во 3-м квартале продолжило сокращаться — на 18%, с 17 тыс. до 13,8 тыс. Это «эхо» «низкого» летнего периода, а также свидетельство общего повышения уровня ИБ в компаниях.
- Начавшееся в первой половине 3-го квартала снижение доли стилеров продолжилось. По сравнению со 2-м кварталом она упала на 8 п. п. Однако доля RAT продолжила расти, как и доля индикаторов APT-группировок. Это говорит о том, что злоумышленники продолжают активно шпионить, но меняют используемые для этого средства.
- ТЭК и госсектор стали отраслями, в которых увеличилась доля событий, связанных с заражением почти всеми отслеживаемыми типами угроз.
Общая статистика в 3-м квартале 2025 года
|
Показатель |
2-й квартал |
3-й квартал |
Изменение |
|---|---|---|---|
|
Общее число срабатываний |
2 757 019 |
1 442 976 |
–47,66% |
|
Число организаций |
17 039 |
13 823 |
–18,87% |
|
Среднее количество атак на организацию |
161,8 |
104,3 |
–35,54% |
- Количество срабатываний упало почти до уровня 4-го квартала 2024 года.
- Количество атакованных организаций пока самое невысокое за всю историю наблюдений.
- Интенсивность атак (среднее число заражений на одну организацию) снизилась впервые за год.
Комментарий экспертов Solar 4RAYS. Две трети 3-го квартала (июль и август) приходится на «низкий» с точки зрения бизнес-активности период. С этим частично может быть связано снижение уровня угрозы. Кроме того, растет уровень защищенности компаний. Снижение числа срабатываний также может носить технический характер и быть уточненным результатом детектирования некоторых угроз, снижения доли ложных срабатываний.
Однако интенсивность атак остается высокой, несмотря на снижение в сравнении со вторым кварталом 2025 года (161 атака) и по итогам 3-го квартала 2025 года составил 104 атаки. Для сравнения — еще в 4-м квартале 2024 года этот показатель составлял около 40 атак на организацию в среднем. Впрочем, до конца года тренд еще может вернуться к росту. Атакующие (в особенности финансово мотивированные) в четвертом квартале обычно проявляют повышенную активность, так как это время подготовки к праздникам, связанным с распродажами (в ноябре) перед Рождеством и Новым годом.
Типы угроз и индустрии
Распределение срабатываний по типу угроз в 3-м квартале 2025 г
Распределение срабатываний по типу угроз в 2-м квартале 2025 г
Среди типов угроз наибольшую распространенность в 3-м квартале имели техики APT-группировок, стилеры и средства удаленного доступа. Тренд на снижение доли стилеров, который мы отмечали в нашем прошлом отчете, продолжается. А вот RAT продолжают набирать популярность среди атакующих.
Комментарий экспертов Solar 4RAYS. Группировки злоумышленников все чаще используют RAT, поскольку такие зловреды дают удаленный контроль над атакованной системой, в то время как, например, стилеры способны похищать лишь часть информации. Кроме того, RAT, помимо шпионской функциональности, предоставляют злоумышленникам дополнительные возможности монетизации, такие как продажа доступа во взломанную инфраструктуру.
Рост доли срабатываний на индикаторы APT-группировок можно объяснить с одной стороны тем, что компании стали эффективнее обнаруживать такие атаки, а с другой — ростом активности самих группировок. Последнее происходит в связи с напряженной геополитической обстановкой: российские организации представляют объект повышенного интереса для группировок, работающих в интересах иностранных государств.
|
Тип угрозы |
2-й кв. 2025 г. |
3-й кв. 2025 г. |
Изменение |
|---|---|---|---|
|
Средства удаленного доступа (RAT) |
19% |
24% |
+5 п. п. |
|
APT |
25% |
32% |
+7 п. п. |
|
Ботнеты |
8% |
5% |
–3 п. п. |
|
Стилеры |
38% |
30% |
–8 п. п. |
|
Майнинг |
3% |
5% |
+2 п. п. |
|
Загрузчики |
3% |
2% |
-1 п. п. |
|
Фишинг |
3% |
1% |
–2 п. п. |
|
Вымогатели |
3% |
1% |
+2 п. п. |
Атакованные сферы экономики
Атакованные индустрии в 3-м квартале 2025 г.
Атакованные индустрии в 2-м квартале 2025 г.
- Картина распределения срабатываний в 3-м квартале осталась примерно той же, что и в предыдущем квартале. В лидерах по доле в общем объеме событий, свидетельствующих о возможном заражении, остаются промышленность и здравоохранение. А вот на третьем месте теперь предприятия отрасли ТЭК с 17% событий (против 11% в прошлом квартале).
- О растущем интересе атакующих к ТЭК свидетельствует и показатель среднего числа заражений на одну организацию. Для этой отрасли он вырос на 15% — с 345 до 398 событий.
Комментарий экспертов Solar 4RAYS. Рост интереса злоумышленников к ТЭК наблюдается не впервые. Дело в том, что предприятия этого сектора входят в перечень критически важных для экономики страны. Такие объекты интересны как прогосударственным атакующим, так и киберпреступникам, намеревающимся заработать на вымогательстве.
|
Среднее количество событий |
2-й кв. 2025 г. |
3-й кв. 2025 г. |
Изменение |
|---|---|---|---|
|
Индустрия |
|
|
|
|
Здравоохранение |
330 |
151 |
–54,24% |
|
Государственный сектор |
72 |
76 |
+5,56% |
|
Промышленность |
236 |
115 |
–51,26% |
|
Образование |
57 |
33 |
–42,11% |
|
ТЭК |
345 |
398 |
+15,36% |
|
Телеком |
127 |
66 |
–48,03% |
|
Финансы |
123 |
67 |
–45,53% |
|
IT |
489 |
308 |
–37,01% |
Типы угроз: детали
Комментарий экспертов Solar 4RAYS. Как видно из графиков ниже, в 3-м квартале доля угроз росла преимущественно в двух отраслях: ТЭК и в госсекторе: заметно выросли доли стилеров, вымогателей, индикаторов APT-группировок, загрузчиков и ботнетов. Это означает, что фокус злоумышленников в 3-м квартале был направлен именно на эти отрасли.
Примечание: данные на графиках ниже представлены в процентах
Майнеры
Майнеры: 2-й и 3-й кв. 2025 г.
2-й кв. 2025 г.
3-й кв. 2025 г.
Вымогатели
Вымогатели: 2-й и 3-й кв. 2025 г.
2-й кв. 2025 г.
3-й кв. 2025 г.
Стилеры
Стилеры: 2-й и 3-й кв. 2025 г.
2-й кв. 2025 г.
3-й кв. 2025 г.
Индикаторы APT-группировок
Индикаторы APT-группировок: 2-й и 3-й кв. 2025 г.
2-й кв. 2025 г.
3-й кв. 2025 г.
Загрузчики
Загрузчики: 2-й и 3-й кв. 2025 г.
2-й кв. 2025 г.
3-й кв. 2025 г.
Ботнеты
Ботнеты: 2-й и 3-й кв. 2025 г.
2-й кв. 2025 г.
3-й кв. 2025 г.
Фишинг
Фишинг: 2-й и 3-й кв. 2025 г.
2-й кв. 2025 г.
3-й кв. 2025 г.
Средства удаленного доступа (RAT)
Средства удаленного доступа (RAT): 2-й и 3-й кв. 2025 г.
2-й кв. 2025 г.
3-й кв. 2025 г.
Заключение и рекомендации
Картина заражений в индустриях, полученная с помощью PDNS, позволяет сделать несколько выводов. Похищение конфиденциальной информации остается основной целью злоумышленников: доля стилеров продолжает падать, а инструменты и следы активности APT-группировок растут.
ТЭК и госсектор — индустрии, к которым злоумышленники проявляют повышенный интерес. Мы предполагаем, что эти индустрии останутся в центре внимания злоумышленников, как минимум, до конца года, так как деятельность таких организаций тесно связана с геополитическими событиями, а значит, будет привлекать интерес группировок атакующих.
Для надежной защиты инфраструктуры организации от кибератак эксперты Solar 4RAYS рекомендуют принимать следующие меры:
- Регулярно сканировать свой внешний периметр на предмет изменения опубликованных сервисов и наличия в них уязвимостей.
- Публиковать в интернет только действительно необходимые сервисы и осуществлять за ними повышенный контроль. Все интерфейсы управления инфраструктурой и ИБ не должны быть доступны из публичной сети.
- Использовать продвинутые средства защиты (EDR, SIEM) наряду с классическим защитным ПО, чтобы иметь возможность отслеживать события в инфраструктуре и вовремя обнаруживать нежелательные.
- Оперативно обновлять все используемое в инфраструктуре ПО.
- Строго контролировать удаленный доступ в инфраструктуру, особенно для подрядчиков.
- Предельно ответственно относиться к соблюдению парольных политик, пользоваться сервисами мониторинга утечек учетных записей и вовремя их обновлять.
- Обеспечить защиту от автоматизированных атак методом подбора.
- Создавать инфраструктуру бэкапов, следуя принципу «3-2-1», который предполагает наличие не менее трех копий данных, хранение копии как минимум на двух физических носителях разного типа и наличие минимум одной копии за пределами основной инфраструктуры.
- В случае подозрения на атаку не медлить с оценкой компрометации, а лучше — делать ее на регулярной основе.
- Заниматься повышением киберграмотности сотрудников — ведь успешная атака на основе социальной инженерии возможна даже в самой защищенной инфраструктуре.
- Следить за тем, чтобы служба ИБ имела постоянный доступ к последним сведениям о ландшафте киберугроз конкретного региона и индикаторам компрометации.
