- 22,530
- 46
- 8 Ноя 2022
Специалисты фиксируют опасный тренд — злоумышленники используют меньше уязвимостей, но атакуют гораздо агрессивнее.
В третьем квартале 2025 года Beazley Security Labs зафиксировала резкий рост активности крупнейших вымогательских групп и появление новых схем доставки инфостилеров. Основные киберпреступные кампании были сосредоточены вокруг эксплуатации уязвимостей в широко распространённых корпоративных технологиях, а также вокруг злоупотребления <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span> и поисковых систем.
В результате именно Akira , Qilin и INC Ransomware обеспечили 65% всех расследованных атак, в то время как новые методы SEO-отравления и поддельных инструментов значительно облегчали заражение конечных пользователей. Такие тенденции показывают: злоумышленники становятся агрессивнее, действуют быстрее и всё чаще переходят к непосредственному внедрению вредоносных программ на рабочих станциях, минуя традиционные схемы социальной инженерии.
С августа по сентябрь количество атак выросло особенно заметно: на эти два месяца пришлось почти половина всех зарегистрированных инцидентов. Рост совпал с масштабной кампанией группировки Akira, активно эксплуатировавшей ранее известные, но всё ещё широко встречающиеся слабые места в устройствах SonicWall. При этом SonicWall пришлось столкнуться и с собственным серьёзным кризисом: взлом облачного сервиса MySonicWall привёл к утечке конфигураций всех устройств клиентов, включая списки VPN-настроек и зашифрованные административные учётные данные. Хотя прямой связи между двумя сериями инцидентов пока не установлено, исследователи опасаются, что украденные конфигурации станут основой для новых таргетированных атак.
Несмотря на падение количества уязвимостей, добавленных CISA в список активно эксплуатируемых (KEV), злоумышленники явно не снижали активности. Наоборот, они сосредотачивались на меньшем числе критических дыр, но использовали их максимально агрессивно. Beazley зафиксировала 38-процентный рост собственных предупреждений о 0-day уязвимостях по сравнению со вторым кварталом.
Среди наиболее громких инцидентов — 0-day в Microsoft SharePoint ( ToolShell ), позволявший извлекать криптографические ключи и устанавливать веб-шеллы; серьёзная уязвимость в CrushFTP, открывавшая злоумышленникам полный дистанционный доступ; а также многочисленные кампании против Cisco ASA и NetScaler, где преступники не только проникали в устройство, но и устанавливали руткиты.
На фоне этих угроз в криминальной экосистеме заметно изменился рынок инфостилеров. После громкой международной операции ENDGAME , обрушившей инфраструктуру Lumma и RedLine, спрос в подполье сместился к более скрытным и продвинутым решениям. Особенно быстро выросла популярность Rhadamanthys — многофункционального инфостилера с поддержкой «корпоративных» пакетов, развитой системой обновлений и продуманными механизмами обхода детектирования. Этот рост сопровождался почти одновременно падением доверия к Lumma: её администраторы потеряли контроль над Telegram-каналами, домены были конфискованы, а конкуренты опубликовали сайт "Lumma Rats" с якобы персональными данными операторов.
Параллельно исследователи Beazley и SentinelLabs вскрыли обширную международную кампанию PXA Stealer — Python-базированного инфостилера, который распространялся через тщательно замаскированные документы и злоупотреблял DLL-сайдлоадингом в легитимных приложениях Microsoft. Интересно, что разработчик допустил ошибку и заразил собственный компьютер: это позволило аналитикам получить прямой доступ к его аккаунтам и инфраструктуре, что стало редким шансом заглянуть во внутреннюю кухню киберкриминального инструментария.
Отдельно специалисты отмечают всплеск атак через SEO-отравление и вредоносную рекламу. Поддельные PDF-редакторы, утилиты для удалённого доступа и другие «полезные программы» продвигались выше легитимных результатов поиска. Многие из этих инструментов получали цифровые подписи и ждали команд для загрузки вредоноса, что помогало обходить защиту и обеспечивало массовое заражение.
Общая динамика третьего квартала показывает смещение активности атакующих к ранним и средним фазам атаки — от сбора учётных данных до закрепления в сети. Однако доля поздних фаз, включающая эксфильтрацию данных и развёртывание вымогательского ПО, тоже немного выросла. В сумме это демонстрирует высокую адаптивность злоумышленников и то, как быстро они перестраивают методы под новые возможности и новые уязвимости.
По итогам квартала Beazley Security Labs делает однозначный вывод: киберпреступники действуют быстрее, используют меньше, но критичнее уязвимости, стремятся напрямую инфицировать конечные точки и активно внедряют новые инструменты вроде ИИ-генерируемых маскировок вредоносных файлов. Организациям рекомендуют усиливать защиту удалённого доступа, расширять контроль за веб-трафиком, применять многофакторную аутентификацию и рассматривать любые критически уязвимые устройства, доступные из интернета, как потенциально скомпрометированные.
В третьем квартале 2025 года Beazley Security Labs зафиксировала резкий рост активности крупнейших вымогательских групп и появление новых схем доставки инфостилеров. Основные киберпреступные кампании были сосредоточены вокруг эксплуатации уязвимостей в широко распространённых корпоративных технологиях, а также вокруг злоупотребления <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span> и поисковых систем.
В результате именно Akira , Qilin и INC Ransomware обеспечили 65% всех расследованных атак, в то время как новые методы SEO-отравления и поддельных инструментов значительно облегчали заражение конечных пользователей. Такие тенденции показывают: злоумышленники становятся агрессивнее, действуют быстрее и всё чаще переходят к непосредственному внедрению вредоносных программ на рабочих станциях, минуя традиционные схемы социальной инженерии.
С августа по сентябрь количество атак выросло особенно заметно: на эти два месяца пришлось почти половина всех зарегистрированных инцидентов. Рост совпал с масштабной кампанией группировки Akira, активно эксплуатировавшей ранее известные, но всё ещё широко встречающиеся слабые места в устройствах SonicWall. При этом SonicWall пришлось столкнуться и с собственным серьёзным кризисом: взлом облачного сервиса MySonicWall привёл к утечке конфигураций всех устройств клиентов, включая списки VPN-настроек и зашифрованные административные учётные данные. Хотя прямой связи между двумя сериями инцидентов пока не установлено, исследователи опасаются, что украденные конфигурации станут основой для новых таргетированных атак.
Несмотря на падение количества уязвимостей, добавленных CISA в список активно эксплуатируемых (KEV), злоумышленники явно не снижали активности. Наоборот, они сосредотачивались на меньшем числе критических дыр, но использовали их максимально агрессивно. Beazley зафиксировала 38-процентный рост собственных предупреждений о 0-day уязвимостях по сравнению со вторым кварталом.
Среди наиболее громких инцидентов — 0-day в Microsoft SharePoint ( ToolShell ), позволявший извлекать криптографические ключи и устанавливать веб-шеллы; серьёзная уязвимость в CrushFTP, открывавшая злоумышленникам полный дистанционный доступ; а также многочисленные кампании против Cisco ASA и NetScaler, где преступники не только проникали в устройство, но и устанавливали руткиты.
На фоне этих угроз в криминальной экосистеме заметно изменился рынок инфостилеров. После громкой международной операции ENDGAME , обрушившей инфраструктуру Lumma и RedLine, спрос в подполье сместился к более скрытным и продвинутым решениям. Особенно быстро выросла популярность Rhadamanthys — многофункционального инфостилера с поддержкой «корпоративных» пакетов, развитой системой обновлений и продуманными механизмами обхода детектирования. Этот рост сопровождался почти одновременно падением доверия к Lumma: её администраторы потеряли контроль над Telegram-каналами, домены были конфискованы, а конкуренты опубликовали сайт "Lumma Rats" с якобы персональными данными операторов.
Параллельно исследователи Beazley и SentinelLabs вскрыли обширную международную кампанию PXA Stealer — Python-базированного инфостилера, который распространялся через тщательно замаскированные документы и злоупотреблял DLL-сайдлоадингом в легитимных приложениях Microsoft. Интересно, что разработчик допустил ошибку и заразил собственный компьютер: это позволило аналитикам получить прямой доступ к его аккаунтам и инфраструктуре, что стало редким шансом заглянуть во внутреннюю кухню киберкриминального инструментария.
Отдельно специалисты отмечают всплеск атак через SEO-отравление и вредоносную рекламу. Поддельные PDF-редакторы, утилиты для удалённого доступа и другие «полезные программы» продвигались выше легитимных результатов поиска. Многие из этих инструментов получали цифровые подписи и ждали команд для загрузки вредоноса, что помогало обходить защиту и обеспечивало массовое заражение.
Общая динамика третьего квартала показывает смещение активности атакующих к ранним и средним фазам атаки — от сбора учётных данных до закрепления в сети. Однако доля поздних фаз, включающая эксфильтрацию данных и развёртывание вымогательского ПО, тоже немного выросла. В сумме это демонстрирует высокую адаптивность злоумышленников и то, как быстро они перестраивают методы под новые возможности и новые уязвимости.
По итогам квартала Beazley Security Labs делает однозначный вывод: киберпреступники действуют быстрее, используют меньше, но критичнее уязвимости, стремятся напрямую инфицировать конечные точки и активно внедряют новые инструменты вроде ИИ-генерируемых маскировок вредоносных файлов. Организациям рекомендуют усиливать защиту удалённого доступа, расширять контроль за веб-трафиком, применять многофакторную аутентификацию и рассматривать любые критически уязвимые устройства, доступные из интернета, как потенциально скомпрометированные.
- Источник новости
- www.securitylab.ru
