Анализ проводился на базе проектов в компаниях, ранее не использовавших сервисы мониторинга и реагирования на инциденты кибербезопасности и столкнувшихся с успешными кибератаками на свои инфраструктуры в 2025 году. В ходе этих проектов эксперты направления реагирования на инциденты RED Security SOC проводили расследование, выявляли точку компрометации и сценарий развития атаки, а также помогали в устранении ее последствий.
Исследование показало, что почти в половине случаев причиной взлома компаний становится эксплуатация уязвимостей в веб-приложениях, доступных из сети Интернет (тактика T1190 по фреймворку MITRE ATT&CK). Это подтверждает критическую важность своевременного обновления ПО и контроля уязвимостей на внешнем ИТ-периметре.
Аналитики отмечают активное использование злоумышленниками цепочек уязвимостей в таких решениях, как Microsoft SharePoint (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771), TrueConf (BDU:2025-10114 и BDU:2025-10116), а также широко распространенной уязвимости React4Shell (CVE-2025-55182). Эксперты RED Security подчеркивают, что игнорирование угроз, связанных с этими уязвимостями, существенно повышает риск успешных кибератак.
Вторым по распространенности способом компрометации инфраструктур российских компаний стали атаки через подрядчиков (T1199). На его долю пришлась треть всех расследованных инцидентов – кратно больше, чем годом ранее, когда их доля не превышала 10%. Злоумышленники взламывают компании, оказывающие ИТ-услуги, и используют их учетные записи для доступа в инфраструктуры их заказчиков. Такая техника затрудняет обнаружение угрозы на ранних этапах и помогает киберпреступникам достичь своих целей, оставаясь полностью незаметными для технических средств защиты.
При этом, несмотря на высокую активность фишинговых кампаний от таких кибергруппировок, как BO Team, GOFFEE, PhantomCore, Old Gremlin и других, лишь 10% инцидентов начались с успешной реализации фишинга (T1566). Это может указывать на повышение осведомленности сотрудников о подобных угрозах, но не отменяет необходимости в регулярном обучении и технических средствах защиты.
«Наше исследование наглядно показывает, что компании, которые экономят на проактивном мониторинге безопасности, становятся легкой мишенью, — комментирует Никита Полосухин, ведущий аналитик центра мониторинга и реагирования на кибератаки RED Security SOC. — Атаки начинаются с эксплуатации известных, но не закрытых уязвимостей или через злоупотребление легитимным доступом. Реактивный подход, когда компания обращается к специалистам уже после инцидента, ведет к многократному увеличению финансовых и репутационных потерь. Внедрение SOC как сервиса позволяет круглосуточно контролировать эти ключевые векторы атак и пресекать их на самой ранней стадии».
Всего за 2025 год аналитики RED Security SOC зафиксировали и помогли отразить почти 142 тысячи кибератак, что на 9% больше, чем годом ранее. Наиболее напряженным стал период с августа по ноябрь, когда среднемесячное количество попыток вторжения превысило 15 тысяч, тогда как в среднем на протяжении года этот показатель не превышал двух тысяч. Заметные всплески активности также фиксировались в апреле и мае, что может быть связано с усилением активности политически мотивированных группировок.
RED Security SOC предоставляет сервисы защиты от киберугроз в режиме 24/7 и ежедневно обрабатывает более 8,6 млрд событий информационной безопасности в инфраструктурах заказчиков. Эксперты центра мониторинга выявляют цепочки кибератак и выдают рекомендации, которые помогают заблокировать их развитие на ранних стадиях – до того, как злоумышленники достигнут своей цели и нанесут ущерб организации.
