Центр компетенций по сетевой безопасности компании «Гарда» подвел итоги активности APT-группировок за 2025 год. Анализ публичных отчетов подтверждает высокий уровень кибердавления на российские организации и устойчивый интерес злоумышленников к государственному и промышленному сегментам. Основной сценарий атак строится вокруг шпионажа и подрыва работы инфраструктуры, при этом противники все чаще уходят от шумных техник и действуют скрытно и методично.
Во всех рассмотренных кампаниях отправной точкой компрометации инфраструктуры стал фишинг. Анализ показал, что каждая из выявленных группировок работала против российских государственных учреждений. Следом по частоте атак идут промышленность и энергетика, затем телекоммуникации и образование. В ряде кампаний злоумышленники комбинировали кражу данных с их последующим уничтожением, а в других – выстраивали долгосрочное присутствие, чтобы выкачивать документы и учетные данные.
Злоумышленники делают ставку на две стратегии: таргетированные рассылки и маскировку вредоносных файлов под легитимные документы и утилиты. Причем контент писем подстраивается под профиль жертвы, повышая тем самым вероятность открытия и запуска нагрузки. После первичного доступа атакующие закрепляются в системе, при этом они опираются на общедоступные инструменты администрирования, средства туннелирования и фреймворки постэксплуатации.
Злоумышленники активно применяют PowerShell-скрипты, задания планировщика, ключи автозапуска в реестре и установку легитимных агентов удаленного управления. Такой подход позволяет сохранить доступ после перезагрузки и не привлекать внимание средств защиты, ориентированных на поиск явного вредоносного кода.
На этапе развития атаки группировки переходят к разведке и боковому перемещению. Они собирают сведения об учетных записях, доменной структуре и сетевых ресурсах, используют инструменты для анализа Active Directory и сетевого сканирования. Для перемещения между узлами применяются штатные протоколы Windows, RDP, SMB и WinRM, а также украденные учетные данные.
Управление зараженными системами строится через C2-инфраструктуру с маскировкой трафика. Атакующие используют HTTPS, WebSocket и туннелирование через сервисы вроде ngrok или публичные облачные платформы. Это усложняет сетевой анализ и позволяет скрывать реальные серверы управления. В ряде атак фиксируется переход на новые открытые C2-фреймворки (например, AdaptixC2), которые дорабатываются под конкретные задачи.
«Результаты исследования показывают, что атакующие все чаще маскируют вредоносную активность под штатные процессы и легитимное администрирование. Поэтому так важно не только контролировать все действия в инфраструктуре, но и обогащать системы защиты потоками данных об угрозах, TI-фидами. Они позволяют заранее учитывать тактики, техники и инструменты конкретных группировок, быстрее выявлять подозрительные цепочки событий и сокращать время реакции на инциденты», – отметил Илья Селезнев, руководитель продукта «Гарда Threat Intelligence Feeds».
14-15 апреля 2026 года в Москве в кластере «Ломоносов» пройдёт специализированный практический форум по тематике ГосСОПКА.
Федеральное бюро расследований подтвердило факт несанкционированного доступа к своим внутренним сетям.
Согласно аналитике центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар», число утечек баз данных российских компаний в 2025 году снизилось на 23% по сравнению с 2024 годом — до 367 инцидентов.
Французская жандармерия при содействии ФБР задержала на острове Сен-Мартен Джона Дагиту, подрядчика правительства США, обвиняемого в хищении более $46 млн в криптовалюте у Службы маршалов США (U.
APK-файл семейства Pulsar SMS Stealer обнаружили эксперты компании «Перспективный мониторинг».
При участии более 100 представителей компаний Санкт-Петербурга, в том числе ООО «Газинформсервис», состоялось первое в 2026 году заседание Экспортного совета при Губернаторе города.
Из опроса SuperJob следует, что сегодня доля предприятий и организаций, практикующих дистанционную занятость, составляет 35%.
Компания «Газинформсервис», разработчик российских продуктов в области кибербезопасности, впервые примет участие в INFOSTART TEAM EVENT 2026 в Москве в статусе партнёра секции «Кибербезопасность и защита данных» и представит собственный стенд.
1000 сотрудников Администрации города Иванова начали пользоваться российской почтовой системой RuPost.
С 5 марта в Москве фиксируются масштабные перебои в работе мобильного интернета и голосовой связи.
