Эксперты Центра кибербезопасности F6 подвели итоги анализа критических инцидентов, произошедших в российских организациях с июля 2024 по июнь 2025 года. Исследование показало, что основной угрозой остаются майнеры криптовалют: на них пришлось 37 % всех случаев, хотя их доля постепенно снижается – в начале 2025 года она сократилась примерно до 31 %. Это объясняется как активной работой по очистке корпоративных сетей, так и тем, что злоумышленники постепенно переключаются на другие, более прибыльные методы атак.
На втором месте по распространённости оказались атаки, управляемые человеком, то есть ручные взломы и целенаправленные проникновения в корпоративные сети, они составили около 15 %. Замыкают тройку бэкдоры с долей 14 %. Отдельно специалисты отмечают рост активности троянов удалённого доступа (RAT): если в 2024 году они были задействованы лишь в 4 % инцидентов, то к середине 2025-го их доля выросла более чем втрое, до 13 %. Помимо этого, фиксировались дропперы, загрузчики и другие разновидности модульного вредоносного ПО, часто применяемые в составе многоступенчатых атак.
Главной причиной заражений остаётся человеческий фактор: около 70 % всех инцидентов связаны с установкой программ из непроверенных источников. В первой половине 2025 года этот показатель вырос до 74 %, что говорит о том, что сотрудники компаний по-прежнему не всегда следуют базовым правилам кибергигиены. Среди других каналов распространения угроз выделяются заражённые USB-носители (около 9 %) и фишинговые рассылки (около 5 %). В последнем случае чаще всего злоумышленники распространяют шпионское ПО и стилеры – их доля в подобных письмах достигает 83 %.
Отдельно эксперты F6 отмечают заметное снижение атак через эксплуатацию уязвимостей – с 30 % во второй половине 2024 года до всего 5 % к середине 2025-го. Это связывают с активным применением систем централизованного обновления и повышением уровня киберзащиты.
По тактикам злоумышленников лидирует «обход защиты» (Defense Evasion) – около 30 % всех выявленных случаев. Далее следуют тактики «исполнение» (Execution) и «закрепление» (Persistence), по 17 % каждая. F6 отмечает, что злоумышленники всё чаще используют продуманные многоступенчатые схемы с элементами маскировки, что требует от компаний перехода от пассивного мониторинга к активным стратегиям обнаружения, изоляции и реагирования на инциденты.