Развитие информационных угроз во втором квартале 2025 года. Статистика по ПК

Развитие информационных угроз во втором квартале 2025 года. Статистика по ПК
Развитие информационных угроз во втором квартале 2025 года. Мобильная статистика

Статистика в этом отчете основана на детектирующих вердиктах продуктов «Лаборатории Касперского», если не указано иное. Информация предоставлена пользователями продуктов «Лаборатории Касперского», подтвердившими свое согласие на передачу статистических данных.

Цифры квартала

Во втором квартале 2025 года:

• решения «Лаборатории Касперского» отразили более 471 миллиона атак с различных интернет-ресурсов;
• веб-антивирус среагировал на 77 миллионов уникальных ссылок;
• файловый антивирус заблокировал более 23 миллионов вредоносных и потенциально нежелательных объектов;
• было обнаружено 1702 новых модификации шифровальщиков;
• чуть менее 86 тысяч пользователей столкнулись с атаками шифровальщиков;
• 12% всех жертв шифровальщиков, данные которых опубликованы на DLS-сайтах (Data Leak Site) группировок, пострадали от Qilin;
• почти 280 тысяч пользователей столкнулись с майнерами.

Вредоносные программы-шифровальщики

Главные тенденции и события квартала

Успехи правоохранителей

США предъявили обвинения злоумышленнику, стоящему за атаками с применением шифровальщика Black Kingdom. Это гражданин Йемена, он обвиняется в заражении около 1500 компьютеров в США и в других странах через уязвимости в Microsoft Exchange, а также в вымогательстве выкупа в размере $10 000 в биткоинах — такую сумму видели жертвы в записке о выкупе. Утверждается, что он же является и разработчиком шифровальщика Black Kingdom.

Гражданин Украины экстрадирован в США по делу Nefilim. Он был задержан в Испании в июне 2024 года по обвинению в распространении шифровальщика и вымогательстве. По данным следствия, он участвовал в программе Nefilim RaaS с 2021 года и атаковал организации с высоким уровнем дохода. Nefilim использует классическую схему двойного вымогательства: злоумышленники крадут данные жертвы перед шифрованием и угрожают опубликовать их в Сети.

Арестован злоумышленник, участвовавший в группировке Ryuk и ответственный за организацию первичного доступа в сети жертв (initial access broker). В апреле 2025 года его арестовали в Киеве по запросу ФБР, а в июне экстрадировали в США.

Задержан подозреваемый в участии в атаках группировки DoppelPaymer. В результате совместной операции правоохранительных органов Нидерландов и Молдовы в мае был арестован 45-летний мужчина, обвиняемый в атаках против нидерландских организаций в 2021 году; изъято около €84 800 и несколько устройств.

39-летний гражданин Ирана признал себя виновным в участии в атаках с использованием шифровальщика RobbinHood. Атаки проводились с 2019 по 2024 год и были направлены в том числе против местных органов власти США, поставщиков медицинских услуг и некоммерческих организаций.

Уязвимости и атаки

Массовая эксплуатация уязвимости в SAP NetWeaver

В мае стало известно, что несколько вымогательских групп (в частности, BianLian и RansomExx) воспользовались CVE-2025-31324 в ПО SAP NetWeaver. Успешная эксплуатация этой уязвимости позволяет злоумышленникам загружать вредоносные файлы без аутентификации, что потенциально приводит к полной компрометации системы.

Атаки через инструмент удаленного администрирования SimpleHelp

Группа DragonForce скомпрометировала MSP-провайдера и атаковала его клиентов через инструмент удаленного администрирования SimpleHelp. По заявлению исследователей, атакующие проэксплуатировали набор уязвимостей CVE-2024-57727, CVE-2024-57728 и CVE-2024-57726 в этом ПО, чтобы запустить на хостах жертв шифровальщик DragonForce.

Qilin использует уязвимости Fortinet

В июне стало известно, что группировка Qilin (также известная как Agenda) активно использует критические уязвимости в устройствах Fortinet для проникновения в корпоративные сети. Утверждается, что атакующие эксплуатируют уязвимости CVE-2024-21762 и CVE-2024-55591 в ПО устройств FortiGate, что позволяет им обойти аутентификацию и удаленно исполнить вредоносный код. После проникновения злоумышленники шифруют данные в системах внутри корпоративной сети и требуют выкуп.

Эксплуатация уязвимости Windows CLFS

В апреле были зафиксированы атаки с использованием CVE-2025-29824, уязвимости нулевого дня в драйвере Common Log File System, который является системным компонентом ОС Windows. Эта уязвимость позволяет злоумышленнику повышать привилегии в скомпрометированной системе. Исследователи связали инциденты с работой группировок RansomExx и Play. Целями атакующих стали компании в Северной и Южной Америке, Европе и на Ближнем Востоке.

Наиболее активные группировки

В этом разделе приводятся наиболее активные вымогательские группы по количеству жертв, добавленных на DLS (Data Leak Site) каждой из них за отчетный период. Во втором квартале самой «плодовитой» оказалась группа Qilin (12,07%). Лидер 2024 года и первого квартала, RansomHub, судя по всему, с апреля ушел в тень. Группы Clop (10,83%) и Akira (8,53%) по сравнению с предыдущим отчетным периодом поменялись местами.

Доля жертв конкретной группы (по данным сайта DLS конкретной группировки) среди всех жертв всех групп, опубликованных на всех рассмотренных сайтах DLS за отчетный период (скачать)

Количество новых модификаций

Во втором квартале решения «Лаборатории Касперского» обнаружили три новых семейства и 1702 новые модификации шифровальщиков. Их количество значительно меньше, чем в предыдущий отчетный период. Это связано с тем, что после всплеска в прошлом квартале вновь снизилось число вердиктов Trojan-Ransom.Win32.Gen.

Количество новых модификаций шифровальщиков, Q2 2024 — Q2 2025 (скачать)

Количество пользователей, атакованных троянцами-шифровальщиками

Всего за квартал наши решения защитили от шифровальщиков 85 702 уникальных пользователя.

Количество уникальных пользователей, атакованных троянцами-шифровальщиками, Q2 2025 (скачать)

География атак

TОР 10 стран и территорий, подвергшихся атакам троянцев-шифровальщиков

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно мало (менее 50 000).
** Доля уникальных пользователей, компьютеры которых были атакованы троянцами-шифровальщиками, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

TОР 10 наиболее распространенных семейств троянцев-шифровальщиков

* Доля уникальных пользователей «Лаборатории Касперского», подвергшихся атакам конкретного семейства троянцев-вымогателей, от всех пользователей, подвергшихся атакам троянцев-вымогателей.

Майнеры

Количество новых модификаций

Во втором квартале 2025 года решения «Лаборатории Касперского» обнаружили 2245 новых модификаций майнеров.

Количество новых модификаций майнеров, Q2 2025 (скачать)

Количество пользователей, атакованных майнерами

Во втором квартале мы обнаружили атаки с использованием программ-майнеров на компьютерах 279 630 уникальных пользователей продуктов «Лаборатории Касперского» по всему миру.

Количество уникальных пользователей, атакованных майнерами, Q2 2025 (скачать)

География атак

TОР 10 стран и территорий, подвергшихся атакам майнеров

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно мало (менее 50 000).
** Доля уникальных пользователей, компьютеры которых были атакованы майнерами, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

Атаки на macOS

Среди угроз для macOS одной из самых больших находок второго квартала стало семейство PasivRobber — шпион, состоящий из огромного количества модулей, предназначенных для воровства данных из QQ, WeChat и других мессенджеров и приложений, в основном популярных среди китайских пользователей. Отличительной его особенностью является то, что шпионские модули встраиваются в целевой процесс в момент перехода устройства в режим сна.

Ближе к середине квартала появилось несколько сообщений (1, 2, 3) об активизировавшихся злоумышленниках, которые выдавали себя за доверенные контакты жертвы в Telegram и убеждали ее созвониться с ними в Zoom. В ходе звонка или перед ним пользователя убеждали запустить якобы связанную с Zoom утилиту, которая на самом деле была зловредом. Цепочка заражения приводила к загрузке бэкдора, написанного на языке Nim, и bash-скриптов, ворующих данные из браузеров.

TOP 20 угроз для macOS

Доля* уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей защитных решений «Лаборатории Касперского» для macOS (скачать)

* Данные за предыдущий квартал могут незначительно отличаться от опубликованных ранее в связи с ретроспективным пересмотром некоторых вердиктов.

Обнаруженный во втором квартале шпион PasivRobber сразу же занял все верхние позиции по числу атакованных пользователей, лидировав с большим отрывом от привычных для macOS поддельных «чистилок» и рекламных приложений. Также среди наиболее распространенных угроз остались ворующий пароли и данные криптокошельков троянец Amos и собирательный детект Trojan.OSX.Agent.gen, которые мы описывали в предыдущем отчете.

География угроз для macOS

TOP 10 стран и территорий по доле атакованных пользователей

* Доля уникальных пользователей, столкнувшихся с угрозами для macOS, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

Статистика IoT-угроз

В этом разделе приводится статистика атак на IoT-ханипоты «Лаборатории Касперского». Данные о географии источников атак основаны на IP-адресах атакующих устройств.

Во втором квартале 2025 года в очередной раз выросла как доля атак по протоколу Telnet, так и доля устройств, подключающихся к ловушкам «Лаборатории Касперского» по этому протоколу.

Распределение атакуемых сервисов по числу уникальных IP-адресов устройств, проводивших атаки (скачать)

Распределение рабочих сессий киберпреступников с ловушками «Лаборатории Касперского»  (скачать)

TOP 10 угроз, загружаемых на IoT-устройства

Доля определенной угрозы, которая была загружена на зараженное устройство в результате успешной атаки, от общего количества загруженных угроз (скачать)

Во втором квартале среди угроз, которые злоумышленники загружали на наши ханипоты, заметно выросла доля ботнета NyaDrop (30,27%). В свою очередь, число вариантов Mirai в списке наиболее распространенных зловредов снизилось. Уменьшилась и доля большинства из них. Кроме того, после всплеска в первом квартале снова сократилась доля майнеров BitCoinMiner (1,57%).

В отчетный период список самых распространенных IoT-угроз пополнился новыми семействами. Заметно выросла активность бэкдора Agent.nx (4,48%), который управляется через P2P, а именно — через распределенную хэш-таблицу BitTorrent DHT. Другой «новичок» в списке, Prometei, — это Linux-версия ботнета для Windows, впервые обнаруженного в декабре 2020 года.

Атаки на IoT-ханипоты

В географическом распределении атак по протоколу SSH резко увеличилась доля атак из Германии и США.

Доля атак по протоколу Telnet с территории Китая и Индии по-прежнему высока, суммарно с территории этих стран производится более половины всех атак на ханипоты «Лаборатории Касперского».

Атаки через веб-ресурсы

Статистические данные в этом разделе основаны на детектирующих вердиктах веб-антивируса, который защищает пользователей в момент загрузки подозрительных объектов с вредоносной или зараженной веб-страницы. Вредоносные страницы злоумышленники создают целенаправленно. Зараженными могут оказаться те веб-ресурсы, где контент создают сами пользователи (например, форумы), а также взломанные легитимные ресурсы.

Страны и территории — источники веб-атак: TOP 10

Раздел содержит распределение по странам и территориям источников интернет-атак, заблокированных продуктами «Лаборатории Касперского» (веб-страницы с редиректами на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами и т. д.). Отметим, что каждый уникальный хост мог быть источником одной и более веб-атак.

Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установления географического местоположения данного IP-адреса (GeoIP).

Во втором квартале 2025 года решения «Лаборатории Касперского» отразили 471 066 028 атак с интернет-ресурсов по всему миру. Веб-антивирус среагировал на 77 371 384 уникальных URL.

Распределение источников веб-атак по странам, Q2 2025 (скачать)

Страны и территории, где пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения вредоносными программами через интернет, которому подвергаются компьютеры пользователей в разных странах и на разных территориях мира, мы подсчитали для каждой из них долю пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием веб-антивируса в отчетный период. Полученные данные являются показателем агрессивности среды, в которой работают компьютеры в разных странах и на разных территориях.

Напомним, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы не учитывали срабатывания веб-антивируса на потенциально опасные и нежелательные программы, такие как RiskTool и рекламные программы.

* При расчетах мы исключили страны и территории, в которых число пользователей «Лаборатории Касперского» относительно мало (меньше 10 000).
** Доля уникальных пользователей, подвергшихся веб-атакам вредоносных объектов класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране.

В среднем в течение квартала 6,36% компьютеров пользователей интернета в мире хотя бы один раз подвергались веб-атаке класса Malware.

Локальные угрозы

Важным показателем является статистика локальных заражений пользовательских компьютеров. Сюда попадают объекты, которые проникли на компьютер путем заражения файлов или съемных носителей либо изначально попали на компьютер не в открытом виде (например, программы в составе сложных инсталляторов, зашифрованные файлы и т. д.).

В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, и данные по сканированию различных съемных носителей информации. Статистика основана на детектирующих вердиктах модулей OAS (On-Access Scan) и ODS (On-Demand Scan) файлового антивируса. Учитывались вредоносные программы, найденные непосредственно на компьютерах пользователей или же на съемных носителях, подключенных к компьютерам, — флешках, картах памяти фотоаппаратов, телефонах, внешних жестких дисках.

Во втором квартале 2025 года наш файловый антивирус зафиксировал 23 260 596 вредоносных и потенциально нежелательных объектов.

Страны и территории, где компьютеры пользователей подвергались наибольшему риску локального заражения

Для каждой из стран и территорий мы подсчитали долю пользователей продуктов «Лаборатории Касперского», на чьих устройствах файловый антивирус сработал хотя бы раз за отчетный период. Эта статистика отражает уровень зараженности персональных компьютеров в различных странах и на разных территориях мира.

Отметим, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы не учитывали срабатывания файлового антивируса на потенциально опасные или нежелательные программы, такие как RiskTool и рекламные программы.

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно мало (менее 10 000).
** Доля уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в мире хотя бы один раз в течение третьего квартала локальные угрозы класса Malware были зафиксированы на 12,94% компьютеров пользователей.

Показатель России в этом рейтинге составил 14,27%.