Развитие информационных угроз в третьем квартале 2025 года. Статистика по ПК

Развитие информационных угроз в третьем квартале 2025 года. Мобильная статистика
Развитие информационных угроз в третьем квартале 2025 года. Статистика по ПК

Цифры квартала

В третьем квартале 2025 года:

• решения «Лаборатории Касперского» отразили более 389 миллионов атак с различных интернет-ресурсов;
• веб-антивирус среагировал на 52 миллиона уникальных ссылок;
• файловый антивирус заблокировал более 21 миллиона вредоносных и потенциально нежелательных объектов;
• было обнаружено 2,2 тысячи новых модификаций шифровальщиков;
• почти 85 тысяч пользователей столкнулись с атаками шифровальщиков;
• 15% всех жертв шифровальщиков, данные которых опубликованы на DLS-сайтах (Data Leak Site) группировок, пострадали от Qilin;
• более 254 тысяч пользователей столкнулись с майнерами.

Вредоносные программы-шифровальщики

Главные тенденции и события квартала

Успехи правоохранителей

Национальное агентство Великобритании по борьбе с преступностью (NCA) расследования атаки шифровальщика, вызвавшей сбои во многих европейских аэропортах в сентябре 2025 года, арестовало первого подозреваемого. Подробностей не опубликовали, поскольку расследование еще продолжается. По данным исследователя безопасности Кевина Бомонта (Kevin Beaumont), в атаке использовался шифровальщик HardBit, который эксперт охарактеризовал как примитивный и не имеющий собственного DLS.

Минюст США предъявил обвинения администратору вымогательских группировок LockerGoga, MegaCortex и Nefilim. Его атаки нанесли ущерб на миллионы долларов, и он входил в списки лиц, которых разыскивали как ФБР, так и Евросоюз.

Также власти США изъяли более $2,8 млн в криптовалюте, $70 тыс. наличными и люксовый автомобиль у подозреваемого в распространении шифровальщика Zeppelin. Преступная схема включала кражу данных, шифрование файлов и вымогательство, а жертвами стало множество организаций по всему миру.

ФБР, Служба расследований внутренней безопасности (HSI), налоговая служба США (IRS), а также правоохранительные органы нескольких других стран провели скоординированную международную операцию, в ходе которой ликвидировали инфраструктуру шифровальщика BlackSuit. Они изъяли четыре сервера, девять доменов и $1,09 млн в криптовалюте. Операция была направлена на дестабилизацию экосистемы вредоносного ПО и защиту критической инфраструктуры США.

Уязвимости и атаки

Атаки на SonicWall через SSL VPN

С конца июля исследователи фиксируют рост числа атак группировки Akira на межсетевые экраны SonicWall с поддержкой SSL VPN. Компания SonicWall связывает инциденты с уже исправленной уязвимостью CVE-2024-40766, позволяющей неавторизованным пользователям получать доступ к системным ресурсам. С ее помощью злоумышленники могли украсть учетные данные, чтобы впоследствии использовать их для доступа в том числе к пропатченным устройствам. При этом злоумышленники обходили многофакторную аутентификацию, включенную на устройствах. SonicWall призывает сбросить все пароли и обновить прошивку SonicOS.

Scattered Spider взламывает VMware ESXi через социальную инженерию

Группа Scattered Spider (UNC3944) атакует виртуальные среды VMware, выдавая себя за сотрудников компании. Злоумышленники звонят в IT-поддержку и убеждают сбросить пароль Active Directory. Получив доступ к vCenter, они включают SSH на ESXi-серверах, извлекают базу NTDS.dit, а на завершающем этапе атаки запускают вымогательское ПО, шифруя все виртуальные машины.

Эксплуатация уязвимости Microsoft SharePoint

В конце июля исследователи выявили атаки на SharePoint-серверы с использованием цепочки уязвимостей ToolShell. В ходе исследования кампании, затронувшей более 140 организаций по всему миру, обнаружен вымогатель 4L4MD4R, основанный на коде Mauri870. Зловред написан на Go и упакован с помощью UPX. В качестве выкупа он требует 0,005 BTC.

Использование ИИ применительно к шифровальщикам

Британский злоумышленник с помощью Claude создал и запустил платформу Ransomware-as-a-Service (RaaS). ИИ написал код, в котором реализованы антиотладочные техники, шифрование при помощи алгоритмов ChaCha20 + RSA, функции удаления теневых копий и шифрования сетевых файлов.

Anthropic отмечает, что злоумышленник почти полностью зависел от Claude, не обладая нужными техническими знаниями для предоставления техподдержки своим клиентам. Готовые комплекты вредоносного ПО злоумышленник продавал в даркнете за $400–1200.

Кроме того, исследователи обнаружили шифровальщик, использующий LLM-модель непосредственно в ходе атаки, и дали ему название PromptLock. Программа написана на Go. При помощи жестко заданных затравок она динамически генерирует Lua-скрипты для кражи и шифрования данных в системах Windows, macOS и Linux. Для шифрования применен редко используемый шифровальщиками алгоритм SPECK-128.

Впоследствии ученые из NYU Tandon School of Engineering отметили, что PromptLock, вероятно, основан на их учебном проекте Ransomware 3.0, который они описали в своей публикации.

Наиболее активные группировки

В этом разделе приводятся данные о наиболее активных вымогательских группах с точки зрения количества жертв, добавленных на их DLS. Как и в прошлом квартале, самой «продуктивной» была группа Qilin, чья доля выросла на 1,89 п. п. и составила 14,96%. Шифровальщик Clop снизил свою активность, а доля Akira (10,02%) незначительно выросла. На третье место поднялась группа INC Ransom (8,15%), действующая с 2023 года.

Доля жертв данной группы (по данным ее сайта DLS) среди всех жертв всех групп, опубликованных на всех рассмотренных сайтах DLS за отчетный период (скачать)

Количество новых модификаций

В третьем квартале решения «Лаборатории Касперского» обнаружили 4 новых семейства и 2259 новых модификаций шифровальщиков — почти на треть больше, чем во втором квартале 2025 года, и незначительно больше, чем в третьем квартале 2024-го.

Количество новых модификаций шифровальщиков, Q3 2024 — Q3 2025 (скачать)

Количество пользователей, атакованных троянцами-шифровальщиками

За отчетный период наши решения защитили от шифровальщиков 84 903 уникальных пользователя. Наиболее высокой активность вымогательского ПО была в июле, а август оказался самым тихим месяцем.

Количество уникальных пользователей, атакованных троянцами-шифровальщиками, Q3 2025 (скачать)

География атак

TOP 10 стран, подвергшихся атакам троянцев-шифровальщиков

В третьем квартале самая высокая доля атакованных пользователей была в Израиле (1,42%). Большая часть шифровальщиков в этой стране была обнаружена в августе при помощи поведенческого анализа.

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно мало (менее 50 000).
** Доля уникальных пользователей, компьютеры которых были атакованы троянцами-шифровальщиками, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

TOP 10 наиболее распространенных семейств троянцев-шифровальщиков

* Доля уникальных пользователей «Лаборатории Касперского», подвергшихся атакам конкретного семейства троянцев-вымогателей, от общего числа пользователей, подвергшихся атакам троянцев-вымогателей.

Майнеры

Количество новых модификаций

В третьем квартале 2025 года решения «Лаборатории Касперского» обнаружили 2863 новых модификации майнеров.

Количество новых модификаций майнеров, Q3 2025 (скачать)

Количество пользователей, атакованных майнерами

Во втором квартале мы обнаружили атаки с использованием программ-майнеров на компьютерах 254 414 уникальных пользователей продуктов «Лаборатории Касперского» по всему миру.

Количество уникальных пользователей, атакованных майнерами, Q3 2025 (download)

География атак

TOP 10 стран и территорий, подвергшихся атакам майнеров

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно мало (менее 50 000).
** Доля уникальных пользователей, компьютеры которых были атакованы майнерами, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

Атаки на macOS

В апреле исследователи из компании Iru (бывшая Kandji) сообщили о новом шпионском ПО PasivRobber. На протяжении третьего квартала мы наблюдали развитие этого семейства. В новых модификациях появились дополнительные исполняемые модули, которых не было в предыдущих.

Кроме того, злоумышленники начали использовать техники обфускации в попытках затруднить детектирование образцов.

В июле мы рассказывали о криптостилере, распространявшемся через поддельные расширения для среды разработки Cursor AI на базу Visual Studio Сode. Тогда вредоносный JS-скрипт загружал нагрузку в виде утилиты удаленного доступа ScreenConnect, через которую на устройство жертвы доставлялись вредоносные VBS-скрипты, нацеленные на кражу криптовалюты. Позднее исследователь Майкл Боканегра (Michael Bocanegra) сообщил о новых поддельных расширениях для VS Code, в которых также выполнялся вредоносный JS-код. На этот раз он загружал вредоносную нагрузку для macOS в виде загрузчика на Rust, который в свою очередь доставлял на устройство жертвы бэкдор, предположительно также нацеленный на кражу криптовалюты и поддерживающий загрузку дополнительных модулей для сбора данных об устройстве жертвы. Rust-загрузчик подробно разобрали исследователи из Iru.

В сентябре исследователи из Jamf сообщили об обнаружении ранее неизвестной версии модульного бэкдора ChillyHell, впервые описанного в 2023 году. Примечательно, что исполняемые файлы троянца на момент обнаружения были подписаны действительным сертификатом разработчика.

Новый образец был доступен на Dropbox с 2021 года. Помимо функциональности бэкдора он также содержит модуль, отвечающий за брутфорс паролей существующих в системе пользователей.

К концу третьего квартала исследователи Microsoft сообщили о новых версиях шпиона XCSSET, нацеленного на разработчиков и распространяющегося в зараженных Xcode-проектах. В них появились дополнительные модули для кражи данных и закрепления в системе.

TOP 20 угроз для macOS

Доля* уникальных пользователей, столкнувшихся с данным зловредом, от всех атакованных пользователей защитных решений «Лаборатории Касперского» для macOS (скачать)

* Данные за предыдущий квартал могут незначительно отличаться от опубликованных ранее в связи с ретроспективным пересмотром некоторых вердиктов.

Шпион PasivRobber продолжает наращивать свою активность. Его модификации занимают верхние строчки в списке наиболее распространенных зловредов для macOS. Также в число самых активных попали троянцы Amos, ворующие пароли и данные криптокошельков, и различные рекламные приложения. Бэкдоры Backdoor.OSX.Agent.l, занявшие тринадцатую строчку, представляют собой вариацию известного зловреда Mettle с открытым исходным кодом.

География угроз для macOS

TOP 10 стран и территорий по доле атакованных пользователей

Статистика IoT-угроз

В этом разделе приводится статистика атак на IoT-ханипоты «Лаборатории Касперского». Данные о географии источников атак основаны на IP-адресах атакующих устройств.

В третьем квартале 2025 года незначительно выросла доля устройств, атакующих ловушки «Лаборатории Касперского» по протоколу SSH.

Распределение атакуемых сервисов по числу уникальных IP-адресов устройств, проводивших атаки (скачать)

Доля атак по протоколу SSH при этом, напротив, незначительно снизилась.

Распределение рабочих сессий киберпреступников с ловушками «Лаборатории Касперского» (скачать)

TOP 10 угроз, загружаемых на IoT-устройства

Доля определенной угрозы, которая была загружена на зараженное устройство в результате успешной атаки, от общего количества загруженных угроз (скачать)

В третьем квартале значительно уменьшились доли ботнетов NyaDrop и Mirai.b в общей массе IoT-угроз, зато возросла активность некоторых других представителей семейства Mirai, а также ботнета Gafgyt. При этом большую часть списка самых распространенных зловредов, как обычно, занимают различные варианты Mirai.

Атаки на IoT-ханипоты

В распределении атак по протоколу SSH по-прежнему «лидируют» Германия и США. Также несколько выросла доля атак из Панамы и Ирана.

Больше всего атак по протоколу Telnet, как обычно, осуществлялось с территории Китая. Устройства, расположенные в Индии, снизили свою активность, а доля атак из Индонезии, напротив, выросла.

Атаки через веб-ресурсы

Статистические данные в этом разделе основаны на детектирующих вердиктах веб-антивируса, который защищает пользователей в момент загрузки подозрительных объектов с вредоносной или зараженной веб-страницы. Вредоносные страницы злоумышленники создают целенаправленно. Зараженными могут оказаться те веб-ресурсы, где контент создают сами пользователи (например, форумы), а также взломанные легитимные ресурсы.

Страны-источники веб-атак: TOP 10

Данная статистика показывает распределение заблокированных продуктами «Лаборатории Касперского» интернет-атак (веб-страницы с перенаправлением на эксплойты, сайты с эксплойтами и другими вредоносными программами, центры управления ботнетами и т. д.) по географическим источникам. Отметим, что каждый уникальный хост мог быть источником одной и более веб-атак.

Для определения географического источника веб-атак использовалась методика сопоставления доменного имени с реальным IP-адресом, на котором размещен данный домен, и установления географического местоположения данного IP-адреса (GeoIP).

В третьем квартале 2025 года решения «Лаборатории Касперского» отразили 389 755 481 атаку, которая проводилась с интернет-ресурсов, размещенных по всему миру. Зафиксировано 51 886 619 уникальных URL, на которые сработал веб-антивирус.

Распределение источников веб-атак по странам, Q3 2025 (скачать)

Страны и территории, где пользователи подвергались наибольшему риску заражения через интернет

Чтобы оценить степень риска заражения вредоносными программами через интернет, которому подвергаются компьютеры в разных странах и на разных территориях мира, мы подсчитали для каждой из них долю пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием веб-антивируса в отчетный период. Полученные данные являются показателем агрессивности среды, в которой работают компьютеры в разных странах и на разных территориях.

Напомним, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы исключили срабатывания веб-антивируса на потенциально опасные и нежелательные программы, такие как RiskTool и рекламное ПО.

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно мало (меньше 10 000).
** Доля уникальных пользователей, подвергшихся веб-атакам вредоносных объектов класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в течение квартала 4,88% устройств в мире хотя бы один раз подвергались веб-атаке класса Malware.

Локальные угрозы

Важным показателем является статистика локальных заражений пользовательских компьютеров. Сюда попадают объекты, которые проникли на устройство путем заражения файлов или съемных носителей либо изначально попали на него не в открытом виде (например, программы в составе сложных инсталляторов, зашифрованные файлы и т. д.).

В этом разделе мы анализируем статистические данные, полученные на основе работы антивируса, сканирующего файлы на жестком диске в момент их создания или обращения к ним, а также данные по сканированию различных съемных носителей информации — флешек, карт памяти фотоаппаратов, телефонов, внешних жестких дисков. Статистика основана на детектирующих вердиктах модулей OAS (on-access scan) и ODS (on-demand scan) файлового антивируса.

В третьем квартале 2025 года наш файловый антивирус зафиксировал 21 356 075 вредоносных и потенциально нежелательных объектов.

Страны и территории, где компьютеры пользователей подвергались наибольшему риску локального заражения

Для каждой из стран и территорий мы подсчитали долю пользователей продуктов «Лаборатории Касперского», которые столкнулись со срабатыванием файлового антивируса в отчетный период. Эта статистика отражает уровень зараженности персональных компьютеров в разных странах и на разных территориях мира.

Отметим, что в этом рейтинге учитываются только атаки вредоносных объектов класса Malware. При подсчетах мы исключили срабатывания файлового антивируса на потенциально опасные или нежелательные программы, такие как RiskTool и рекламное ПО.

* При расчетах мы исключили страны и территории, где число пользователей «Лаборатории Касперского» относительно мало (менее 10 000).
** Процент уникальных пользователей, на компьютерах которых были заблокированы локальные угрозы класса Malware, от всех уникальных пользователей продуктов «Лаборатории Касперского» в стране или на территории.

В среднем в мире хотя бы один раз в течение третьего квартала локальные угрозы класса Malware были зафиксированы на 12,36% компьютеров.

Для России этот показатель составил 13,13%.