В третьем квартале 2025 года зафиксировано 390 млн атак на ПК

27 ноября, 2025, 18:00

В третьем квартале 2025 года в статистике атак на персональные компьютеры зафиксирован рост числа веб-угроз, рост количества модификаций шифровальщиков и расширение географии заражений. Среди ключевых тенденций — усиление группировок Qilin и Akira, использование ИИ для создания вредоносного ПО и рост активности майнеров.

Рост веб-атак и вредоносных объектов

Объем вредоносной активности в сегменте ПК значительно увеличился: за квартал заблокировано 389,7 млн интернет-атак, а веб-антивирус зафиксировал почти 52 млн уникальных вредоносных ссылок. Файловый антивирус обнаружил более 21,3 млн вредоносных и потенциально нежелательных объектов, попадающих на ПК через файлы и съемные носители. Как отмечается в квартальной статистике угроз «Лаборатории Касперского», это совокупные мировые показатели, собранные по всем странам, где установлены продукты компании на персональных компьютерах.

Количество модификаций шифровальщиков выросло почти на треть

В сегменте шифровальщиков для ПК — вредоносных программ, которые блокируют файлы и требуют выкуп — выявлено 2259 новых модификаций, что почти на треть выше показателя предыдущего квартала. За три месяца атакам подверглись 84,9 тыс. уникальных пользователей, а пик пришелся на июль.

Продолжение ниже

Кто есть кто на рынке SGRC

По данным отчета Лаборатории Касперского, наиболее активными оказались Qilin и Akira — крупные вымогательские группировки, публикующие украденные данные на своих DLS-сайтах и применяющие двойное вымогательство. Доля Qilin составила 14,96%, Akira — 10,02%, а на третье место вышла INC Ransom (8,15%).

Операции правоохранителей против операторов вымогателей

В ряде стран прошли действия против групп, атаковавших персональные компьютеры, отмечается в отчете.

  • В Великобритании задержан подозреваемый по делу атаки шифровальщика HardBit — примитивного вымогателя, не имеющего собственной инфраструктуры для публикации украденных данных.
  • В США предъявлены обвинения администратору группировок LockerGoga, MegaCortex и Nefilim, чьи атаки приводили к многомиллионным убыткам.
  • В отдельном деле изъято €2,8 млн в криптовалюте и имущество у предполагаемого распространителя шифровальщика Zeppelin, работающего по схеме «двойного вымогательства».
  • Международная операция под координацией ФБР, HSI и IRS привела к ликвидации инфраструктуры BlackSuit: изъяты домены, серверы и более €1 млн в цифровых активах.

Ключевые векторы атак: SonicWall, ESXi и ToolShell

Заметную часть инцидентов составили атаки на инфраструктуру, обслуживающую ПК:

  • В устройствах SonicWall — межсетевых экранах и VPN-шлюзах — злоумышленники использовали уязвимость CVE-2024-40766, позволяющую обходить многофакторную аутентификацию и получать доступ к системным ресурсам.
  • Группа Scattered Spider (UNC3944) применяла социальную инженерию: злоумышленники звонили в техподдержку и добивались сброса паролей Active Directory. Получив доступ, они включали SSH на VMware ESXi — гипервизоре для виртуализации серверных ресурсов — извлекали базу NTDS.dit и затем шифровали виртуальные машины.
  • В атаках на серверы использовалась цепочка уязвимостей ToolShell, применяемая для удаленного выполнения команд. В ходе этих кампаний был выявлен вымогатель 4L4MD4R, написанный на Go.

ИИ становится частью инструментария шифровальщиков

Одним из заметных эпизодов стало использование генеративного ИИ для разработки вредоносного ПО. Злоумышленник создал платформу Ransomware-as-a-Service при помощи модели Claude — крупной языковой модели от Anthropic. Готовые наборы продавались за $400–1200.

Также обнаружен шифровальщик PromptLock — программа на Go, которая использует LLM прямо в ходе атаки: вредонос динамически создает Lua-скрипты для кражи и шифрования данных на Windows, macOS и Linux. В отчете отмечено, что применяется редкий алгоритм SPECK-128, а архитектура, вероятно, основана на учебном проекте NYU Ransomware 3.0.

География атак на ПК: лидирует Израиль

Самая высокая доля устройств, атакованных шифровальщиками, зафиксирована в:

  1. Израиле — 1,42%,
  2. Ливии — 0,64%,
  3. Руандe — 0,59%.

В десятку также вошли Южная Корея, Китай, Пакистан, Бангладеш, Ирак, Таджикистан и Эфиопия.

Среди семейств шифровальщиков лидировали:

  1. Trojan-Ransom.Win32.Gen — 26,82%,
  2. Crypren — 8,79%,
  3. Encoder — 8,08%,
  4. WannaCry — 7,08%,
  5. LockBit — 3,06%.

Майнеры атаковали четверть миллиона пользователей ПК

Количество новых модификаций майнеров достигло 2863, а атакам подверглись 254 414 пользователей ПК. Вредоносные программы, которые используют вычислительные ресурсы пользователя для скрытого майнинга криптовалют по данным, представленным в отчете, проявили наибольшую активность в:

  • Сенегале — 3,52%,
  • Мали — 1,50%,
  • Афганистане — 1,17%.

Атаки на macOS: рост шпионов и загрузчиков

Отдельная часть отчета посвящена атакам на устройства под управлением macOS.

  • Шпион PasivRobber получил новые модули и техники обфускации.
  • Появились поддельные расширения для VS Code, доставлявшие загрузчики на Rust; те, в свою очередь, устанавливали бэкдор, ориентированный на кражу криптовалюты и сбор данных о системе.
  • Исследователи обнаружили новую версию модульного бэкдора ChillyHell, подписанную действительным сертификатом разработчика и распространявшуюся через Dropbox.
  • Обновлены варианты шпиона XCSSET, который распространяется через зараженные Xcode-проекты.

В топ-угроз вошли PasivRobber, троянцы Amos, рекламные приложения и вариации Backdoor.OSX.Agent.l.

IoT-ботнеты Mirai и Gafgyt отражаются и на безопасности ПК

В разделе отчета, посвященном IoT-ханипотам, указано, что зараженные устройства интернета вещей часто используются для дальнейших атак на ПК в той же сети.

Большую часть выявленных угроз составляют варианты Mirai — ботнета, который заражает маршрутизаторы и камеры через типовые уязвимости. Также выросла активность Gafgyt, тогда как доли NyaDrop и Mirai.b снизились.

Через SSH больше всего атак исходило из Германии, США и Панамы. В атаках через Telnet продолжает доминировать Китай — 57,1% всех попыток.

Риск заражения ПК через веб-страницы

Блок веб-угроз включает атаки вредоносного ПО класса Malware на этапе загрузки страницы. Самая высокая доля пользователей ПК, столкнувшихся с такими атаками, зафиксирована в:

  • Панаме — 11,24%,
  • Бангладеш — 8,40%,
  • Таджикистане — 7,96%.

Средний мировой показатель — 4,88% устройств.

Локальные угрозы на ПК: наиболее уязвимы Туркмения и Йемен

Файловый антивирус обнаружил 21,3 млн локальных угроз, включая зараженные файлы, вредоносные компоненты инсталляторов и объекты, попавшие через съемные носители.

Наибольший риск локального заражения отмечен в:

  • Туркмении — 45,69%,
  • Йемене — 33,19%,
  • Афганистане — 32,56%.

В России локальные угрозы были выявлены у 13,13% пользователей.

Полная версия отчета доступна по ссылке.

Теги:
Аналитика Угрозы

Читайте также