В 2025 году более половины кибератак длились менее суток и чаще всего завершались шифрованием файлов. По данным глобального отчёта «Анатомия ландшафта киберугроз» от «Лаборатории Касперского», самым частым способом проникновения осталась эксплуатация публично доступных приложений, а атаки через подрядчиков заметно укрепили позиции. Окно на обнаружение и реакцию для бизнеса сжимается, и промедление даже на 1 день оборачивается остановкой процессов.
Статистика Kaspersky Incident Response показывает рост доли атак через публично доступные приложения до 44% в 2025 году. Подобные точки входа остаются удобными для злоумышленников, поскольку одна незакрытая уязвимость или слабая настройка открывает прямой ход в инфраструктуру.
Главные векторы проникновения распределились так:

44% атак шли через публично доступные приложения;
25% инцидентов опирались на скомпрометированные учётные записи;
16% случаев проходили через доверительные отношения с подрядчиками;
остальные пути комбинировали несколько методов в одной цепочке.

Скомпрометированные учётные записи прибавили четверть от всех инцидентов. Годом ранее показатель был выше и составлял почти треть, но риск никуда не исчез. Украденный логин и пароль позволяют атакующим входить в систему почти как легитимному пользователю, обходя часть защитных барьеров и усложняя раннее обнаружение.
Доля атак через доверительные отношения с подрядчиками подросла за год на 3 процентных пункта и добралась до 16%. Один из самых неприятных векторов для компаний работает не напрямую, а через поставщика, интегратора, сервисную организацию или партнёра с уже выданным доступом к внутренним системам.
В части инцидентов разные способы проникновения сплетались в одну цепочку. Атакующие использовали уязвимость в публичном приложении одной организации, закреплялись внутри и через неё били уже по другим компаниям. В подобной модели жертва превращается не только в пострадавшую сторону, но и в промежуточную площадку для дальнейшей атаки.

Интересно, что в одной из выявленных цепочек злоумышленники последовательно скомпрометировали более 2 организаций ради доступа к третьей основной цели.

Самый тревожный показатель отчёта связан со скоростью атак. 51% инцидентов длились менее 24 часов и чаще всего завершались шифрованием файлов. Вымогатели проходят путь от первичного доступа до ущерба намного быстрее. У компаний остаётся всё меньше времени на ручную проверку, согласования и классическое «разберёмся завтра».
При этом не все атаки идут на скорости. Треть инцидентов длилась в среднем 108 дней. В подобных случаях злоумышленники не ограничивались шифрованием, а долго оставались внутри инфраструктуры:

изучали внутренние системы и сегменты сети;
выгружали ценные данные через скрытые каналы;
искали наиболее значимые для бизнеса участки;
готовили более разрушительный финальный этап;
маскировались под легитимную административную активность.

Ещё 16% инцидентов выглядели как быстрые атаки, но между проникновением и нанесением ущерба сохранялась значительная пауза. Из-за этого общая продолжительность подобных случаев приближалась к 19 дням. Скорость атаки не равна скорости проникновения, и атакующие порой заходят заранее, выжидают подходящего момента и только потом запускают разрушение.
Руководитель глобальной команды по реагированию на компьютерные инциденты «Лаборатории Касперского» Константин Сапронов отметил, что список основных векторов в последние годы практически не меняется. По словам Константина Сапронова, самым частым способом остаётся эксплуатация публично доступных приложений, а скомпрометированные учётные записи активно идут в ход. Ранее заметное место занимали вредоносные письма, но сейчас их потеснили атаки через доверительные отношения.
Константин Сапронов также указал на двукратный рост доли атак через подрядчиков с 2023 года. По его оценке, подобные атаки становятся всё более сложными по структуре и количеству промежуточных звеньев.

Интересно, что 76% критических атак в 2025 году были нацелены не на кражу данных, а на полное уничтожение инфраструктуры компании.

Картина складывается из нескольких источников. Ранее «Инфосистемы Джет» сообщали о смещении акцента атакующих от дефейсов, хищения данных и DDoS к полной остановке работы компаний. В случае шифровальщиков это сопровождалось вымогательством, а в случае вайперов могло приводить к разрушению без возможности восстановления.
В обзоре «Инфосистемы Джет» также отмечались скомпрометированные подрядчики как значимый канал входа. Параллельно злоумышленники задействовали техники Living-off-the-Land с легитимными системными утилитами для маскировки под обычную административную активность. Применялись и инструменты с поддержкой ИИ.
Данные «Кода Безопасности» за 1 полугодие 2025 года показали рост давления на российские организации. Динамика инцидентов в стране выглядит так:

число атак выросло на 10–12% к предыдущему полугодию;
количество критичных инцидентов прибавило 13%;
увеличилась доля целевых атак с предварительной разведкой;
активнее применяются продвинутые методы проникновения;
растёт качество подготовки атакующих к ударам по конкретной инфраструктуре.

Практический вывод для защитных команд выглядит приземлённо. Закрывать внешние сервисы, быстрее накатывать обновления, контролировать подрядчиков, усиливать мониторинг учётных записей, проверять резервные копии и заранее отрабатывать действия при шифровании. Особое значение приобретают процессы, срабатывающие ночью, в выходные и без долгой цепочки согласований.
Эксперт по ИБ заявил порталу CISOCLUB: «Главный вызов для бизнеса теперь не только в предотвращении атак, но и в скорости реакции. При попадании более 50% инцидентов в окно 24 часов компания обязана уметь обнаруживать подозрительную активность почти сразу, быстро изолировать сегменты и запускать восстановление без паники. Рост атак через подрядчиков показывает значимость защиты не только собственного периметра, но и всей цепочки доверенных доступов. Самый слабый партнёр в подобной цепочке превращается в короткую дорогу к шифрованию всей инфраструктуры».