Киберугрозы октября 2025: рекордные атаки вымогателей и новые группы атакуют критическую инфраструктуру

Группа Qilin подтвердила свой статус самого активного оператора, в шестой раз за семь месяцев возглавив рейтинг. Ею было заявлено о 210 пострадавших организациях, что втрое превышает показатели занимающей второе место группы Akira. Особое внимание привлекло стремительное восхождение нового игрока Sinobi, который впервые появился в июле, но уже занял третью позицию с 69 заявленными жертвами.

Секторальный анализ демонстрирует концентрацию атак на строительной отрасли, профессиональных услугах, здравоохранении, производстве, информационных технологиях и энергетике. Особую тревогу вызывает targeting критической инфраструктуры - 31 инцидент потенциально затронул жизненно важные объекты, а 26 случаев имели возможные последствия для цепочек поставок.

Географическое распределение атак показывает подавляющее доминирование США как основной цели, где было зафиксировано 361 нападение. Это в десять раз превышает показатели Канады, занявшей второе место. Австралия неожиданно вошла в пятерку наиболее атакуемых стран, что эксперты связывают с её богатыми ресурсами и высоким ВВП на душу населения.

За первые десять месяцев 2025 года общее количество ransomware-атак достигло 5194 случаев, что на 50% превышает аналогичный период прошлого года. Новые лидеры, такие как Qilin, Sinobi и The Gentlemen, полностью компенсировали снижение активности ранее доминировавших групп LockBit и RansomHub.

Технический анализ выявил активную эксплуатацию нескольких критических уязвимостей. Группа Cl0p использовала уязвимость в Oracle E-Business Suite (CVE-2025-61882) для удаленного выполнения кода. Medusa применяла цепочку атак через уязвимость GoAnywhere MFT (CVE-2025-10035), устанавливая средства удаленного управления для поддержания persistence (устойчивого доступа).

Наблюдается тревожная тенденция использования легитимных инструментов удаленного доступа после компрометации учетных данных. Злоумышленники устанавливают такие программы как AnyDesk и RustDesk для получения скрытого доступа, используя их для передачи файлов, нейтрализации антивирусной защиты и доставки вредоносной нагрузки.

Группа Warlock продемонстрировала изощренный подход, устанавливая устаревшую версию легитимного инструмента Velociraptor для скрытого контроля над системами. Интересно, что в рамках одной атаки они использовали три различных варианта программ-вымогателей - Warlock, LockBit и Babuk.

BlackSuit применяла социальную инженерию через телефонные звонки для кражи VPN-учетных данных, а затем использовала технику DCSync для получения привилегированных учетных данных домена. Их методы включали использование Ansible для массового развертывания ransomware на серверах ESXi, что привело к шифрованию сотен виртуальных машин.

Новым трендом стало появление публичных партнерских программ, таких как объявленная группой DragonForce 9 октября. Теперь любой желающий может стать аффилированным лицом, заплатив невозвращаемый взнос 500 долларов. Это демократизирует доступ к киберпреступной деятельности, потенциально увеличивая количество атакующих.

Техническое развитие ransomware продолжается ускоренными темпами. 18 октября оператор Zeta88, связанный с группой The Gentlemen, анонсировал обновленные версии для Windows, Linux и ESXi с функциями автоматического перезапуска, скрытого режима работы и возможностью самораспространения по сети.

Эксперты подчеркивают необходимость усиления защитных мер, включая приоритизацию уязвимостей на основе оценки рисков, сегментацию сетей, усиление контроля доступа и внедрение многофакторной аутентификации. Особое значение приобретает создание устойчивых к ransomware систем резервного копирования с возможностью изоляции копий данных.

Современные решения для управления attack surface (поверхностью атаки) позволяют организациям сканировать сетевые и облачные активы на предмет уязвимостей, одновременно отслеживая утечки учетных данных. Раннее обнаружение признаков компрометации становится критически важным в условиях растущей изощренности киберпреступников.

URLs

• http://104.164.55.7/231/means.d
• http://185.141.216.127/tr.e
• http://45.221.64.245/mot/
• https://chatgptitalia.net/
• https://pub-2149a070e76f4ccabd67228f754768dc.r2.dev/I-Google-Captcha-Continue-Latest-27-L-1.html
• https://pub-959ff112c2eb41ce8f7b24e38c9b4f94.r2.dev/Google-Captcha-Continue-Latest-J-KL-3.html

SHA256

• 15e5bf0082fbb1036d39fc279293f0799f2ab5b2b0af47d9f3c3fdc4aa93de67
• 16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0
• 31c3574456573c89d444478772597db40f075e25c67b8de39926d2faa63ca1d8
• 331d136101b286c2f7198fd41e5018fcadef720ca0e74b282c1a44310a792e7f
• 3dba9ba8e265faefce024960b69c1f472ab7a898e7c224145740f1886d97119f
• 454e398869e189874c796133f68a837c9b7f2190b949a8222453884f84cf4a1b
• 549a1ae688edfcb2e7a254ac3aded866b378b2e829f1bb8af42276b902f475e6
• 5f0253f959d65c45a11b7436301ee5a851266614f811c753231d684eb5083782
• 5fff877789223fa9810a365dfdeafe982c92f346ecd20e003319c3067becd8ba
• e14ba0fb92e16bb7db3b1efac4b13aee178542c6994543e7535d8efaa589870c
• e38d4140fce467bfd145a8f6299fc76b8851a62555b5c0f825b9a2200f85017c
• e46bde83b8a3a7492fc79c22b337950fc49843a42020c41c615b24579c0c3251
• f488861f8d3d013c3eef88983de8f5f37bb014ae13dc13007b26ebbd559e356e

• Agenda Ransomware атакует Windows через Linux-версию с использованием BYOVD и легитимных инструментов
• Активизация кампании Akira ransomware через уязвимости SonicWall
• Эксперты обнаружили новую тактику группировки Akira при атаках через уязвимости SonicWall VPN
• Qilin Ransomware: Новый лидер киберпреступного мира угрожает Windows, Linux и ESXi-системам
• Распыление паролей через открытый RDP: как одна уязвимость привела к катастрофическому внедрению RansomHub
• RansomHub: Атакующие используют новый кастомный бэкдор
• ALPHV Ransomware IOCs - Part 4
• IcedID использует ScreenConnect и CSharp Streamer для развертывания вымогательского ПО ALPHV