По данным компании, в 2024 году и в первом квартале 2025 года наибольшее распространение среди вредоносных программ в России получили шпионские семейства FormBook, Agent Tesla и Snake Keylogger. В топ-10 впервые попали RAT DarkWatchman и модульный ботнет Prometei. Рейтинг составлен на основе анализа образцов с помощью продукта PT Sandbox за указанный период.
Семейство Snake Keylogger значительно укрепило позиции: по сравнению с 2023 годом число его обнаружений выросло более чем в 30 раз. Agent Tesla в изучаемый период встречался примерно в три раза чаще, чем годом ранее. Авторы исследования отмечают, что широкой популярности шпионского ПО способствует простота использования, богатый функционал и доступность в дарквеб-среде, включая модели распространения по типу malware-as-a-service (MaaS).
В числе востребованных инструментов оказался бэкдор Carbon, сочетающий функции RAT, стилера, кейлоггера и криптомайнера — его использование выросло в восемь раз. Новыми для топ-10 стали DarkWatchman и Prometei, которые заметно увеличили число обнаружений.
Анализ поведения ВПО показал, что атакующим всё более интересны техники, связанные со сбором информации, шпионажем и скрытностью. Чаще всего вредоносы использовались для захвата аудиопотока с микрофона, динамиков и других источников — в 2023 году техника Audio Capture даже не входила в топ-10. Авторы связывают возросший интерес к аудиоданным, в том числе, с возможностью их применения в атаках социальной инженерии, например при создании голосовых дипфейков.
Отмечается также переход злоумышленников к более скрытным методам закрепления в системе: удаление логов и временных файлов, манипуляции токенами доступа для повышения привилегий или выполнения действий от имени легитимного пользователя. По отраслям чаще других становились жертвами госорганы, промышленные предприятия и ИТ-компании — первые привлекают доступом к критически важным данным, вторые — возможностью нарушить технологические процессы, третьи — шансом скомпрометировать цепочки поставок ПО. Основным каналом доставки ВПО в атаках на организации остаётся электронная почта.
«В ближайшие пару лет использование ВПО сохранит лидерство среди методов атакующих, поскольку с их помощью можно автоматизировать большую часть этапов кампании. Особенно актуальными останутся программы-вымогатели, шпионское ПО и RAT — они показывают наибольшую эффективность. При этом атаки будут становиться более скрытными, персонализированными и технологичными с упором на сбор конфиденциальной информации, манипуляцию сессиями и обход средств обнаружения», — комментирует Фёдор Чунижеков, руководитель исследовательской группы Positive Technologies.
Для надёжной защиты эксперты рекомендуют комбинировать технические и организационные меры, включая обучение персонала. Злоумышленники всё чаще упаковывают и шифруют ВПО или маскируют его под легитимные приложения; для обнаружения нулевых и модифицированных образцов необходимы песочницы с алгоритмами машинного обучения, способные выявлять нелегитимное поведение файлов. PT Sandbox, в частности, демонстрирует способность выявлять вредоносные действия у кажущихся безопасными файлов и защищать от угроз нулевого дня.