Каким образом хакеры использовали слабые VPN и вредоносный поиск, чтобы пробраться в компании летом

Эксперты всё чаще отмечают тревожную тенденцию: количество используемых уязвимостей уменьшается, однако интенсивность и напор атак только растут.

По данным Beazley Security Labs, в третьем квартале 2025 года резко усилилась активность крупнейших группировок-вымогателей, а также появились новые способы распространения инфостилеров. Основные киберкампании строились вокруг атак на массово используемые корпоративные технологии, а также на неправильное использование VPN и поисковых сервисов.

Наибольшее число расследованных инцидентов пришлось на троицу Akira, Qilin и INC Ransomware — на них пришлось примерно 65% всех атак. Одновременно злоумышленники активно применяли SEO-отравление и поддельные инструменты, что серьёзно облегчало заражение конечных пользователей. Всё это свидетельствует о том, что нападающие ускоряются, действуют решительнее и всё чаще внедряют вредоносные программы напрямую на рабочие станции, обходя классические схемы социальной инженерии.

Особенно заметный всплеск пришёлся на август и сентябрь — почти половина всех инцидентов была зарегистрирована именно в эти месяцы. Пик активности совпал с крупной кампанией Akira, которая эксплуатировала старые, но до сих пор распространённые уязвимости в устройствах SonicWall. Параллельно сама SonicWall столкнулась с серьёзными последствиями взлома облачной платформы MySonicWall: злоумышленники получили конфигурации клиентских устройств, включая VPN-параметры и защищённые данные администраторов. Хотя прямой связи между двумя событиями пока не выявлено, исследователи считают, что похищенная информация может стать основой для целенаправленных атак в будущем.

Несмотря на то что в список активно эксплуатируемых уязвимостей CISA (KEV) попало меньше пунктов, активность хакеров не снизилась. Наоборот — фокус сместился на ограниченное число критических дыр, которые использовались максимально агрессивно. Beazley отметила рост уведомлений о 0-day уязвимостях на 38% по сравнению с предыдущим кварталом.

Среди наиболее заметных случаев — 0-day для Microsoft SharePoint (ToolShell), позволявшая злоумышленникам устанавливать веб-шеллы и извлекать криптографические ключи; критическая ошибка в CrushFTP, открывавшая путь к полному удалённому доступу; многочисленные атаки на Cisco ASA и NetScaler, сопровождавшиеся установкой руткитов.

Изменения произошли и на рынке инфостилеров. После международной операции ENDGAME, нарушившей работу Lumma и RedLine, спрос сместился в сторону более скрытных и технологичных решений. Особенно быстро стал набирать популярность Rhadamanthys — универсальный инфостилер с продвинутыми обновлениями и функциями маскировки. В то же время репутация Lumma была серьёзно подорвана: её администраторы утратили контроль над инфраструктурой, каналы были перехвачены, а конкуренты опубликовали ресурс “Lumma Rats” с заявленной информацией об операторах.

Параллельно специалисты Beazley и SentinelLabs обнаружили масштабную международную операцию по распространению PXA Stealer — Python-базированного инструмента, распространявшегося через замаскированные документы и запускавшегося с помощью DLL-сайдлоадинга в легитимных приложениях Microsoft. Из-за ошибки разработчика исследователи получили доступ к его собственным данным, что дало редкую возможность изучить инфраструктуру изнутри.

Серьёзный всплеск наблюдался также в сфере SEO-отравления и вредоносной рекламы. Поддельные редакторы PDF, утилиты для удалённого доступа и другие мнимо полезные программы выводились на верхние позиции поиска. Многие из них имели цифровые подписи и ожидали команд на загрузку вредоносного содержимого, что помогало им обходить защитные механизмы и заражать большое количество устройств.

Общая динамика третьего квартала показывает, что злоумышленники всё чаще сосредотачиваются на ранних и средних стадиях атаки — сборе учётных данных, закреплении в инфраструктуре и подготовке дальнейших действий. Однако доля финальных этапов, включающих кражу данных и развёртывание вымогательского ПО, также слегка увеличилась. Всё это указывает на высокую адаптивность преступников и то, насколько быстро они меняют тактику под новые возможности.

В итоговом отчёте Beazley Security Labs подчеркивает: хакеры действуют стремительно, используют меньше, но более критичных уязвимостей, активно заражают конечные точки и применяют новые инструменты, включая маскировку вредоносов с помощью ИИ. Организациям рекомендуется усиливать защиту удалённого доступа, внимательнее контролировать веб-трафик, применять многофакторную аутентификацию и рассматривать любые доступные из сети критически уязвимые устройства как потенциально скомпрометированные.