Массовые атаки – это автоматизированные кампании, которые бьют по тысячам компаний одним махом. По нашим оценкам, за первые три квартала 2025 года каждая пятая успешная атака на организации была массовой, а одна кампания могла затрагивать от десятков до нескольких тысяч жертв. Для атакующих это идеальный бизнес: один сценарий, одна инфраструктура – и огромный охват, тогда как для компаний это лавина инцидентов, утечек и простоев, с которой уже не справиться силами «классического антивируса» и перегруженной SOC-команды.

Почему массовые атаки так опасны

В ходе массовой кибератаки злоумышленники используют одну и ту же технику сразу против большого числа жертв: фишинговая рассылка, эксплуатация популярной уязвимости, компрометация веб-сайтов или устройств (каждая такая кампания считается одной атакой, даже если пострадали тысячи жертв). При этом почти половина успешных массовых атак (47%) вообще не привязана к конкретной отрасли: преступники просто «пробивают периметр», используя распространённые уязвимости и типовые векторы для нападения: почту, VPN, веб-сервисы. Наиболее часто под удар попадают госучреждения (12% успешных массовых атак) и промышленность (9%) – там пересекаются высокая ценность данных, геополитика и слабая зрелость процессов защиты.

По последствиям массовые атаки могут сравниться с целевыми: самое частое – утечки данных (40% успешных массовых атак), где в первую очередь утекают учетные записи (39% утечек), данные карт (14%) и коммерческая тайна (7%). Это они потом оказываются на прилавке рынка преступных киберуслуг – в дарквебе. На втором месте – превращение инфраструктуры жертвы в «оружие» злоумышленников: в 26% массовых кампаний в исследуемый нами период ресурсы жертвы использовали для DDoS, новой фишинговой волны или дальнейшего распространения ВПО. И почти каждая четвертая успешная массовая атака (24%) оборачивалась нарушением основной деятельности: пропадает доступ к инфраструктуре и данным, ломаются клиентские сервисы. Образно говоря, IT-команда гасит пожар, а не развивает инфраструктуру.

Какая статистика за этим стоит

В 56% всех успешных массовых атак на организации в первые три квартала 2025 года злоумышленники применяли вредоносное ПО – это главный «двигатель» таких кампаний. На первом месте по каналам распространения – компрометация конечных устройств и серверов (52%), затем заражённые или поддельные сайты (19,5%) и только потом электронная почта (18,9%). Среди типов ВПО в массовых атаках лидируют RAT (34% случаев применения ВПО), шпионское ПО (22%), майнеры (19%) и шифровальщики (14%), при этом рост доступности RaaS-сервисов делает шифровальщики всё более массовым инструментом, а не только «штучным» оружием целевых атак.

По данным AV‑TEST, ежедневно появляется более 450 тысяч новых образцов вредоносов и нежелательных приложений, а общая база измеряется сотнями миллионов экземпляров, и этот объём стабильно растёт. Это означает, что классические сигнатурные антивирусы физически не успевают: за то время, пока обновятся базы, массовая кампания уже отработает по своим жертвам. Не случайно исследователи безопасности подчёркивают необходимость перехода к поведенческому детектированию, комбинированному EPP+EDR подходу.

Нашумевшие массовые атаки 2025 года

Ниже представлена подборка самых громких массовых кампаний за первые три квартала этого года. На их примере хорошо видно, насколько разнообразны векторы атак при общей стратегии злоумышленников — максимально автоматизировать атаку и охватить как можно больше целей за одну кампанию

RansomHub: 600+ жертв за одну кампанию

В феврале 2025 года группировка-вымогатель RansomHub развернула крупную массовую операцию, скомпрометировав более 600 организаций по всему миру, включая здравоохранение, финансовый сектор и критическую инфраструктуру.

В арсенале злоумышленников – эксплуатация известных уязвимостей, продвинутые методы обхода защиты и уникальные схемы шифрования, что позволило быстро зашифровать критически важные файлы и выставить требования выкупа сразу многим жертвам.

Rezet: фишинговый «семинар» для промышленности

В январе 2025 года группировка Rezet запустила волну массовых фишинговых рассылок по промышленным предприятиям России: химическая, пищевая, фармацевтическая отрасли.

«Письма счастья» выглядели как приглашения на семинары по стандартизации оборонной продукции и содержали архив с PDF и вредоносной нагрузкой; запуск архива приводил к компрометации рабочих станций и дальнейшему развитию атаки внутри сети.

Head Mare: PhantomPyramid и легитимный MeshAgent

В марте 2025 года группировка Head Mare провела кампанию против примерно сотни российских промышленных компаний, снова используя массовый фишинг с ZIP-вложениями.

На скомпрометированных машинах ставился Python-бэкдор PhantomPyramid и легитимный MeshAgent, который замаскировывал удалённое управление под обычную админскую активность – отличный пример того, как массовая атака использует легитимные инструменты против самой компании.

Hazy Hawk: захват заброшенных облаков

Массовая кампания Hazy Hawk показала, что ошибки в управлении DNS –  не мелочь: злоумышленники находили записи, указывавшие на заброшенные облачные сервисы, регистрировали ресурсы с теми же именами и перехватывали управление поддоменами.

Через эти поддомены шёл массовый фишинг, поддельные приложения и вредоносная реклама, а доверие к исходным государственным и корпоративным доменам помогало скрывать активность от пользователей и фильтров.

EDDIESTEALER: «Я не робот» как вход в систему

В 2025 году была зафиксирована массовая кампания, в которой вредоносное ПО распространялось через поддельные CAPTCHA: пользователю казалось, что он подтверждает, что он «не робот», а в это время запускался инфостилер EDDIESTEALER.

Вредонос собирал криптокошельки, сохранённые пароли из браузеров, базы менеджеров паролей, конфигурации FTP-клиентов и переписку из мессенджеров –  идеальный набор для дальнейших целевых атак и продажи на теневых площадках.

Скимминг Casio UK и ещё 17 сайтов

В январе 2025 года злоумышленники скомпрометировали интернет-магазин Casio UK и ещё 17 сайтов, встроив скрытый скрипт-скиммер непосредственно в процесс оформления заказа.

Скрипт тихо перехватывал номера карт и отправлял их на подконтрольные серверы; в этой схеме сами компании-жертвы становились своего рода доверенными площадками для массовой кражи платёжных данных клиентов.

Citrix NetScaler CVE‑2025‑6543: отказ в обслуживании как массовый эффект

Уязвимость переполнения памяти CVE‑2025‑6543 в Citrix NetScaler стала основой для серии массовых атак на отказ в обслуживании против организаций в Нидерландах.

Прокуратура страны столкнулась с очень неприятными последствиями: отсутствие доступа к интернету и почте, частичная недоступность Citrix –  пример того, как одна массовая эксплуатация уязвимости бьёт сразу по целой системе госуправления.

Koske: ИИ-сгенерированное ВПО и JupyterLab

В кампании Koske злоумышленники стартовали с компрометации JupyterLab, внедряя вредонос через JPEG-файлы с вшитым исполняемым кодом –  аккуратный, технически изящный вектор для массовых атак по разработчикам и исследователям.

Дальше следовала двухэтапная схема: в памяти запускался руткит на C, параллельно шелл-скрипт подгружал криптомайнер; структура кода, детальные комментарии и адаптивное поведение (переключение каналов связи, пулов майнинга) свидетельствуют, что при разработке активно использовался ИИ, делая угрозу более автономной и устойчивой.

Pay2Key (Mimic): массовый RaaS нового поколения

Платформа RaaS Pay2Key на базе шифровальщика Mimic ориентирована на массовые атаки с возможностью персонализировать кампанию под разные сегменты и активно продвигалась на русскоязычных форумах.

Известно как минимум о трёх фишинговых массовых рассылках против российских компаний из финансовой, строительной и розничной сфер: жертвам отправляли RAR-вложения или ссылки на Dropbox, запуск SFX-архива приводил к установке шифровальщика Pay2Key и блокированию данных.

Что это значит для защиты

Массовые атаки хорошо показывают: если у компании нет сильной защиты конечных точек, отлаженного процесса управления уязвимостями и обучения сотрудников, то «одним кликом по фишинговому письму» она рискует не только потерять данные, но и превратиться в трамплин для атак на своих клиентов и партнёров. В условиях, когда ежедневно появляется около полумиллиона новых угроз, ключевую роль играет не столько размер сигнатурной базы, сколько скорость обновлений, поведенческий анализ, использование машинного обучения и интеграция защиты конечных точек с процессом поиска и устранения уязвимостей.

Если вам стало интересно, как проходили массовые атаки в этом году и как выглядит стратегия защиты, заглядывайте в полную версию нашего исследования.

Мы с командой аналитиков продолжаем следить за изменениями ландшафта актуальных киберугроз. Stay safe!

Анна Вяткина

Аналитик направления аналитических исследований Positive Technologies