Годовой отчёт о ландшафте угроз 2025

Сага
о цифровом
Мидгарде:
взгляд Хугина
и Мунина

Годовой отчёт CyberThreatTech о ландшафте угроз 2025 года. Анализ 2 884 CTI-отчётов из 280 источников на базе подхода Community Driven CTI.

ИздательООО «Технологии Киберугроз»
Период2025 / прогноз 2026
Хугин и Мунин
над миром все время
летают без устали;
мне за Хугина страшно,
страшней за Мунина, —
вернутся ли вороны! Речи Гримнира. О сыновьях конунга Храудунга
Метафора и идеология

Хугин и Мунин

Наш клиент — это Один. Мудрый правитель, который принимает судьбоносные решения. Но даже Одину нужны его вороны, чтобы видеть всю картину мира, чтобы разобрать угрозы — хаос в Мидгарде, который нужно упорядочить и понять.

Платформа · AI/ML-модули
Хугин
«Мысль» — аналитика и предсказание

Он не просто собирает данные, а осмысливает их, выявляет закономерности, строит гипотезы о TTPs противника.

«Что враг ЗАДУМАЛ?»
База знаний · Обогащение · Расследование
Мунин
«Память» — знание и контекст

Он помнит всё: какие угрозы были вчера, какие уязвимости существуют, какие артефакты оставляет каждая хакерская группа.

«Что враг УЖЕ ДЕЛАЛ и как мы это распознаем?»
От слепоты к всевидению

Без Хугина и Мунина Один слеп в своём чертоге. Без нашей системы ваша компания слепа перед лицом угроз извне. Мы даём «зрение» — полную осведомлённость о киберпространстве.

Не просто данные, а мысль и память

Игроки рынка TI сбрасывают на вас тонны сырых данных (IoC) — это просто шум. Хугин и Мунин возвращаются к Одину и шепчут ему на ухо осмысленные выводы. Мы предоставляем контекст, приоритизацию и готовые инсайты.

Проактивная, а не реактивная защита

Вороны Одина летают по всему Мидгарду постоянно, предупреждая об угрозах до того, как они достигнут стен Асгарда. Мы не ждём атаки — мы выявляем замыслы противника заранее.

Преамбула

Особенности исследования.
Цели и задачи

Community Driven CTI (Cyber Threat Intelligence) — это подход, при котором знания о киберугрозах формируются не одним вендором, а всем сообществом исследователей, аналитиков и практиков безопасности. Мы в CyberThreatTech не просто собираем данные — мы создаём единое озеро знаний, куда стекаются результаты работы сотен независимых экспертов, крупных ИБ-компаний и энтузиастов со всего мира.

В основе нашей философии лежит принцип: каждый, кто исследует угрозу, делится ею, и каждый, кто защищается, получает доступ к полной картине. Мы объединяем разрозненные отчёты, нормализуем названия группировок, ВПО и инструментов через CTT Threat KB, очищаем данные от шума и LLM-фейков — и возвращаем сообществу структурированное, готовое к использованию знание.

Community Driven CTI — это отказ от «башен из слоновой кости» отдельных вендоров в пользу открытой, коллективной разведки. Это единственный способ увидеть полную картину угроз в современном фрагментированном мире.

Уровни Threat Intelligence

Технический уровень

Индикаторы компрометации (IoC) — IP-адреса, домены, хэши файлов. Сырые данные для автоматической блокировки и обогащения.

Тактический уровень

Полноценные TI-отчёты с описанием TTP, кампаний, профилей группировок и ВПО.

Операционный уровень

Аналитический контекст для проактивной защиты — связи между группировками, ВПО и инцидентами.

Что мы учитываем

Только полноценные CTI-отчёты — те, которые содержат разбор инцидентов, анализ ВПО, описание группировок или кампаний. Заметки в мессенджерах не учитываются: они не проходят первичную верификацию и не имеют достаточной глубины для статистического анализа.

Объединение названий угроз выполняется с помощью CTT Threat KB — нашей базы знаний, которая связывает различные псевдонимы группировок, ВПО и инструментов, используемые разными источниками. Это позволяет избежать дублирования и корректно агрегировать статистику.

Часть I

Память об источниках
знаний 2025 года

Дай, Фригг, мне совет,
в путь я собрался
к Вафтрудниру в гости!
В древних познаньях
помериться силой
хочу я с мудрейшим. Старшая Эдда. Речи Вафтруднира

Мунин помнит всё: прошлые атаки, цепочки действий, повторяющиеся сценарии. Хугин анализирует, осмысляет, выявляет закономерности. Его удел — отсекать лишнее и находить значимое, выявлять связи и предупреждать.

01
Песнь первая
Об инфляции CTI-отчётов и кризисе доверия
Что видит Хугин:

Поток информации растёт быстрее, чем способность его переварить. Если в 2024 году было опубликовано 2 353 полноценных CTI-отчёта, то в 2025 году уже 2 884, т.е. на 22% больше, чем годом ранее.

В среднем это 6,5 отчёта в сутки в 2024 году и уже 8 отчётов в сутки в 2025 году.

Если экстраполировать на рабочие дни в России (248 рабочих дней в 2024 году и 247 дней в 2025 году), получается, что на одного CTI-аналитика в компании в рабочий день в 2024 году приходилось 9,5 отчёта, а в 2025 году — уже 11,7 отчёта.

Отчётов 2025
2 884+22%
В сутки
8
На аналитика в день
11,7
02
Песнь вторая
О тех, кто создавал знание в 2025 году
Что видит Хугин:

Хугин облетел 280 крупнейших источников CTI и оценил их вклад. AhnLab публикует много заметок, Socradar и Cyfirma — агрегированные материалы, а SecureList является лидером по объёмам детальных аналитических материалов в 2025 году как глобально, так и в России (76 отчётов). Лидеры по RU-сегменту: SecureList, BI.ZONE, F.A.C.C.T. (F6), РТК-Солар.

Сюрприз: независимые исследователи на Medium, Gist и личных сайтах в сумме дают до 50 отчётов в год — это уровень топ-10 игроков.

Топ источников CTI · 2025
asec.ahnlab.com
91
socradar.io
85
securelist.com
76
cyfirma.com
70
unit42.paloalto
58
bi.zone
22
f6.ru
21
rt-solar.ru
19
03
Песнь третья
Фокусы внимания источников CTI
Что помнит Мунин:

Мунин помнит каждый отчёт каждого из 280 источников. Хугин подсчитал, о скольких киберугрозах писал каждый. CTT Threat KB не даёт спутать имена угроз, даже если у них множество синонимов.

В отчётах различаются 4 типа сущностей: группировки, кампании, инструменты, ВПО. Источники CTI в разных регионах имеют разные фокусы. У источников из разных регионов нет и 60% совпадения интересов.

Группировки

Нормализованные имена хакерских группировок

Кампании

Названия проводимых хакерских кампаний

Инструменты

Используемые группировками утилиты

ВПО

Нормализованные имена вредоносного ПО

04
Песнь четвёртая
О великой цене за осведомлённость
Что видит Хугин:

Чтобы прочитать заголовки 2 884 документов — компании небольшого ИБ-отдела хватит сил. Чтобы вникнуть в содержание — нужен один CTI-аналитик. Чтобы разобрать каждый отчёт на TTP, извлечь индикаторы и настроить защиту — не хватит и команды из пяти.

Стоимость часа аналитика — 1 875 ₽/час (зарплата 300 000 ₽/мес.). Полный разбор всех 2 884 отчётов: 16,2 млн ₽ в год. С командой и инфраструктурой: 20–25 млн ₽ в год только на ручную обработку.

Скрининг (15 мин/отчёт)
1,35 млн ₽
Полный разбор
16,2 млн ₽
Команда + ФОТ
20–25 млн ₽
Хугин и Мунин шепчут Одину:

Поток информации стал лавиной. Ты покупаешь не разведку, а сырые данные, которые требуют ещё больше ресурсов на обработку. Прежде чем доверять источнику, проверь, кто за ним стоит и как были получены эти данные.

Полная версия — в отчёте

Графики помесячной динамики, топ-50 источников, обзор LLM-фейков и агрегаторов, рекомендации для CISO.

Часть II

Память
о битвах 2025 года

Слушай-ка, Локи,
тебе я скажу
то, что не знают
ни на земле, ни в поднебесье:
похищен мой молот! Старшая Эдда. Песнь о Трюме
Один:

Источников много, отчётов много — но на чём они фокусировались в прошлом году? Какие угрозы посчитали самыми опасными? Насколько отечественный ландшафт отличается от международного?

05
Песнь пятая
Глобальные и российские киберугрозы: чья картина полнее?
Что помнит Мунин:

Мунин вспомнил все группировки, кампании и ВПО 2025 года. Хугин создал «индекс изученности» каждой угрозы. Глобальный топ-1: Lazarus Group (84 отчёта), далее — Kimsuky, 0Ktapus, Fancy Bear, Dragonforce, Winnti.

В российских отчётах лидируют: Paper Werewolf и Shedding Zmiy (по 8 отчётов), Bo Team, Core Werewolf, Head Mare, Sticky Werewolf.

В пересечении топ-50 ВПО глобальных и отечественных источников — 24 совпадения: Lumma Stealer, Lockbit, Remcos, Asyncrat, Rhadamanthys, Xmrig, Xworm. Топ-50 инструментов совпадает на 62% — Cobalt Strike, AnyDesk, Mimikatz общие. Из 324 ВПО, описанных в России, 158 не имели отражения в глобальных источниках (но это во многом проблема нейминга).

Топ ВПО · Global vs Russia
Lumma Stealer
182
GL
4
RU
Lockbit
105
GL
11
RU
Remcos Rat
66
GL
8
RU
Asyncrat
63
GL
6
RU
Xmrig Miner
59
GL
9
RU
06
Песнь шестая
История набегов: статистика атак по отраслям
Что видит Хугин:

Топ-10 атакуемых отраслей по числу CTI-отчётов 2025 года: Government — 693, Financial — 639, Healthcare и Education — по 322, Telco — 296, Military — 225, Critical infrastructure — 206, Entertainment — 187, Transport — 182, Energy — 190 (новый в топе).

Профиль атак сдвигается к чувствительным для государства отраслям — «тихая идущая кибервойна». Атаки на финансовый сектор выросли на 70% по сравнению с 2024 годом.

Главный инсайт: нет жёстко закреплённых TTP для отраслей — есть вероятности. В энергетике T1078 (Действительные учетные записи) даёт 63% — самый высокий показатель. В госсекторе — 38%, в финансах — 31%. В медицине T1486 (Шифрование данных) — 18%.

Топ-10 отраслей · отчётов 2025
Government
693
Financial
639
Healthcare
322
Education
322
Telco
296
Military
225
Crit. Infra
206
Energy
190
Хугин и Мунин шепчут Одину:

Глобальные источники видят больше отечественных, но не «всевидящи». У отечественного ландшафта свои особенности, но они не уникальны. То, что в одном регионе уже прошлое, в другом может быть ближайшим будущим. Используй подход Озера знаний — обозри картину целиком.

Полная версия — в отчёте

Топ-50 угроз глобально и в России, пересечения по ВПО и инструментам, инсайты по 10 отраслям с TTP-вероятностями.

Часть III

Танец
смертельных техник

Жжешь ты меня,
могучее пламя,
огонь, отойди!
Тлеющий мех
потушить не могу я,
пылает мой плащ. Старшая Эдда. Речи Гримнира
Один:

Чтобы строить защиту, мне надо понять, как меня будут атаковать. Какими техниками пользовались атакующие в 2025 году? На что обратить внимание в первую очередь?

07
Песнь седьмая
Об острие клинка
Что мыслит Хугин:

На этапе первоначального доступа — резкий рост целевого фишинга и эксплуатации публичных приложений. Spearphishing Attachment — 279 отчётов, Exploit Public-Facing App — 281, Действительные учетные записи — 206. Человеческий фактор остаётся основным.

На этапе исполнения — Malicious File — 430 отчётов, PowerShell — 320. С развитием специализированных LLM порог разработки ВПО резко понизился.

Defense Evasion — Obfuscation — 538 отчётов (рост в 4,7× к 2024). Активное развитие LLM-обфускаторов. Стиллеры выросли до 124, кейлоггеры — до 104, скрин-капчуры — до 98. Канал C2 через Web Protocols — 482 отчёта, передача инструментов извне — 501. Шифрование данных — 199 отчётов, DDoS растёт.

Топ-техник · 2025 vs 2024
Obfuscation
538
'25
113
'24
T1105 Ingress
501
'25
108
'24
T1071.001 Web
482
'25
127
'24
T1204.002 Mal.File
430
'25
118
'24
T1059.001 PS
320
'25
138
'24
08
Песнь восьмая
Мы или они. О сокрытых закономерностях
Что мыслит Хугин:

Топ-50 наиболее популярных TTP в мире и России практически идентичен. Принципиальных отличий нет, динамика по России соответствует общемировой. Хакерская мысль не имеет территориальных границ.

09
Песнь девятая
История набегов: векторы атак на отрасли
Что мыслит Хугин:

Согласно собранной статистики, часто стартом для вектора атаки является использование техники T1078 (Существующие учетные записи). В 2025 году это ярко выраженно проявилось в следующих отраслях:

  • Критическая инфраструктура (206 отчетов): Вероятность использования — 76% — катастрофа с управлением учётными записями
  • Энергетика (190): Вероятность использования — 63%
  • Транспорт (182): Вероятность использования — 46%
  • Развлечения (187): Вероятность использования — 43%
  • Медицина (322): Вероятность использования — 39%
10
Песнь десятая
Бессмертное легаси
Что мыслит Хугин:

В отчётах 2025 года продолжают фигурировать CVE даже из 2017 года.

Топ старичков:

  • CVE-2017-11882 (RCE в MS Office) — 24 упоминания
  • CVE-2024-21887 (Ivanti) — 18
  • CVE-2021-44228 (Log4Shell) — 18
  • CVE-2023-46805 (Ivanti) — 16
  • CVE-2020-1472 (Zerologon) — 14

Новые CVE 2025:

  • CVE-2025-53770, 53771, 49704, 49706 (Microsoft SharePoint)
  • CVE-2025-55182 (React Server Components)
  • CVE-2025-31324 (SAP NetWeaver)

Патч-менеджмент буксует. Если вы до сих пор не закрыли уязвимости 2017 года — вы в зоне риска. Старые CVE опаснее новых: для них есть готовые эксплойты.

Хугин и Мунин шепчут Одину:

Обращай внимание на защищённость учётных записей и готовность сотрудников распознавать фишинг. Люди, как и все года до этого, — самое слабое звено. ИИ помогает атакующим автоматизировать сотни новых фишинговых кампаний. Не надейся на один лишь антивирус.

Полная версия — в отчёте

Все TTP по тактикам MITRE ATT&CK, байесовские векторы атак, разбор по 10 отраслям, полный список топ-50 CVE.

Часть IV

Совет
для Одина

Управленческие выводы, индекс проактивности, ключевые тренды 2026 года, рекомендации для CISO — всё это вы найдёте в полном отчёте «Сага о цифровом Мидгарде» после регистрации.

Заполните форму, и Хугин с Мунином принесут свиток на крыльях.

Получить полный отчёт

51 страница аналитики на основе 2 884 CTI-отчётов. Бесплатно после регистрации.

Регистрация

Хугин и Мунин
принесут свиток

Заполните форму — на указанный email придёт ссылка на полный отчёт «Сага о цифровом Мидгарде» (51 стр., PDF).

Линейка продуктов

Продукты
CyberThreatTech

Стек сервисов для построения проактивной защиты — от автоматизации потока CTI-отчётов до WHOIS-обогащения и снижения ложных срабатываний.

CTT Threat Feed
Источник IoC через REST API
260 источников 200K IoC / сутки

Наиболее полный сервис сбора и обработки источников информации о киберугрозах. API для доступа к индикаторам компрометации (IP, Domain, URL, Hash) на глубину до года. Платформа собирает данные из множества источников, нормализует, фильтрует, обогащает контекстом и присваивает каждому IoC показатель уровня опасности. Множество встроенных интеграций с SIEM, SOAR, TIP и NGFW.
CTT Report Hub
Тактические и операционные TI-отчёты
+180 источников 4 000 отчётов/год

Сервис доступа к тактическим и операционным TI-отчётам со всего мира, подготовленных для наиболее быстрого восприятия как аналитиком, так и «машиной». Благодаря AI формирует описание ключевых идей из отчёта и преобразует его в формат STIX 2.1.
CTT Threat KB
База знаний о киберугрозах
+180 источников STIX 2.1 / TAXII

Сервис сбора и обработки описаний киберугроз. Автоматически собирает, пересекает и взаимообогащает информацию по каждой угрозе, появляющуюся в CTI-отчётах. Отслеживая 180+ источников, перестраивает описание угроз с учётом новой информации. Доставляется через REST-API и TAXII — данные доступны offline, любые изменения оперативно доставляются клиенту.
CTT Incident Hub
Агрегатор информации о киберинцидентах
15+ инцидентов / сутки

Сервис-агрегатор информации о киберинцидентах в мире. Собирает публичные данные об утечках и взломах, анализирует их — выделяет атакованную компанию, атакующего и нанесённый ущерб. По каждой компании собирает страны, отрасли, размер штата, биржевую публичность. Историческая подборка позволяет делать срезы по похожим компаниям.
CTT Noise Control
Снижение ложных срабатываний
100+ списков исключений

Сервис выявления потенциально ложно-положительных (FP) индикаторов. Одна из постоянных проблем SOC — обнаружение ложных срабатываний. Отсеивая нерелевантные IoC и идентифицируя «заведомо легитимное» ПО, файлы и сетевые ресурсы, CTT Noise Control упрощает процесс анализа.
CTT WHOIS
Актуальная WHOIS-информация по доменам
до 200K запросов/сутки JSON API

В процессе работы с инцидентами часто возникает необходимость получить дополнительные данные по доменным именам. Информация о регистраторе и давности регистрации может многое рассказать о домене опытному аналитику. CTT WHOIS получает информацию напрямую от WHOIS-серверов, разбирает ответы и предоставляет результат в JSON-формате.

Запросить демо или техническое описание

Подберём сценарий внедрения под вашу инфраструктуру: SIEM, SOAR, TIP, NGFW. Локальное развёртывание возможно.

Заключение

Мудрость,
принесённая на крыльях

Один не спрашивал воронов: «Что вы видели?» Он спрашивал: «Что мне нужно знать?»

В этом отчёте — только то, что действительно нужно знать руководителю. Мы отсеяли шум, оставили сигнал. Мы соединили прошлое с настоящим, чтобы вы могли заглянуть в будущее.

Мы в CyberThreatTech создали Озеро знаний, чтобы вы могли черпать из него мудрость, а не тонуть в данных. Наши вороны — Хугин и Мунин — продолжают свой полёт. Каждый день они приносят новую информацию, чтобы вы оставались всевидящими в своём королевстве.

«Станьте всевидящим в своём королевстве. Используйте эту мудрость.»

Хугин и Мунин всегда рядом

www.cyberthreat.tech info@cyberthreattech.ru