Чаще всего в таких схемах встречались троянцы Pure, Venom и Buhtrap
В 2025 году наблюдался всплеск количества инцидентов, когда мошенники атакуют российские организации через системы электронного документооборота (ЭДО) и, например, подменяют реквизиты в счетах на оплату, чтобы жертва сама перечислила им деньги. По данным* «Лаборатории Касперского», чаще всего в таких схемах встречались троянцы Pure, Venom и Buhtrap. В общей сложности с этими вредоносными программами столкнулись почти 12 тысяч корпоративных пользователей. Такие данные «Лаборатория Касперского» представила на пресс-конференции, посвящённой итогам 2025 года и прогнозам на 2026-й.
Бухгалтерия — одна из ключевых мишеней. Среди трёх троянцев в атаках наиболее часто встречался Pure. Обычно злоумышленники распространяют его через целевые рассылки, а в заголовках вложенных файлов используют сокращения от названий документов, программ или другие ключевые слова, связанные с бухгалтерской сферой. Наибольшее число атак в 2025 году пришлось на компании из отраслей производства, ретейла, консалтинга, транспорта и логистики, а также ИТ. Особенно активны злоумышленники были в апреле-июне — только за этот период было заблокировано почти 5 тысяч попыток атак троянцем Pure.
Как атакуют. Чтобы проникнуть во внутреннюю сеть организации, злоумышленники часто прибегают к методам социальной инженерии. В частности, в 2025 году впервые за много лет наблюдался всплеск атак через систему электронного документооборота (ЭДО). Например, сотруднику может прийти через ЭДО письмо, в котором якобы содержится «досудебная претензия», «проект договора», «акт» или другой фальшивый документ. Если пользователь разрешит скачивание файла, начнётся установка вредоносного ПО. Другой распространённый вектор — атаки через электронную почту. Например, работник ведёт переговоры с поставщиком и ему приходит якобы «дополнение к договору» или «счёт на оплату», который на самом деле прислали злоумышленники. Далее атака развивается по такой же схеме — в случае запуска вредоносного вложения начинается загрузка троянца.
После заражения устройства у злоумышленников есть возможность подменять реквизиты в счетах на оплату, чтобы жертва сама перечислила им деньги. Также они могут использовать скомпрометированный пароль от подключённого к компьютеру токена сотрудника, чтобы получить доступ к системе дистанционного банковского обслуживания юрлиц и подтвердить нужный мошенникам перевод.
«В 2025 году мы наблюдали резкий рост кибератак через ЭДО, которого не было в предыдущие годы. Злоумышленники часто делают ставку именно на человеческий фактор, поскольку обманом заставить сотрудника открыть вредоносное вложение проще, чем пытаться обойти защитные решения. При этом схемы стали гораздо более таргетированными: атакующие тщательно изучают информацию о компании и стараются добавить в письма убедительные детали, чтобы сделать его правдоподобным. Именно поэтому важно повышать уровень цифровой грамотности внутри организаций и рассказывать сотрудникам про актуальные схемы злоумышленников. Также необходимо использовать технические средства защиты от надёжных вендоров, которые предотвратят загрузку вредоносных программ», — комментирует Сергей Голованов, главный эксперт «Лаборатории Касперского».
Чтобы защититься от подобных угроз, «Лаборатория Касперского» рекомендует организациям:
- проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform;
- регулярно обновлять программное обеспечение на всех устройствах, чтобы предотвращать проникновение злоумышленников во внутреннюю сеть с использованием уязвимостей;
- использовать комплексное решение для обеспечения кибербезопасности, например из линейки Kaspersky Symphony. Продукты, входящие в её состав, обеспечивают видимость угроз и защиту в режиме реального времени, предоставляют возможности уровня EDR и XDR для исследования и реагирования на них. Они подходят для организаций любого размера и отрасли;
- небольшим компаниям — установить решение для защиты рабочих мест, а в дополнение к нему специализированный инструмент для корпоративной почты: Kaspersky Security для бизнеса и Kaspersky Security для почтовых серверов.
* По данным анонимизированной статистики срабатывания решений «Лаборатории Касперского» за январь-декабрь 2025 года.
