Взломом подпоясанные
Три четверти кибератак в России в 2025 году были критическими
В 2025 году киберпреступники вместо демонстративных атак и кражи данных стали все чаще стремиться к полному уничтожению IT-инфраструктуры компаний для вымогательства или саботажа. На такие атаки приходилось более 70% критических инцидентов в 2025 году, при этом суммы выкупов достигали рекордных 500 млн руб. Причины уязвимостей в инфраструктуре компаний остаются прежними: человеческий фактор, халатность и неготовность бизнеса к фундаментальным инвестициям в безопасность.
Фото: Олег Харсеев, Коммерсантъ
Фото: Олег Харсеев, Коммерсантъ
В 2025 году акцент злоумышленников, атакующих российские компании, сместился с дефейсов (подмена надписи или изображения на сайте), хищения данных и DDoS-атак на полное уничтожение инфраструктуры с целью вымогательства в случае вирусов-шифровальщиков или полной остановки деятельности без возможности восстановления, выявили эксперты компании «Инфосистемы Джет». 76% критических кибератак были направлены на уничтожение инфраструктуры. Большая часть из них (44%) — это шифрование инфраструктуры (Babyk, LockBit, Zeppelin, Phobos, Enmity и пр.), 32% — разрушение инфраструктуры. Также основными трендами в 2025 году специалисты «Инфосистемы Джет» назвали более активное использование атакующими инструментов с поддержкой ИИ и коллаборации группировок.
Эксперты Лаборатории цифровой криминалистики F6 отмечают, что в текущем году прирост количества атак программ-вымогателей составил 15% по сравнению с 2024 годом. Максимальная сумма первоначального выкупа, заявленная группировкой CyberSec’s в 2025 году, составила 50 BTC (около 500 млн руб. на момент атаки, порядка 384 млн на декабрь), что почти в два раза больше по сравнению с прошлым годом (240 млн руб.), отмечают в F6.
27
прогосударственных хакерских группировок атаковали Россию и постсоветские страны в 2025 году, по данным компании F6.
В среднем же суммы первоначального выкупа за расшифровку данных в 2025 году колебались от 4 млн до 40 млн руб., для малого и среднего бизнеса — от 240 тыс. до 4 млн руб. В середине лета произошла одна из крупнейших в этом году кибератак на инфраструктуру — авиакомпании «Аэрофлот». Было отменено более 100 рейсов. Ответственность за взлом взяли на себя две хакерские группировки — «Киберпартизаны BY» и Silent Crow. 30 июля «Аэрофлот» сообщил о полной стабилизации расписания. Недополученная выручка авиакомпании могла составить 275 млн руб. (см. “Ъ” от 28 июля).
Финансовый сектор, IT и рынок недвижимости возглавили рейтинг наиболее атакуемых сфер, отмечают в «Инфосистемы Джет». При этом ключевые причины взломов остаются «классическими»: фишинг, взломы через подрядчиков, уязвимости в общедоступных веб-приложениях, отсутствие многофакторной аутентификации на внешних интерфейсах и слабая «гигиена доступа». Аудиты внешнего периметра экспертами «Инфосистемы Джет» выявили, что 83% компаний оставляют открытыми административные интерфейсы, а в 19% из них до сих пор используются учетные данные по умолчанию.
Более 90% инцидентов так или иначе связаны с человеческим фактором, говорит руководитель департамента развития и архитектуры «Кросс Технолоджис» Евгений Балк.
По его словам, специалисты совершают простые ошибки, потому что не думают о последствиях, фокусируются на удобстве работы, а не на защищенности. Нивелированию рисков, по словам гендиректора компании CICADA8 Алексея Кузнецова, также часто мешает сам заказчик, который не готов отдавать расширенное управление вовне. Кроме того, по его словам, не всегда есть единая консоль, которая позволит защитить внешние сервисы.
У 40% фишинговых доменов выявлены MX-записи (настройка домена, необходимая для приема почты). Злоумышленники вкладывают ресурсы в создание долгосрочной почтовой инфраструктуры, повышающей «легитимность» их кампаний и снижающей вероятность блокировки. Киберугрозы за последние годы прошли определенную эволюцию, отмечает руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин. «Это логичное развитие, потому что крупные компании имеют резервные копии, обычный ransomware (вирус-вымогатель.— “Ъ”) работает все хуже, а утечки обесценились — уже утекло все, что можно, и рынок перенасыщен. А вот угроза уничтожения информации — это уже серьезно, как угроза бизнесу вообще продолжать существование»,— добавил он.
Вместо пятилетних планов CISO выбирают гибкие циклы на один-два года, отмечают эксперты «Инфосистемы Джет», а также смещают фокус на инфраструктуру, способную восстанавливаться и стать надежнее после каждой атаки. Также, по данным компании, вдвое увеличился спрос на независимые аудиты систем резервного копирования, а более 70% крупных компаний внедрили регулярные тестирования восстановления данных.