Характер кибератак на российские компании изменился
Три четверти кибератак в России в 2025 г. были критическими для ИТ-инфраструктуры, пишет «Коммерсант». На фоне эскалации угроз бизнес начинает менять подходы к кибербезопасности.
В 2025 г. киберпреступники вместо демонстративных ИТ-атак и кражи данных стали все чаще стремиться к полному уничтожению ИТ-инфраструктуры компаний для вымогательства или саботажа. На такие атаки приходилось более 70% критических ИТ-инцидентов в 2025 г., при этом суммы выкупов достигали рекордных 500 млн руб. Причины ИТ-уязвимостей в ИТ-инфраструктуре российских компаний остаются прежними: человеческий фактор, халатность и неготовность бизнеса к фундаментальным инвестициям в безопасность.
По данным экспертов компании «Инфосистемы Джет», в 2025 г. основным приоритетом злоумышленников стало полное разрушение ИТ-инфраструктуры организаций, а не проведение дефейсов, кража данных или организация DDoS-атак. Ключевые выводы исследования: 76% критических ИТ-инцидентов были направлены именно на уничтожение ИТ-инфраструктуры (из них: 44% — кибератаки с использованием программ-шифровальщиков (Babyk, LockBit, Zeppelin, Phobos, Enmity и другие; 32% — прямое разрушение компонентов ИТ-инфраструктуры без возможности восстановления). Таким образом, более трех четвертей наиболее опасных кибератак в 2025 г. имели своей целью либо полную остановку деятельности российских компании, либо создание ситуации, при которой восстановление работы требует огромных затрат времени и ресурсов. Кроме того, среди главных тенденций 2025 г. специалисты «Инфосистемы Джет» отмечают, значительное увеличение использования ИТ-инструментов на базе искусственного интеллекта (ИИ) при подготовке и проведении кибератак, а также рост числа случаев сотрудничества между различными хакерскими группировками. Эксперты по информационной безопасности (ИБ) отмечают, что смещение фокуса злоумышленников на необратимое разрушение инфраструктуры существенно повышает риски для непрерывности бизнеса российских организаций.
Эксперты Лаборатории цифровой криминалистики F6 отмечают, что в 2025 г. прирост количества атак программ-вымогателей составил 15% по сравнению с 2024 г. Максимальная сумма первоначального выкупа, заявленная группировкой CyberSec в 2025 г., составила 50 BTC (около 500 млн руб. на момент кибератаки, порядка 384 млн руб. уже на декабрь), что почти в два раза больше по сравнению с 2024 г. (240 млн руб.), отмечают аналитики F6.
Суммы выкупа резко выросли
По итогам 2025 г. средний размер первоначального выкупа, который требовали хакеры за предоставление ключа расшифровки, составлял от 4 до 40 млн руб. Для компаний малого и среднего бизнеса диапазон требований был значительно ниже — от 240 тыс. до 4 млн руб.
Крупнейшая кибератака в 2025 г.
Одним из самых громких ИТ-инцидентов 2025 г. стала масштабная кибератака на информационную ИТ-инфраструктуру ПАО «Аэрофлот», произошедшая в середине июля, о чем CNews уже писал. Ведь последствия были масштабными, отмена более 100 рейсов, а также серьезные сбои в работе внутренних ИТ-систем и расписания.
Ответственность за кибератаку публично взяли на себя две хакерские группировки «Киберпартизаны BY» и Silent Crow.
Уже 30 июля 2025 г. авиакомпания официально сообщила о полном восстановлении штатного расписания полетов. По оценкам экспертов, прямые потери выручки «Аэрофлота» в результате ИТ-инцидента могли составить около 275 млн руб.
Наиболее атакуемые отрасли
По данным компании «Инфосистемы Джет», в 2025 г. лидерами по количеству успешных кибератак среди российских организаций стали три сферы: финансовый сектор , ИТ-отрасль, рынок недвижимости.
При этом основные способы проникновения хакеров остаются классическими и практически не изменились за последние годы. К ним относятся: фишинговые ИТ-атаки; компрометация через цепочку поставок т.е. взломы подрядчиков; эксплуатация ИТ-уязвимостей в публично доступных веб-приложениях; отсутствие многофакторной аутентификации (МФА) на внешних ИТ-сервисах и интерфейсах; низкий уровень «гигиены доступа» (слабые пароли, избыточные права, отсутствие ротации учетных записей).
Результаты аудитов внешнего периметра
Специалисты «Инфосистемы Джет», проводившие внешние аудиты кибербезопасности, зафиксировали следующие критические проблемы у большинства проверенных компаний.
83% организаций оставляют открытыми в интернет административные панели управления (админки, консоли администрирования, ИТ-системы удаленного доступа).
19% компаний в России до сих пор используют учетные записи с паролями по умолчанию (admin/admin, root/123456 и аналогичные комбинации).
Такие ИТ-уязвимости остаются одними из самых простых и часто эксплуатируемых точек входа в ИТ-системы своих жертв для хакеров в 2025 г. Руководитель департамента развития и архитектуры «Кросс Технолоджис» Евгений Балк отметил также, что более 90% ИТ-инцидентов так или иначе связаны с человеческим фактором.
Злоумышленники чаще создают ИТ-инфраструктуру для фишинга
По данным исследований 2025 г., у 40% фишинговых доменов обнаружены корректно настроенные MX-записи — специальные DNS-записи, необходимые для полноценной работы электронной почты. Это означает, что злоумышленники уже не ограничиваются одноразовыми однодневными доменами. Они вкладывают значительные ресурсы в создание устойчивой, долгосрочной почтовой ИТ-инфраструктуры, которая придает их рассылкам высокую степень легитимности и существенно снижает вероятность автоматической блокировки фильтрами почтовых ИТ-сервисов и антиспам-системами.
Эволюция защиты привела к другим методам кибератак
Вместо пятилетних планов CISO выбирают гибкие циклы на один-два года, отмечают эксперты «Инфосистемы Джет», а также смещают фокус на ИТ-инфраструктуру, способную восстанавливаться и стать надежнее после каждой кибератаки. Также, по данным компании, вдвое увеличился спрос на независимые аудиты ИТ-систем резервного копирования, а более 70% крупных компаний внедрили регулярные тестирования восстановления данных.
Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин объясняет текущие изменения в ландшафте киберугроз следующим образом, это совершенно логичное развитие ситуации. Крупные компании в 2025 г. имеют качественные резервные копии, поэтому классический вирусы-шифровальщики работают все хуже и хуже. Рынок украденных данных также перенасыщен — практически все, что можно было украсть, уже утекло, и ценность таких утечек резко упала, замечает эксперт. Полунин добавляет, что на этом фоне ИТ-угроза полного и необратимого уничтожения информации становится гораздо более серьезной. Для бизнеса это уже не просто финансовая потеря, а прямая угроза самому продолжению существования компании. Таким образом, в 2025 г. наблюдается четкий переход от стратегии «зашифровать и потребовать выкуп» к стратегии «максимального нанесения ущерба» — вплоть до полного стирания критически важных данных и ИТ-инфраструктуры, восстановление которых может оказаться экономически нецелесообразным или технически невозможным.
Поделиться
