Итоги кода: как изменились кибератаки в России за 2025 год
В 2025 году ландшафт кибератак в России претерпел существенные изменения — об этом сообщили эксперты. Действия атакующих стали носить более деструктивный характер, они активно использовали шифровальщики, а также запускали скоординированные компании с несколькими участниками. Подробности о том, как изменились кибератаки в России за 2025 год, какие инструменты пополнили арсенал хакеров и что помогало противостоять в минувшие месяцы, читайте в материале «Известий».
Какими стали ключевые тренды кибератак в 2025 году
В 2025 году действия атакующих стали носить более деструктивный характер — об этом «Известиям» сообщил руководитель команды аналитики Cyber Threat Intelligence в «Лаборатории Касперского» Кирилл Митрофанов. Злоумышленники также активно использовали шифровальщики — на стыке III и IV кварталов традиционно усилилась активность их операторов, а также вайперы, то есть вредоносное программное обеспечение (ВПО) для уничтожения инфраструктуры жертв.
— Иногда атакующие применяли сразу оба зловреда: сначала шифровали данные, а затем стирали их, — говорит эксперт. — Кроме того, всё чаще мы наблюдаем скоординированные кампании с участием нескольких акторов: одна группировка обеспечивает доступ, другая закрепляет присутствие, а третья занимается нанесением ущерба. Это усложняет исследование инцидентов и атрибуцию.
Как отмечает Кирилл Митрофанов, также растет число атак через подрядчиков. Таким образом злоумышленники получают доступ сразу к нескольким потенциальным жертвам. В свою очередь, коммерческий директор компании «Код Безопасности» Федор Дбар указывает на то, что за первые три квартала 2025 года злоумышленники стали активно применять сразу несколько векторов атак, комбинируя различные методы.
Так, в число главных категорий атак вошло ВПО, С2 (Command and control), когда хакеры используют специальную инфраструктуру для управления зараженными устройствами, а также фишинг.
Какие инструменты появились в арсенале хакеров в 2025 году
За минувшие месяцы злоумышленники стали больше ориентироваться на длительные кампании, в ходе которых применяют различные автоматизированные инструменты, рассказывает Федор Дбар. Цель — не столько прорвать периметр безопасности, сколько проникнуть максимально глубоко и вызвать критическое обрушение целевой IT-инфраструктуры.
— Пожалуй, главное изменение 2025 года заключается в том, что злоумышленники начинают понемногу осваивать вредоносный потенциал GPT-сервисов, — говорит в беседе с «Известиями» руководитель группы анализа вредоносного программного обеспечения (ВПО) центра исследования киберугроз Solar 4RAYS ГК «Солар» Станислав Пыжов. — Пока это не массовое явление, но мы уже сталкивались с кодом вредоносных программ, как минимум часть из которых, по нашему мнению, могла быть написана методом вайб-кодинга.
На то, что группировки, которые ранее не использовали собственные вредоносы, начинают создавать свои инструменты, а в ряде случаев применяют для их разработки искусственный интеллект (ИИ), указывает и Кирилл Митрофанов.
В свою очередь, технический аккаунт-менеджер R-Vision Александр Винокуров отмечает, что порой злоумышленники встраивают ИИ прямо во вредоносное ПО: такие «адаптивные» вирусы анализируют окружение, подстраиваются под конфигурацию инфраструктуры и находят индивидуальные способы обхода защитных механизмов. Это резко повышает их эффективность и снижает вероятность детектирования.
Из других нововведений Станислав Пыжов выделяет более активное использование злоумышленниками языка Rust для создания вредоносов. Пока что для ИБ-индустрии это является проблемой, поскольку анализировать сэмплы вредоносов, написанных на Rust, сложнее, чем сэмплы на любом другом языке. Это серьезно затрудняет и замедляет выработку защитных мер против таких вредоносов.
Какие цели в первую очередь атаковали хакеры в 2025 году
Из года в год специалисты по кибербезопасности наблюдают, что атакующие идут туда, где есть деньги или конфиденциальная информация, которую можно продать или использовать для проведения других атак, говорит Станислав Пыжов. 2025 год не стал исключением: атакующие охотились прежде всего за наиболее потенциально «прибыльными» с этой точки зрения индустриями — организациями из госсектора, здравоохранения, промышленности и топливно-энергетического комплекса (ТЭК).
— Атаки на госсектор и ТЭК обусловлены в том числе и геополитикой — обе сферы оказывают сильное влияние на экономику страны, и, соответственно, данные из таких организаций представляют высокую ценность для атакующих, работающих в интересах иностранных разведок или желающих нанести существенный ущерб, — отмечает собеседник «Известий».
Кроме того, по словам Александра Винокурова, по мере массового перехода бизнеса в облачные сервисы и распределенные среды хранения данных вектор атак также сместился в сторону облачной инфраструктуры. Параллельно растет привлекательность криптоинфраструктуры для атакующих. Объем хранимого в цифровых активах капитала увеличивается — и это делает отрасль одной из наиболее прибыльных для киберпреступников.
При этом активность киберпреступников на протяжении 2025 года не была равномерной. Так, по словам Александра Пыжова, в первом полугодии наблюдалось относительное затишье: многие группировки снизили активность, а количество расследований масштабных инцидентов в практике специалистов по кибербезопасности снизилось. Однако уже в июле ситуация стала меняться: случилась серия заявлений о масштабных атаках против ритейла и других компаний. С точки зрения последствий это был один из самых напряженных периодов года.
— Второй напряженный период происходит прямо сейчас. Период праздничных распродаж, стартовавший 11 ноября и заканчивающийся в конце декабря, традиционно сопровождается активизацией злоумышленников, нацеленных на похищение денег: атаки банковских троянов, мошеннические схемы, паразитирующие на скидочных предложениях, и прочие похожие угрозы наиболее актуальны именно в распродажный период, — отмечает эксперт.
Какие методы защиты от кибератак стали наиболее актуальными
За минувшие месяцы 2025 года наиболее востребованным стал сегмент сетевой безопасности: по словам Федора Дбара, компании уделяют наибольшее внимание внедрению инструментов многофакторной аутентификации, анализу сетевого трафика, автоматизации обнаружения угроз, а также сегментации IT-инфраструктуры.
— Помимо развития стандартных средств защиты, на российском рынке информационной безопасности наблюдается рост популярности управляемых сервисов безопасности, которые предоставляют круглосуточный мониторинг и реагирование, особенно для малого и среднего бизнеса, — говорит в беседе с «Известиями» руководитель направления аналитических исследований в Positive Technologies Ирина Зиновкина.
По словам эксперта, этому способствует несколько факторов, в том числе дефицит квалифицированных кадров, сложность современных киберугроз, экономическая эффективность (так как создание и поддержка собственного SOC требует значительных инвестиций), а также быстрое реагирование на инциденты и обеспечение защиты распределенных инфраструктур и гибридных сред.
В целом стоит отметить, что вал «шаблонных» атак на малый и средний бизнес в ближайшие годы вынудит такие организации повышать уровень защищенности. В перспективе пяти лет может сложиться ситуация, при которой низкоквалифицированные киберпреступники будут искать пренебрегающие безопасностью бизнесы для проведения простых и доступных их уровню навыков атак, отмечает Ирина Зиновкина.
— Сегодня всё больше компаний переходят к модели «безопасность по умолчанию», внедряя инструменты анализа кода, автоматизированного тестирования и контроля безопасности еще на стадии разработки, — заключает Александр Винокуров. — Такой подход позволяет обнаруживать уязвимости до выхода продукта в эксплуатацию и существенно снижает риски критических инцидентов.
