Давление растёт: удвоилось число хакерских группировок, атакующих российские компании
4 мин
193
2
Кибергрупп становится больше
Российскими экспертами по ИБ по итогам 10 месяцев 2025 года зафиксирован рост числа хакерских объединений. Так, по данным центра исследования кибеугроз Solar 4RAYS ГК «Солар», выявлено 18 группировок хакеров, из них семь — новые. Это в два раза больше, чем в прошлом году. При этом доля присутствия киберпреступников в инфраструктурах российских компаний в III квартале увеличилась до 35% — рост на 10 процентных пунктов (п. п.) к показателям II квартала.
Растёт и число нападений. По данным RED Security SOC, с июля по сентябрь 2025 года выявлено более 42 тыс. кибератак (+73% к аналогичному периоду 2024-го). Это 40% от общего числа ИТ-инцидентов с начала года.
Одновременно аналитики отмечают, что в III квартале в целом число заражений вредоносным ПО снизилось до 1,4 млн (−50% по сравнению с II кварталом). Также уменьшилось до 13,8 тыс. и число атакуемых организаций (−19%). Причины: период отпусков летом и повышение уровня защищённости компаний.
Также зафиксировано снижение активности проукраинских хакерских группировок. В частности, попытки взлома группой Shedding Zmiy были обнаружены лишь в 2% расследованных атак (в 2024 году — 37%).
«В целом же доля изученных инцидентов, которые относятся к известным проукраинским хакерам, уменьшилась до 20%: многие элементы их арсенала стали хорошо известны. Вероятно, по этой причине эта и другие группировки снизили масштабы деятельности», — полагают в ГК «Солар».
Однако это не повод расслабиться, предупреждают эксперты. Киберпреступники продолжают испытывать компании на прочность и усиливают интенсивность атак. Цифры говорят сами за себя: в IV квартале 2024 года каждая компания сталкивалась с 40 заражениями ВПО, в октябре 2025 года — уже с 99 заражениями.
Промышленность под угрозой
Самыми атакуемыми в третьем квартале стали компании в сфере промышленности. На них пришлось 27% выявленных кибер-инцидентов (во втором квартале — 35%). В топ также вошли ТЭК и здравоохранение: по 17% на каждую (в II квартале — 11 и 19% соответственно). Доля выявленных нападений на госструктуры выросла за квартал с 7 до 13%.
Эксперты Solar 4RAYS считают, что интерес преступников к ТЭК связан с важностью отрасли для экономики и безопасности страны. Предприятия этой сферы становятся целью и прогосударственных атакующих, и киберпреступников, которые хотят заработать на вымогательстве.
Основная цель профессиональных хакеров — шпионаж. На эту категорию приходится 61% от общего числа инцидентов, что на 7 п.п. больше в сравнении с прошлым годом. Финансово-мотивированные атаки составили 17% (−3 п.п. за год), а хактивистские, то есть с громкими политическими заявлениями, — 11% (−11 п.п. за год). Злоумышленники стали чаще фокусироваться на сложных и скрытных атаках, а не на «громких», как это было год назад, говорят аналитики.
Доля атак, которые продолжаются от шести месяцев до года, выросла до 19% (+12 п.п. год к году), а от года до двух лет — до 14% (+8 п.п.). Хакеры дольше готовятся к атакам и стремятся к максимально долгому скрытному присутствию в ИТ-системах компаний-жертв, рассказали эксперты «Солара».
Как действуют киберпреступники
Инструментарий и подходы хакеров с каждым годом становятся всё сложнее и изобретательнее. По данным исследования «Кода безопасности», доля успешных нападений с применением вредоносного ПО (ВПО) в 2025 году выросла с 56 до 71%. Среди основного: трояны-стилеры, например Lumma Stealer, программы-вымогатели (LockBit, Conti), бэкдоры. Популярны фреймворк для управления атаками (Cobalt Strike), легитимные инструменты удаленного доступа, например AnyDesk, а также браузеры на базе Chrome (их в 2025 году применяли в 23% атак), мессенджер «Телеграм» (19%) и другие.
Бóльшая часть выявленных нападений в III квартале, по данным «Солара», пришлась на индикаторы присутствия APT-группировок (32%), программы-стилеры для кражи информации (30%) и RAT — средства для получения удаленного доступа к ИТ-системам (24%). Доля присутствия профессиональных хакеров в октябре увеличилась до 36%, доля стилеров — до 32%, а RAT осталась примерно на том же уровне и составила 23%.
Популярность RAT эксперты объясняют желанием хакеров управлять атакованными системами жертв и монетизировать атаки, например продавать доступы во взломанные системы. Рост активности АРТ-группировок может быть связан с последними геополитическими событиями.
Аналитики отмечают растущий тренд проведения атак через подрядчиков. Хакеры проникают в их инфраструктуры, чтобы затем атаковать более крупные и защищённые организации.
Более четверти (27%) сложных атак начинаются через доверительные отношения. Это в 3,3 раза больше, чем в прошлом году, что тоже говорит о росте популярности атак через подрядчика, считают в «Соларе». Немного чаще хакеры проникают в инфраструктуру жертв через уязвимости в веб-приложениях (31%), скомпрометированные учётные данные пользователей (28%), через фишинг (14%).
Что дальше
Аналитики считают, что общее число кибератак в ближайшие несколько месяцев увеличится. К концу года и в начале 2026-го — в период распродаж, новогодних праздников и каникул — злоумышленники могут усилить свою активность, что повлияет на общую статистику.
Промышленные предприятия останутся в зоне риска. При этом станет больше целевых атак, направленных на уничтожение целостности инфраструктуры. Ещё один тренд — рост атак на малый и средний бизнес (МСБ), который часто становится каналом для проникновения в системы их более крупных партнёров.
«Это означает, что в следующем году возрастёт необходимость в обеспечении комплексной кибербезопасности, куда входит не только применение технических средств, но и усиление контроля за подрядчиками, своевременное обновление ПО, защита веб-приложений, соблюдение парольных политик и отслеживания главных трендов в ландшафте киберугроз», — считает руководитель центра исследования киберугроз Solar 4RAYS ГК «Солар» Алексей Вишняков.
Более подробные рекомендации по противодействию киберугрозам можно узнать в отчете Solar 4RAYS.
