В России зафиксировали утечки 767 млн строк данных в 2025 году
3 мин
88
Количество и интенсивность атак на российские компании в 2025 году относительно стабилизировались. При этом продолжается рост числа проправительственных APT-групп, группировок вымогателей, финансово и политически мотивированных групп, сообщает компания F6.
Аналитики выявили 225 ранее не опубликованных украденных баз данных российских компаний, то есть вдвое меньше, чем годом ранее. 187 из 225 баз опубликовали через через Telegram. Самой объёмной утечкой стал архив из 457 баз данных.
Утечки российских компаний содержали 767 млн строк с данными пользователей. В группе риска оказались ретейл, госсектор, профессиональные услуги, здравоохранение и ИТ.
В 2025 году исследователи обнаружили 27 прогосударственных групп, атакующих Россию и СНГ. Годом ранее их было 24. Семь группировок раскрыли впервые: Silent Lynx, Telemancon, Mythic Likho, NGC6061, NGC4141, SkyCloak и NGC5081. Выявлена активность более 20 финансово мотивированных группировок. Самые примечательные — Vasy Grek, Hive0117 и CapFIX. Четыре группы занимались DDoS-атаками: CyberSec's, Himars DDOS, Кіберкорпус и IT Army of Ukraine. Последняя остаётся топовой угрозой по DDoS.
Количество атак вымогателей выросло на 15%. Однако в 15% инцидентов со средними и крупными предприятиями целью был не выкуп, а диверсия — разрушение инфраструктуры и максимальный ущерб.
Максимальная сумма первоначального выкупа от группировки CyberSec's составила 50 биткоинов — 500 млн рублей на момент атаки.
Киберпреступники чаще всего использовали шифровальщики Mimic/Pay2Key и LockBit 3 Black — до 25% и 21% инцидентов. Также применяли Proton/Shinra (11,4%) и Babuk (10,2%). Среди выявленных угроз чаще всего встречались инциденты с управляемыми человеком атаками — 32%, майнеры — 26% и трояны удалённого доступа — 9%.
На загрузку пользователями программ с вредоносной нагрузкой приходится 66% от общего числа инцидентов. По итогам года снижается число случаев с загрузкой ПО из недоверенных источников — с 74% в первом полугодии до 38% во втором. Зато злоумышленники чаще проникают через эксплуатацию уязвимостей — рост с 5% в первом полугодии до 31% во втором.
За год заблокировали 7357 скам-ресурсов на один бренд и 3851 фишинговый ресурс на один бренд. На первом месте по количеству как фишинговых, так и мошеннических атак ретейл, на втором — финансовый сектор, на третьем — онлайн-сервисы.
Больше всего ссылок с фишингом и скамом выявили в доменной зоне .ru — 30,8%. В топ-5 по популярности у злоумышленников также вошли зоны .com (14%), .click (10,2%), .cfd (7,7%) и sa.com (7,3%). При этом киберпреступники реже используют зону .ru из-за налаженной работы блокировок в зонах .ru и .рф. Чаще выбирают другие доменные зоны и зарубежных регистраторов. Фишинговые и мошеннические ресурсы размещали у хостеров в США в 81% случаев, у российских хостинг-провайдеров — 4,6%.
