Согласно исследованию центра киберугроз Solar 4Rays (входит в группу компаний «Солар»), к ноябрю 2025 года активность профессиональных хакерских групп в инфраструктурах российских организаций достигла 35%, увеличившись на 10 процентных пунктов по сравнению со вторым кварталом. За первые десять месяцев года было выявлено 18 таких объединений, причем семь из них появились впервые — это как минимум вдвое больше, чем за аналогичный период прошлого года. Данные получены на основе информации от крупнейшей в России сети сенсоров и результатов расследований целевых атак за январь-октябрь 2025 года.
Анализ сигналов сенсоров помогает выявлять индикаторы компрометации, которые свидетельствуют о работе вредоносного программного обеспечения определенных типов в корпоративных сетях. В частности, сенсоры способны обнаруживать майнеры, программы удаленного доступа (RAT), шифровальщики, ботнеты и другие угрозы.
Так, в третьем квартале 2025 года количество инцидентов с вредоносным ПО сократилось почти на 50% относительно второго квартала, составив 1,4 млн случаев. Также уменьшилось и число подвергшихся атакам организаций (на 19%, до 13,8 тыс.). Специалисты полагают, что это может быть связано с летним сезоном отпусков, а также с постепенным усилением уровня киберзащиты компаний.
Однако общая интенсивность атак продолжает нарастать: для сравнения, в четвертом квартале 2024 года на одну компанию в среднем приходилось 40 инфицирований, тогда как в октябре 2025 года — уже 99. При этом только за октябрь общее число срабатываний сенсоров достигло 495 тысяч. Не исключено, что показатель вновь возрастет к концу года — киберпреступники, особенно те, кто руководствуется финансовыми мотивами, традиционно активизируются перед распродажами, Новым годом и праздничными каникулами.
В третьем квартале чаще всего атакам подвергались организации промышленного сектора (27% срабатываний сенсоров, -5 п.п. ко второму кварталу), топливно-энергетического комплекса (17%, +6 п.п.), здравоохранения (17%, -1 п.п.) и государственные структуры (13%, +6 п.п.). Меньше инцидентов было зарегистрировано в ИТ-сфере (11%), образовательных учреждениях (10%), финансово-кредитной отрасли (4%) и телекоммуникациях (1%).
При этом в октябре 2025 года доля заражений в ТЭК возросла до 30%, в здравоохранении — до 29%, а в госсекторе — до 26%. Остальные случаи пришлись на промышленность (6%), образование (4%) и прочие отрасли. Эксперты Solar 4Rays объясняют повышенное внимание злоумышленников к ТЭК его критической важностью для экономики и национальной безопасности — этот сектор представляет интерес как для государственно-спонсируемых групп, так и для киберпреступников, рассчитывающих на прибыль от вымогательства.
Основная доля срабатываний детекторов была связана с признаками активности APT-групп (32% в третьем квартале, рост на 7 п.п. относительно второго квартала), со стилерами, предназначенными для хищения конфиденциальных данных (30%, снижение на 8 п.п.), а также с RAT — инструментами для получения удалённого контроля над ИТ-системами атакованных компаний (24%, рост на 5 п.п.). К октябрю 2025 года показатель присутствия профессиональных злоумышленников увеличился до 36%, доля стилеров — до 32%, в то время как уровень активности RAT практически не изменился, оставшись на отметке 23%.
Аналитики Solar 4Rays связывают растущую популярность RAT со стремлением киберпреступников не только получать контроль над скомпрометированными системами, но и извлекать из атак финансовую выгоду — например, перепродавая доступ к взломанной инфраструктуре на теневом рынке.
Одновременно с этим наблюдается усиление активности APT-групп, что происходит в контексте текущих геополитических изменений, повышающих интерес иностранных государственных хакеров к российским организациям.
Эксперты Solar 4Rays также детально проанализировали сложные кибератаки, против которых бессильны автоматизированные средства защиты. За десять месяцев 2025 года было выявлено 18 кластеров и APT-групп, тогда как за аналогичный период прошлого года их насчитывалось лишь 8.
При этом специалисты отмечают спад активности проукраинских хакерских объединений. Например, инструменты группы Shedding Zmiy были обнаружены только в 2% расследованных инцидентов, хотя в прошлом году их доля достигала 37%. В целом, удельный вес атак, связанных с известными проукраинскими хакерами, сократился до 20% — многие элементы их арсенала стали широко известны. Вероятно, именно это заставило данную и другие группировки снизить масштабы операций.
Ключевой целью профессиональных злоумышленников в текущем году по-прежнему остаётся шпионаж (61%, рост на 7 п.п. в годовом сопоставлении). Доля атак, мотивированных финансовой выгодой, снизилась на 3 п.п. за год и составила 17%, а хактивистских атак (сопровождающихся публичными политическими заявлениями) — уменьшилась на 11 п.п., до 11%. Это свидетельствует о том, что злоумышленники всё чаще предпочитают скрытные и сложные операции «громким» взломам, хотя последние по-прежнему случаются.
Наиболее часто атакам подвергались организации государственного сектора (33%, снижение на 3 п.п. в годовом исчислении) и промышленные предприятия (20%, рост на 3 п.п.). Также значительно увеличилось — на 10 п.п. за год, до 16% — количество расследований сложных инцидентов в ИТ-отрасли. Этот рост можно объяснить тенденцией атак через подрядчиков: хакеры внедряются в их инфраструктуру, чтобы впоследствии атаковать более крупные и хорошо защищённые компании. Кроме того, зафиксирован всплеск активности профессиональных хакеров в энергетическом секторе (9%) — в прошлом году обращений по расследованию атак в этой сфере не поступало.
При этом 27% целенаправленных атак осуществлялись через каналы доверенных партнёров — показатель вырос в 3,3 раза по сравнению с прошлым годом, что также подтверждает рост атак через подрядчиков. Немного чаще злоумышленники проникают в инфраструктуру через уязвимости веб-приложений (31%), скомпрометированные учётные данные (28%), а реже — с помощью фишинга (14%).
Параллельно профессионалы киберпреступности стали дольше оставаться в системах своих жертв. Доля сложных атак продолжительностью от полугода до года увеличилась на 12 процентных пунктов в годовом сравнении — до 19%, а атак длительностью от года до двух лет — на 8 п.п., достигнув 14%. Это свидетельствует о более тщательной подготовке хакеров и их стремлении как можно дольше оставаться незамеченными в ИТ-средах атакованных компаний.
«В текущем году мы наблюдаем значительное совершенствование тактик и инструментов злоумышленников: увеличилось количество профессиональных группировок, ведущих шпионскую деятельность. Теперь они выбирают масштабные цели в топливно-энергетическом комплексе и промышленности, проводят атаки через доверенные связи и дольше сохраняют присутствие в целевых инфраструктурах. Эта тенденция будет усиливаться и в следующем году. Следовательно, возрастёт потребность в комплексном подходе к кибербезопасности, который включает не только технические средства, но и усиление контроля над подрядчиками, своевременное обновление программного обеспечения, защиту веб-приложений, соблюдение политик управления паролями и мониторинг ключевых тенденций в области киберугроз», — отметил Алексей Вишняков, руководитель центра исследования киберугроз Solar 4Rays ГК «Солар».
