В 2025 году наибольшее количество расследований серьезных киберинцидентов, связанных с шифрованием или полным уничтожением корпоративной инфраструктуры, было проведено в розничной торговле. На эту отрасль пришлось 31% всех обращений. Согласно информации от Bi.Zone, ритейл также лидирует по количеству утечек информации, на его счету почти 40% подобных случаев. Основными причинами инцидентов чаще всего выступают устаревшие ИТ-системы и недостаточное разделение сетей. Об этом CNews рассказали эксперты Bi.Zone.
На втором месте по числу расследованных атак оказалась сфера информационных технологий (26%). Злоумышленники проявляют интерес даже к небольшим ИТ-фирмам, поскольку те нередко работают подрядчиками для более крупных игроков. Это делает их привлекательной целью для киберпреступников, стремящихся получить доступ к инфраструктуре лучше защищенных организаций. Около 30% всех высококритичных инцидентов в 2025 году были связаны именно с атаками через подрядчиков. За год до этого данный показатель был вдвое меньше и составлял 15%.
Третье место разделили транспортные и телекоммуникационные компании, а также государственные учреждения. На каждую из этих категорий пришлось по 11% случаев.
Михаил Прохоренко, руководитель управления по противодействию киберугрозам, Bi.Zone: «Кибератаки развиваются, однако фундаментальные мотивы и приемы злоумышленников остаются прежними. Финансовая выгода по-прежнему является главным стимулом, а фишинг — наиболее распространенным методом проникновения. При этом каждый год отмечаются всплески активности в определенных направлениях. В 2022 году в России резко возросло число дефейсов и хактивистских кампаний. В 2023 году фокус сместился на публикацию утекшей информации и массовые сливы данных, а в 2024-м злоумышленники активно шифровали инфраструктуры компаний. В 2025 году мы наблюдаем все более частое применение вайперов — разрушительных инструментов, которые полностью уничтожают данные и сетевое оборудование. 2025 год подтвердил ключевую тенденцию последнего времени: атаки усложняются и наносят все больший ущерб. Сегодня устойчивость компании определяется не только защитой периметра, но и скоростью реагирования, глубиной анализа, готовностью к восстановлению, а также своевременной и регулярной оценкой степени компрометации».
Период скрытого присутствия злоумышленников в инфраструктуре также увеличивается: если в 2024 году в среднем он составлял 25 дней, то в 2025 году вырос до 42. Однако в отдельных ситуациях эти сроки могут существенно отличаться от средних значений. Например, минимальное время развития атаки (от проникновения в инфраструктуру до начала шифрования) в этом году составило 12,5 минут, а максимальное достигло 181 дня.
В 2025 году компаниям-жертвам в среднем требовалось трое суток, чтобы восстановить работу критически важных систем, минимально необходимых для возобновления бизнес-процессов. Полное восстановление всех операций занимало в среднем две недели.
