Компания «Инфосистемы Джет» обнародовала стратегический анализ киберугроз, показывающий, что в 2025 году фокус злоумышленников сместился с дефейсов, краж информации и DDoS на полное разрушение инфраструктуры. Целью стало вымогательство при использовании шифровальщиков или необратимая остановка работы в случае с вайперами. Согласно отчету, 76% наиболее опасных атак были нацелены именно на уничтожение инфраструктурных компонентов. Эти данные были предоставлены CNews представителями «Инфосистем Джет».
Громкие инциденты, затронувшие ведущие российские компании в 2025 году, продемонстрировали уязвимость даже наиболее развитых ИТ-архитектур. Значимым каналом проникновения оказалось использование скомпрометированных подрядчиков: внешние организации, имевшие доступ к корпоративным системам, превращались в «незаметную» точку входа для атакующих. Одновременно злоумышленники широко применяли методы Living-off-the-Land (LOTL), используя легальные системные инструменты для маскировки под обычную административную деятельность, а также решения с элементами искусственного интеллекта.
Наиболее подверженными атакам отраслями стали финансовый сектор, сфера информационных технологий и рынок недвижимости. При этом основные причины успешных взломов остаются традиционными: фишинг, компрометация через подрядчиков, уязвимости в публичных веб-приложениях, отсутствие многофакторной аутентификации на внешних сервисах и недостаточная дисциплина управления доступом. 65% атак на веб-приложения связаны всего с тремя компонентами: OpenSSH, Nginx и Apache HTTP Server. Проверки внешнего периметра показали, что 83% компаний оставляют открытыми административные интерфейсы, а в 19% из них до сих пор используются стандартные учетные данные, что потенциально позволяет злоумышленникам получить полный контроль над инфраструктурой без необходимости взлома. Широко распространенными остаются и DDoS-атаки: в пиковые периоды за сутки атакам подвергались до 8532 хостов, а общее число уникальных целей за год превысило 483,9 тысячи.
Действия киберпреступников стали более основательными и подготовленными. Например, у 40% фишинговых доменов обнаружены MX-записи: это означает, что злоумышленники инвестируют ресурсы в создание долговременной почтовой инфраструктуры, что повышает «правдоподобность» их кампаний и снижает риски блокировки.
В ответ на эти вызовы российский бизнес трансформирует подходы к кибербезопасности. Вместо пятилетних стратегий руководители по информационной безопасности выбирают гибкие планы на один-два года, а акцент смещается с создания «непробиваемой» защиты к построению антихрупкой инфраструктуры, способной восстанавливаться и укрепляться после каждого инцидента. Спрос на независимый аудит систем резервного копирования вырос в два раза, а 74% крупных компаний внедрили регулярное тестовое восстановление данных в изолированных средах. Растет популярность объектных хранилищ с функцией неизменяемости данных — их использование также удвоилось в течение года.
Ключевой акцент делается на киберучениях: они перестают быть простой формальностью и всё чаще моделируются под конкретную ИТ-среду и рабочие процессы организации. Наибольший спрос на подобные тренировки наблюдается в финансовой сфере, государственных учреждениях и на промышленных объектах. Параллельно набирают обороты table-top-учения — коллективные обсуждения сценариев реагирования на инциденты, в которых участвуют команды информационной безопасности, высшее руководство и юридические эксперты. Такой подход помогает оперативно обнаружить слабые места в стратегиях, чётко распределить обязанности и натренировать навыки принятия решений в условиях неопределённости, не прерывая основную деятельность.
