Эксперты компании CICADA8, специализирующейся на оперативном управлении уязвимостями и цифровыми рисками, изучили наиболее распространенные методы кибератак, зафиксированные в 2025 году в ходе расследований инцидентов и проверок безопасности российских компаний. Анализ позволил выявить самые серьезные киберугрозы и типичные ошибки организаций, которые упрощают злоумышленникам задачу по их взлому. Об этом CNews сообщили в CICADA8.
Основной опасностью для российского бизнеса в 2025 году стали программы-шифровальщики и вымогатели. С этим вредоносным ПО было связано приблизительно 70% всех киберинцидентов за год. Специалисты подчеркивают, что российские компании по-прежнему остаются уязвимыми к подобным атакам из-за игнорирования фундаментальных принципов информационной безопасности. Например, на ИТ-периметре многих организаций сохраняются неисправленные уязвимости, VPN-доступ к корпоративным ресурсам часто не защищен двухфакторной аутентификацией, отсутствует сегментация сети, а доступы к ИТ-системам должным образом не контролируются.
Рост числа атак с использованием шифровальщиков привел к увеличению спроса на технологии резервного копирования информации. Однако, как отмечают аналитики, этот положительный тренд сводится на нет некорректным подходом к их внедрению. ИТ-администраторы редко проверяют возможность успешного восстановления данных из резервных копий и не всегда должным образом ограничивают права пользователей на доступ к ним. В результате примерно в 25% случаев наличие бэкапов не помогло компаниям восстановить работоспособность после атаки шифровальщика.
«Наибольшую тревогу вызывает то, что компании практически не проводят учебные тренировки, где специалисты по информационной безопасности и ИТ могли бы отработать действия на случай различных инцидентов. И когда атака происходит в реальности, они оказываются не готовы. При этом именно от оперативности и грамотности мер, предпринятых в первые часы после инцидента, от согласованности работы разных подразделений на 80% зависит итоговый масштаб ущерба для бизнеса», – отметил Алексей Кузнецов, генеральный директор CICADA8.
Свыше трети инцидентов в 2025 году были связаны со взломом партнеров и подрядчиков, имевших доступ к инфраструктурам заказчиков. У многих из них не были внедрены базовые меры защиты от атак такого рода – двухфакторная аутентификация, отключение сервисных учетных записей, требования к сложности и регулярной смене паролей на системах удаленного доступа. В большинстве пострадавших компаний отсутствовали дополнительные средства защиты, такие как усиленный мониторинг действий подрядчиков и доступ в инфраструктуру исключительно через специальные прокси-шлюзы (jump-станции). Без этих мер технические средства защиты оказывались неэффективными против атак через контрагентов. В итоге после компрометации партнеров злоумышленникам требовалось всего несколько часов, чтобы получить полный контроль над инфраструктурой конечной жертвы.
В CICADA8 также подчеркивают, что стремление угнаться за бурным развитием рынка российского программного обеспечения заставляет разработчиков в первую очередь фокусироваться на функциональности, отодвигая вопросы безопасности на второй план. Хотя обычно сложности возникают из-за неверных настроек и недостаточной документации отечественных продуктов, специалисты CICADA8 в 2025 году на практике наблюдали инциденты, когда уязвимости в российских решениях приводили к компрометации их клиентов.
Еще одной тенденцией оказалось применение злоумышленниками легального программного обеспечения, в том числе непосредственно средств киберзащиты. Даже при получении доступа к инфраструктуре с правами администратора домена, в примерно 70% масштабных кибератак злонамеренные акторы предпочитали использовать инструменты защиты информации.
Наконец, LLM-модели начали активно задействовать для создания качественной «оболочки» эксплойтов — вредоносных скриптов, обфускации исходного кода и подобных задач. Автоматизация процессов с помощью искусственного интеллекта повысила эффективность злоумышленников в разы, и, как отмечают эксперты CICADA8, в 2026 году Россию ожидает рост атак, инструменты для которых разработаны с применением ИИ.
