В 2025 году вектор кибератак на российский бизнес претерпел значительные изменения: злоумышленники все реже нацелены на кражу информации или показательные сбои, сместив фокус на тотальное выведение из строя ИТ-систем организаций. Согласно анализу «Инфосистемы Джет», подобные сценарии составили 76% наиболее серьезных инцидентов — 44% из них были атаками с шифрованием данных, а оставшиеся 32% представляли собой физическое уничтожение компонентов инфраструктуры.
Как сообщает «Коммерсант», три из четырех кибератак в России в 2025 году носили критический для ИТ-инфраструктуры характер. Нарастание подобных угроз вынуждает компании пересматривать свои стратегии в области киберзащиты.
В минувшем году киберпреступники, отходя от тактики демонстративных взломов и хищения данных, стали чаще добиваться полного разрушения ИТ-среды компаний с целью саботажа или вымогательства. На такие инциденты пришлось свыше 70% критических атак, а суммы требований о выкупе достигали беспрецедентных 500 миллионов рублей. Факторы, обуславливающие уязвимость ИТ-инфраструктуры российских предприятий, остаются неизменными: это человеческий фактор, небрежность и нежелание бизнеса вкладываться в фундаментальные решения для безопасности.
Эксперты «Инфосистемы Джет» отмечают, что в 2025 году главной целью злоумышленников стало полное разрушение ИТ-инфраструктуры, а не дефейсы, кража данных или DDoS-атаки. Ключевые данные исследования таковы: 76% критических инцидентов были направлены именно на уничтожение ИТ-систем (из них 44% — атаки программами-шифровальщиками, такими как Babyk, LockBit, Zeppelin, Phobos, Enmity и другими; 32% — прямое физическое повреждение компонентов инфраструктуры без возможности восстановления). Таким образом, более трех четвертей самых опасных кибератак в 2025 году ставили целью либо полную парализацию деятельности российских компаний, либо создание ситуации, при которой возобновление работы требует колоссальных временных и финансовых затрат. Кроме того, среди основных трендов года специалисты выделяют существенный рост применения инструментов на базе искусственного интеллекта при подготовке и проведении атак, а также увеличение числа случаев кооперации между различными хакерскими группировками. Эксперты в области информационной безопасности подчеркивают, что смещение акцента злоумышленников на необратимое разрушение инфраструктуры многократно повышает риски для непрерывности бизнес-процессов российских организаций.
Специалисты из F6 Digital Forensics Lab сообщают, что в 2025 году число атак с использованием программ-вымогателей возросло на 15% в сравнении с предыдущим годом. Как отмечают аналитики F6, максимальный первоначальный запрос выкупа, озвученный группировкой CyberSec в 2025 году, достиг 50 BTC (что эквивалентно примерно 500 млн рублей на момент атаки и около 384 млн рублей по состоянию на декабрь). Эта сумма почти вдвое превысила показатель 2024 года, составлявший 240 млн рублей.
В среднем за 2025 год хакеры требовали за ключ дешифрования сумму в диапазоне от 4 до 40 млн рублей. Для предприятий малого и среднего сегмента требования были существенно скромнее — от 240 тысяч до 4 млн рублей.
Наиболее резонансным киберинцидентом 2025 года стала масштабная атака на ИТ-инфраструктуру ПАО «Аэрофлот» в середине июля, о которой ранее сообщал CNews. Последствия оказались серьёзными: отмена свыше 100 авиарейсов, а также значительные сбои во внутренних информационных системах и расписании.
Ответственность за эту кибератаку публично взяли на себя две хакерские группы — «Киберпартизаны BY» и Silent Crow.
30 июля 2025 года авиакомпания официально уведомила о полном возврате к штатному расписанию полётов. По оценкам экспертов, прямые финансовые потери «Аэрофлота» из-за этого инцидента могли приблизиться к 275 млн рублей.
Согласно данным компании «Инфосистемы Джет», в 2025 году наибольшее количество успешных кибератак на российские организации пришлось на три ключевые области: финансовый сектор, ИТ-сферу и рынок недвижимости.
При этом основные векторы проникновения злоумышленников остаются традиционными и мало меняются в последние годы. Среди них: фишинговые атаки; компрометация через цепочки поставок (взломы подрядчиков); эксплуатация уязвимостей в общедоступных веб-приложениях; отсутствие многофакторной аутентификации (MFA) на внешних сервисах и интерфейсах; слабая «гигиена доступа» (ненадёжные пароли, избыточные привилегии, отсутствие ротации учётных записей).
Эксперты «Инфосистемы Джет», проводившие внешние аудиты кибербезопасности, выявили у большинства проверенных организаций следующие критические уязвимости.
83% компаний оставляют доступными из интернета административные интерфейсы (панели управления, консоли администрирования, системы удалённого доступа).
19% организаций в России до сих пор используют учётные записи с паролями по умолчанию (такими как admin/admin, root/123456 и им подобными).
Подобные уязвимости в информационных технологиях продолжают оставаться одними из наиболее доступных и широко используемых способов проникновения злоумышленников в системы организаций в 2025 году. Как подчеркнул Евгений Балк, руководитель департамента развития и архитектуры «Кросс Технолоджис», свыше 90% инцидентов в ИТ-сфере так или иначе обусловлены человеческим фактором.
Согласно исследованиям 2025 года, у 40% фишинговых доменов присутствуют правильно настроенные MX-записи — специальные DNS-записи, обеспечивающие полноценную работу электронной почты. Это говорит о том, что злоумышленники перестали полагаться на временные однодневные домены. Они инвестируют значительные средства в создание стабильной, долговременной почтовой инфраструктуры, что повышает правдоподобность их рассылок и значительно затрудняет их автоматическое блокирование почтовыми фильтрами и антиспам-системами.
Эксперты «Инфосистемы Джет» отмечают, что вместо пятилетних планов руководители по информационной безопасности (CISO) теперь предпочитают гибкие одно- или двухгодичные циклы, а также смещают акцент на ИТ-инфраструктуру, способную к восстановлению и повышению устойчивости после каждой кибератаки. Кроме того, по информации компании, спрос на независимый аудит систем резервного копирования вырос в два раза, а более 70% крупных организаций внедрили регулярные процедуры тестирования восстановления информации.
Руководитель группы защиты инфраструктурных ИТ-решений «Газинформсервис» Сергей Полунин поясняет текущие изменения в сфере киберугроз как вполне закономерное развитие событий. Крупные компании в 2025 году обладают качественными резервными копиями, поэтому традиционные вирусы-шифровальщики становятся всё менее эффективными. Рынок похищенных данных также перенасыщен — практически всё, что можно было украсть, уже оказалось в открытом доступе, и ценность таких утечек резко снизилась, отмечает специалист. Полунин добавляет, что в этих условиях угроза полного и необратимого уничтожения данных становится гораздо более серьёзной. Для бизнеса это уже не просто финансовый ущерб, а прямая опасность для самого существования компании. Таким образом, в 2025 году наблюдается явный переход от стратегии «зашифровать и потребовать выкуп» к стратегии «максимального причинения вреда» — вплоть до полного удаления критически важных данных и компонентов ИТ-инфраструктуры, восстановление которых может быть экономически невыгодным или технически неосуществимым.
