В 2025 году вектор киберугроз для российского бизнеса сместился: злоумышленники теперь чаще нацелены не на кражу информации или показательные сбои, а на тотальное выведение из строя информационных систем компаний. Согласно анализу «Инфосистемы Джет», подобные сценарии составили 76% всех серьезных ИТ-происшествий: 44% из них были атаками с шифрованием данных, а оставшиеся 32% — физическим уничтожением элементов ИТ-инфраструктуры.
Как сообщает «Коммерсант», три из четырех кибератак в России в 2025 году представляли критическую угрозу для информационных систем. В ответ на растущие риски компании начинают пересматривать свои стратегии киберзащиты.
В минувшем году киберпреступники, отойдя от тактики демонстративных взломов и хищения данных, все активнее пытались полностью парализовать работу компаний с целью вымогательства или саботажа. На подобные инциденты пришлось свыше 70% наиболее опасных ИТ-событий, а требования выкупа доходили до беспрецедентных 500 миллионов рублей. Факторы уязвимости в инфраструктуре российских организаций остаются неизменными: это человеческие ошибки, небрежность и нежелание бизнеса делать масштабные вложения в безопасность.
Эксперты «Инфосистемы Джет» отмечают, что в 2025 году главной целью атакующих стало необратимое разрушение ИТ-среды предприятий, а не дефейсы, утечки данных или DDoS-нападения. Ключевые данные исследования таковы: 76% критических инцидентов были направлены именно на уничтожение инфраструктуры (из них 44% — атаки программами-шифровальщиками, такими как Babyk, LockBit, Zeppelin, Phobos, Enmity и другие; 32% — прямое физическое повреждение компонентов без возможности восстановления). Таким образом, более трех четвертей самых опасных атак ставили задачей либо полную остановку деятельности российских компаний, либо создание ситуации, когда возобновление работы требует колоссальных временных и финансовых затрат. Кроме того, среди основных трендов 2025 года специалисты выделяют резкий рост применения инструментов на основе искусственного интеллекта при планировании и проведении атак, а также увеличение числа случаев кооперации между различными хакерскими группами. Специалисты по информационной безопасности подчеркивают, что смещение акцента злоумышленников на тотальное разрушение инфраструктуры значительно повышает риски для непрерывности бизнес-процессов российских организаций.
Согласно данным специалистов из Лаборатории цифровой криминалистики F6, в 2025 году число атак с использованием программ-вымогателей возросло на 15% в сравнении с предыдущим годом. Аналитики F6 подчеркивают, что максимальный первоначальный выкуп, который требовала группировка CyberSec в 2025 году, достиг 50 BTC (примерно 500 млн рублей на момент атаки и около 384 млн рублей к декабрю), что почти вдвое превышает показатель 2024 года (240 млн рублей).
В среднем за 2025 год хакеры запрашивали за ключ дешифрования сумму от 4 до 40 млн рублей. Для предприятий малого и среднего сегмента требования были существенно скромнее — от 240 тысяч до 4 млн рублей.
Наиболее резонансным киберинцидентом 2025 года стала масштабная атака на ИТ-инфраструктуру ПАО «Аэрофлот» в середине июля, о которой ранее сообщал CNews. Её последствия оказались серьёзными: отмена свыше 100 авиарейсов, а также значительные сбои во внутренних информационных системах и расписании.
Ответственность за эту кибератаку публично взяли на себя две хакерские группы — «Киберпартизаны BY» и Silent Crow.
30 июля 2025 года авиакомпания официально уведомила о полном возврате к штатному расписанию полётов. По оценкам экспертов, прямые финансовые потери «Аэрофлота» из-за этого инцидента могли достичь примерно 275 млн рублей.
Как свидетельствует информация от компании «Инфосистемы Джет», в 2025 году наибольшее число успешных кибератак на российские организации пришлось на три направления: финансовый сектор, сферу информационных технологий и рынок недвижимости.
При этом основные методы проникновения злоумышленников остаются традиционными и почти не менялись в последние годы. Среди них: фишинговые атаки; компрометация через цепочки поставок (взломы подрядчиков); эксплуатация уязвимостей в общедоступных веб-приложениях; отсутствие многофакторной аутентификации (MFA) на внешних сервисах и интерфейсах; низкий уровень «гигиены доступа» (ненадёжные пароли, избыточные права, отсутствие ротации учётных записей).
Специалисты «Инфосистемы Джет», проводившие внешние аудиты кибербезопасности, выявили у большинства проверенных организаций следующие критические недостатки.
83% компаний оставляют доступными из интернета административные панели управления (админки, консоли администрирования, системы удалённого доступа).
19% организаций в России до сих пор используют учётные записи с паролями по умолчанию (например, admin/admin, root/123456 и подобные комбинации).
Подобные уязвимости в информационных технологиях продолжают оставаться одними из наиболее доступных и часто используемых способов проникновения злоумышленников в системы организаций в 2025 году. Как подчеркнул Евгений Балк, руководитель департамента развития и архитектуры «Кросс Технолоджис», свыше 90% инцидентов в ИТ-сфере так или иначе связаны с ошибками людей.
Согласно исследованиям 2025 года, у 40% фишинговых доменов присутствуют правильно настроенные MX-записи — специальные DNS-записи, обеспечивающие работу электронной почты. Это говорит о том, что злоумышленники перестали полагаться на временные однодневные домены. Они инвестируют значительные средства в создание стабильной и долговременной почтовой инфраструктуры, что повышает доверие к их рассылкам и усложняет их автоматическое блокирование почтовыми фильтрами и антиспам-системами.
Эксперты «Инфосистемы Джет» отмечают, что вместо пятилетних стратегий CISO теперь предпочитают гибкие одно- или двухгодичные циклы планирования, смещая акцент на создание ИТ-инфраструктуры, которая не только восстанавливается после атак, но и становится более устойчивой. Также, по информации компании, спрос на независимый аудит систем резервного копирования вырос в два раза, а более 70% крупных организаций внедрили регулярные проверки процедур восстановления информации.
Текущие изменения в сфере киберугроз являются закономерным развитием событий, как поясняет Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений «Газинформсервис». Крупные компании в 2025 году обладают надежными резервными копиями, из-за чего традиционные вирусы-шифровальщики становятся все менее эффективными. Рынок похищенных данных также перенасыщен — практически вся возможная информация уже была скомпрометирована, и ценность таких утечек значительно снизилась. На этом фоне, добавляет Полунин, угроза полного и безвозвратного уничтожения данных приобретает гораздо большую серьезность. Для бизнеса это уже не просто финансовый ущерб, а прямая опасность для самого существования компании. Таким образом, в 2025 году четко прослеживается переход от тактики «зашифровать и потребовать выкуп» к стратегии «максимального причинения вреда» — вплоть до полного удаления критически важных данных и компонентов ИТ-инфраструктуры, восстановление которых может быть экономически невыгодным или технически неосуществимым.
