В 2025 году вектор кибератак на российский бизнес сместился: злоумышленники теперь чаще нацелены не на кражу информации или показательные сбои, а на тотальное выведение из строя информационных систем организаций. Согласно анализу «Инфосистемы Джет», подобные сценарии составили 76% всех серьезных ИТ-происшествий, из которых 44% пришлось на атаки с шифрованием данных, а 32% — на физическое уничтожение элементов инфраструктуры.
Как сообщает «Коммерсант», три из четырех кибератак в России в 2025 году представляли критическую угрозу для ИТ-систем. В условиях роста опасности компании вынуждены пересматривать свои стратегии киберзащиты.
Прошедший год ознаменовался переходом киберпреступников от демонстративных взломов и хищения данных к стремлению полностью разрушить ИТ-инфраструктуру компаний с целью вымогательства или саботажа. На подобные инциденты пришлось свыше 70% критических атак, а суммы требований о выкупе достигали беспрецедентных 500 миллионов рублей. Факторы уязвимости остаются прежними: человеческая ошибка, небрежность и нежелание бизнеса вкладываться в фундаментальные решения по безопасности.
Эксперты «Инфосистемы Джет» отмечают, что в 2025 году главной целью злоумышленников стало полное разрушение ИТ-инфраструктуры, а не дефейсы, утечки данных или DDoS-атаки. Ключевые данные исследования: 76% критических инцидентов были направлены на уничтожение систем (44% — атаки шифровальщиками, такими как Babyk, LockBit, Zeppelin, Phobos, Enmity и другие; 32% — прямое физическое повреждение компонентов без возможности восстановления). Таким образом, более трех четвертей самых опасных атак ставили целью либо полную остановку работы российских компаний, либо создание ситуации, когда возобновление деятельности требует колоссальных временных и финансовых затрат. Среди других тенденций 2025 года специалисты выделяют активное использование инструментов на основе искусственного интеллекта при подготовке и проведении атак, а также усиление кооперации между различными хакерскими группами. Специалисты по информационной безопасности подчеркивают, что смещение акцента злоумышленников на необратимое разрушение инфраструктуры многократно увеличивает риски для непрерывности бизнес-процессов.
Специалисты из F6 Digital Forensics Lab сообщают, что в 2025 году число атак с использованием программ-вымогателей увеличилось на 15% в сравнении с предыдущим годом. Как отмечают аналитики F6, максимальный первоначальный запрос выкупа, озвученный группировкой CyberSec в 2025 году, достиг 50 BTC (что эквивалентно примерно 500 млн рублей на момент атаки и около 384 млн рублей по состоянию на декабрь). Эта сумма почти вдвое превышает показатель 2024 года, составлявший 240 млн рублей.
В среднем за 2025 год размер первоначального выкупа, который злоумышленники требовали за ключ дешифрования, варьировался от 4 до 40 млн рублей. Для предприятий малого и среднего сегмента диапазон запросов был существенно ниже — от 240 тысяч до 4 млн рублей.
Наиболее резонансным киберинцидентом 2025 года стала масштабная атака на ИТ-инфраструктуру ПАО «Аэрофлот», произошедшая в середине июля, о чем ранее сообщал CNews. Ее последствия оказались серьезными: было отменено свыше 100 авиарейсов, а также произошли значительные сбои в работе внутренних ИТ-систем и системы расписания.
Ответственность за эту кибератаку публично взяли на себя две хакерские группы: «Киберпартизаны BY» и Silent Crow.
30 июля 2025 года авиакомпания официально объявила о полном восстановлении регулярного расписания полетов. По оценкам экспертов, прямые финансовые потери «Аэрофлота» из-за этого инцидента могли составить приблизительно 275 млн рублей.
Согласно данным компании «Инфосистемы Джет», в 2025 году наибольшее количество успешных кибератак на российские организации пришлось на три ключевые области: финансовый сектор, ИТ-отрасль и рынок недвижимости.
При этом основные методы проникновения хакеров остаются традиционными и почти не менялись в последние годы. К ним относятся: фишинговые атаки; компрометация через цепочку поставок (взломы подрядчиков); эксплуатация уязвимостей в публично доступных веб-приложениях; отсутствие многофакторной аутентификации (MFA) на внешних сервисах и интерфейсах; низкий уровень «гигиены доступа» (ненадежные пароли, избыточные права, отсутствие ротации учетных записей).
Эксперты «Инфосистемы Джет», проводившие внешние аудиты кибербезопасности, выявили у большинства проверенных организаций следующие критические проблемы.
83% компаний оставляют доступными из интернета административные панели управления (админки, консоли администрирования, системы удаленного доступа).
19% организаций в России до сих пор используют учетные записи с паролями по умолчанию (например, admin/admin, root/123456 и подобные комбинации).
Подобные уязвимости в информационных технологиях продолжают оставаться наиболее доступными и активно используемыми векторами атаки на системы организаций в 2025 году. Как подчеркнул Евгений Балк, руководитель департамента развития и архитектуры «Кросс Технолоджис», свыше 90% инцидентов в ИТ-сфере так или иначе обусловлены ошибками персонала.
Согласно исследованиям 2025 года, у 40% фишинговых доменов присутствуют правильно настроенные MX-записи — специальные DNS-указатели, обеспечивающие корректную работу электронной почты. Этот факт свидетельствует, что злоумышленники перестали полагаться на временные одноразовые домены. Они инвестируют значительные средства в построение стабильной и долговременной почтовой инфраструктуры, что повышает правдоподобность их рассылок и значительно затрудняет их автоматическое блокирование фильтрами почтовых сервисов и антиспам-защитой.
Эксперты «Инфосистемы Джет» отмечают, что вместо пятилетних стратегий CISO теперь предпочитают гибкие одно- или двухгодичные циклы планирования, одновременно смещая акцент на создание ИТ-инфраструктуры, способной к восстановлению и усилению после каждого кибернападения. Также, по информации компании, спрос на независимый аудит систем резервного копирования вырос в два раза, а более 70% крупных организаций внедрили регулярные проверки процедур восстановления информации.
Руководитель группы защиты инфраструктурных ИТ-решений «Газинформсервис» Сергей Полунин так поясняет текущую трансформацию киберугроз: это абсолютно закономерное развитие событий. К 2025 году крупные корпорации обладают качественными бэкапами, из-за чего традиционные ransomware-атаки становятся всё менее эффективными. Рынок похищенных данных также перенасыщен — практически вся информация, которую можно было украсть, уже скомпрометирована, и ценность таких утечек резко снизилась, отмечает специалист. Полунин добавляет, что в этих условиях угроза полного и безвозвратного уничтожения данных приобретает гораздо большую значимость. Для бизнеса это уже не просто финансовый ущерб, а прямая опасность для самого существования компании. Таким образом, в 2025 году отчётливо прослеживается смена парадигмы: от тактики «зашифровать и потребовать выкуп» к стратегии «максимального причинения вреда» — вплоть до полного удаления критически важных данных и компонентов ИТ-инфраструктуры, чьё восстановление может оказаться экономически невыгодным или технически неосуществимым.
