В 2025 году вектор кибератак на российский бизнес претерпел значительные изменения: злоумышленники все реже нацелены на кражу информации или показательные сбои, сместив фокус на тотальное выведение из строя ИТ-систем организаций. Согласно анализу «Инфосистемы Джет», подобные сценарии составили 76% наиболее серьезных инцидентов — 44% из них были атаками с шифрованием данных, а оставшиеся 32% пришлись на физическое уничтожение компонентов инфраструктуры.
Как сообщает «Коммерсант», три из четырех кибератак в России в 2025 году носили критический для ИТ-инфраструктуры характер. Нарастание угроз вынуждает компании пересматривать свои стратегии в области киберзащиты.
В минувшем году киберпреступники, отойдя от тактики демонстративных взломов и хищения данных, стали чаще добиваться полного разрушения ИТ-среды компаний с целью саботажа или вымогательства. На подобные инциденты пришлось свыше 70% критических атак, а суммы требований о выкупе достигали беспрецедентных 500 миллионов рублей. Факторы, делающие ИТ-инфраструктуру российских предприятий уязвимой, остаются неизменными: это человеческая ошибка, небрежность и нежелание бизнеса вкладываться в фундаментальные решения по безопасности.
Эксперты «Инфосистемы Джет» отмечают, что в 2025 году главной целью злоумышленников стало не проведение дефейсов, не кража данных и не DDoS-атаки, а полное разрушение ИТ-инфраструктуры. Ключевые данные исследования таковы: 76% критических инцидентов были направлены именно на уничтожение ИТ-систем (из них 44% — атаки программами-шифровальщиками, такими как Babyk, LockBit, Zeppelin, Phobos, Enmity и другие; 32% — прямое физическое повреждение компонентов, не подлежащее восстановлению). Таким образом, более трех четвертей самых опасных атак в 2025 году преследовали цель либо полностью парализовать деятельность российских компаний, либо создать ситуацию, когда возобновление работы требует колоссальных временных и финансовых затрат. Кроме того, среди основных трендов года специалисты выделяют резкий рост применения инструментов на базе искусственного интеллекта при подготовке и проведении атак, а также увеличение числа случаев кооперации между различными хакерскими группами. Эксперты в сфере информационной безопасности подчеркивают, что смещение акцента злоумышленников на необратимое разрушение инфраструктуры многократно повышает риски для непрерывности бизнес-процессов российских организаций.
Специалисты Лаборатории цифровой криминалистики F6 сообщают, что в 2025 году число атак с использованием программ-вымогателей увеличилось на 15% в сравнении с предыдущим годом. Как отмечают аналитики F6, максимальная сумма первоначального требования, заявленная группировкой CyberSec в 2025 году, достигла 50 BTC (что эквивалентно примерно 500 млн рублей на момент атаки и около 384 млн рублей по состоянию на декабрь). Этот показатель почти вдвое превышает цифры 2024 года, составлявшие 240 млн рублей.
По результатам 2025 года средний размер первоначального выкупа, который злоумышленники запрашивали за ключ дешифрования, варьировался от 4 до 40 млн рублей. Для предприятий малого и среднего сегмента требования были существенно ниже — в диапазоне от 240 тысяч до 4 млн рублей.
Одним из наиболее резонансных киберинцидентов 2025 года стала масштабная атака на ИТ-инфраструктуру ПАО «Аэрофлот», произошедшая в середине июля, о чем ранее сообщал CNews. Последствия оказались серьезными: было отменено свыше 100 рейсов, а также возникли значительные сбои в работе внутренних информационных систем и расписания.
Ответственность за проведение этой кибератаки публично взяли на себя две хакерские группы — «Киберпартизаны BY» и Silent Crow.
30 июля 2025 года авиакомпания официально уведомила о полном возобновлении регулярного расписания полетов. Согласно оценкам экспертов, прямые финансовые потери «Аэрофлота» из-за данного инцидента могли достичь примерно 275 млн рублей.
Согласно данным компании «Инфосистемы Джет», в 2025 году наибольшее количество успешных кибератак на российские организации пришлось на три ключевые области: финансовый сектор, ИТ-сферу и рынок недвижимости.
При этом основные методы проникновения злоумышленников остаются традиционными и почти не меняются в последние годы. К ним относятся: фишинговые атаки; компрометация через цепочки поставок, то есть взломы организаций-подрядчиков; эксплуатация уязвимостей в общедоступных веб-приложениях; отсутствие многофакторной аутентификации (МФА) на внешних сервисах и интерфейсах; низкий уровень «гигиены доступа» (ненадежные пароли, избыточные права пользователей, отсутствие регулярной смены учетных данных).
Эксперты «Инфосистемы Джет», проводившие внешние проверки кибербезопасности, выявили у большинства обследованных компаний следующие критические недостатки.
83% организаций оставляют доступными из интернета административные интерфейсы управления (панели администрирования, системы удаленного доступа).
19% компаний в России до сих пор применяют учетные записи с паролями, установленными по умолчанию (такими как admin/admin, root/123456 и подобными комбинациями).
Подобные уязвимости в информационных технологиях продолжают оставаться наиболее доступными и активно используемыми векторами атаки на системы организаций в 2025 году. Как подчеркнул Евгений Балк, руководитель департамента развития и архитектуры «Кросс Технолоджис», свыше 90% инцидентов в сфере ИТ тем или иным образом связаны с ошибками персонала.
Согласно исследованиям 2025 года, у 40% фишинговых доменов присутствуют правильно настроенные MX-записи — специальные DNS-указатели, обеспечивающие корректную работу электронной почты. Это говорит о том, что злоумышленники перестали полагаться на временные одноразовые домены. Они инвестируют значительные средства в построение стабильной и долговременной почтовой инфраструктуры, что повышает доверие к их рассылкам и значительно усложняет их автоматическое блокирование почтовыми фильтрами и антиспам-решениями.
Эксперты «Инфосистемы Джет» отмечают, что вместо пятилетних стратегий CISO теперь предпочитают гибкие одно- или двухгодичные циклы планирования, одновременно смещая акцент на создание ИТ-инфраструктуры, способной не только восстанавливаться после кибератак, но и становиться устойчивее. Также, по информации компании, спрос на независимый аудит систем резервного копирования вырос в два раза, а более 70% крупных организаций внедрили регулярные процедуры тестирования восстановления информации.
Руководитель группы защиты инфраструктурных ИТ-решений «Газинформсервис» Сергей Полунин считает нынешние изменения в киберугрозах закономерным развитием событий. Крупные корпорации в 2025 году обладают надежными резервными копиями, из-за чего традиционные вирусы-шифровальщики становятся все менее эффективными. Рынок похищенных данных также перенасыщен — практически вся информация, которую можно было украсть, уже скомпрометирована, и ценность таких утечек резко снизилась, отмечает специалист. Полунин добавляет, что в этих условиях угроза полного и безвозвратного уничтожения данных приобретает гораздо более серьезный характер. Для бизнеса это уже не просто финансовый ущерб, а прямая опасность для самого существования компании. Таким образом, в 2025 году четко прослеживается переход от тактики «зашифровать и потребовать выкуп» к стратегии «максимального причинения вреда» — вплоть до полного удаления критически важных данных и компонентов ИТ-инфраструктуры, восстановление которых может быть экономически невыгодным или технически неосуществимым.
