Количество атак на отечественную ИТ-инфраструктуру продолжает увеличиваться, при этом мотивация и методы цифровой агрессии меняются. Растет доля преступлений, связанных с кибершпионажем. Атаки становятся более подготовленными, а злоумышленники бережнее относятся к своим ресурсам. Кроме того, увеличивается число успешных проникновений с длительным и скрытым пребыванием в инфраструктуре компании-жертвы. В результате 2025 г. оказался рекордным с точки зрения успешных нападений на крупные публичные организации, которые уже привели к отмене авиарейсов, сбоям в работе ритейлеров, сервисов доставки и операторов интернета. Подобные инциденты не только создают неудобства для граждан, но и провоцируют многомиллиардные потери для экономики.
От хактивистов к кибершпионажу
Инциденты кибербезопасности можно разделить на три группы: действия политически мотивированных хактивистов с целью нанесения максимального ущерба, кибершпионаж и преступления финансово мотивированных мошенников. Если хактивисты чаще всего используют DDoS-атаки, так как заинтересованы в привлечении общественного внимания, то две оставшиеся группы стараются максимально скрыть свои действия, используют вредоносное ПО для проникновения внутрь инфраструктуры. «Злоумышленники могут находиться внутри ИТ-инфраструктуры по году или полтора, постепенно с применением разнообразных и сложных тактик достигая своих целей», — комментирует первый заместитель генерального директора компании «РТ-Информационная безопасность» Артём Сычёв.
В течение 2022–2025 гг. соотношение активности между тремя группами злоумышленников неоднократно менялось. «В 2022 году основной вклад в организацию атак вносили хактивисты, число коммерческих атак при этом практически сошло на нет, — рассказывает генеральный директор компании Curator Дмитрий Ткачёв. — В 2023 году «нападения» хактивистов продолжались в меньшем количестве, но стали более продвинутыми. Уже в 2024 году мы наблюдаем возвращение коммерческих атак, когда злоумышленники атакуют бизнес ради выгоды, выкупа либо с целью конкурентной борьбы».
Растет число инцидентов, связанных с кибершпионажем. Например, по данным центра исследования киберугроз Solar 4Rays, 68% расследованных атак в первом полугодии 2025 г. имели своей целью именно кибершпионаж. На втором месте были атаки, направленные на получение финансовой выгоды (20%), а доля инцидентов, связанных с хактивизмом, составила только 12%.
При этом в некоторых случаях фиксируется гибридная мотивация, когда идеологически мотивированные злоумышленники пытаются заработать на похищенных данных. «В 2024 году мы наблюдали атаки со «смешанными» целями: атакующие сначала похищали конфиденциальные данные, а потом уничтожали инфраструктуру, чтобы максимизировать ущерб. В первом полугодии 2025 года фиксировали меньше таких случаев, но они все еще есть. Второе полугодие началось с серии громких инцидентов, так что не исключаем, что относительное «затишье» первой половины года закончилось», — комментирует Иван Сюхин, руководитель группы расследования инцидентов центра Solar 4Rays.
Рост атак замедлился, но они стали более продуманными
Кибератаки не только меняются качественно, но и их число растет. В 2022 г. произошел всплеск нападений на российские организации на фоне изменений в геополитической повестке. Тренд на увеличение числа атак сохраняется и сейчас, хотя рост стал более плавным. 2023–2024 гг. были отмечены более умеренной динамикой, а в 2025 г. фиксируется новый подъем активности злоумышленников.
При этом конкретные цифры в статистике различаются в зависимости от категории инцидентов и поставщика данных (так как информация от провайдеров ИБ, как правило, включает только сведения клиентов, которые используют решения конкретного вендора). «За весь 2024 год и половину 2025 года число успешных атак на российские организации практически сравнялось с числом нападений за 2022–2023 годы», — утверждает аналитик Positive Technologies Анна Вяткина. Если рассматривать только DDoS-атаки, то здесь рост оказался еще более высоким: по данным Curator, количество таких случаев в первом полугодии 2025 г. выросло примерно на 60% по сравнению с тем же периодом в 2024 г. Согласно статистике Jet Csirt, в 2023 г. прирост в количестве зафиксированных инцидентов составил 11% против трехкратного роста в 2022 г., тогда как за 2024 г. число инцидентов было сравнимо с 2023 г.
Нападения становятся не только более частыми, но и более сложными. Например, злоумышленники активнее используют мультивекторные DDoS-атаки: согласно оценке Curator, их число выросло на 43% в первом полугодии 2025 г. Что касается инцидентов, связанных с проникновением в инфраструктуру организаций, то после 2022 г. специалисты по информационной безопасности столкнулись с лавинообразным ростом числа целевых таргетированных атак (APT, advanced persistent threats), которые длятся продолжительное время и управляются вручную в режиме онлайн. По данным Positive Technologies, их доля в общем числе атак на инфраструктуру российских организаций в 2024–2025 гг. выросла почти в 2 раза по сравнению с 2022–2023 гг.
«Если сравнивать периоды, 2024–2025 и 2022–2023 годы, то атаки стали более сложными, комплексными и многослойными», — подводит итог Юрий Тюрин, технический директор компании MD Audit (Softline). По его словам, злоумышленники чаще используют комбинированные методы: социальную инженерию для первоначального доступа, эксплуатацию уязвимостей в ПО для закрепления в системе и DDoS-атаки для отвлечения внимания. Одновременно выросло число нападений на цепочки поставок и облачные сервисы, через которые можно получить доступ сразу ко множеству организаций. «Количество инцидентов продолжает расти, но все большую роль играют атаки с длительным скрытым пребыванием в инфраструктуре (APT), которые позволяют собирать данные или готовить крупный удар в течение месяцев», — утверждает эксперт.
Жаркое лето 2025 г.
Как правило, большинство инцидентов остаются неизвестными для широкой публики, однако текущий 2025 г. стал рекордным с точки зрения хакерских атак, оказавшихся в заголовках новостей, так как они привели к масштабным отказам в деятельности общественно значимой инфраструктуры. Крупнейшим инцидентом стал сбой в работе «Аэрофлота» 28 июля, что спровоцировало отмену и задержку около сотни авиарейсов. Хакеры, взявшие на себя ответственность за взлом, утверждали, что находились внутри систем «Аэрофлота» более года, уничтожили 7 тыс. виртуальных и физических серверов и похитили 12 ТБ данных. В самой авиакомпании детали атаки не комментировали, однако в начале сентября анонсировали масштабную программу импортозамещения ПО общей стоимостью ₽10,75 млрд.
Почти одновременно с «Аэрофлотом» из-за атаки хакеров закрылась сеть аптек «Столички». Ранее в июле нападению подверглись магазины «Винлаб», а в начале августа злоумышленники вывели из строя сервис СДЭК по доставке документов, интернет-заказов и посылок. Кроме того, мишенями злоумышленников часто становились поставщики услуг доступа в интернет. Так, в марте 2025 г. они нарушили работу провайдера Lovit, обслуживающего новостройки группы компаний ПИК, а в мае без домашнего интернета оказались десятки тысяч абонентов подмосковного оператора АСВТ.
Российская экономика потеряла триллион рублей из-за хакеров
В случае подобных инцидентов речь идет о миллиардных убытках: «Ущерб сети «Винлаб» показывает масштабы роста угроз: лишь три дня простоя привели к потерям от ₽800 млн до ₽1,2 млрд, то есть порядка миллиарда рублей убытка только по одной сети ритейла», — комментирует Дмитрий Ткачёв.
При этом оценить общие потери экономики достаточно сложно, так как есть сведения лишь о публичных атаках. Но реальных инцидентов, без сомнения, намного больше
«Есть только приблизительные оценки по разным отраслям экономики, но речь идет о сотнях миллиардах рублей: как по отдельным зафиксированным хищением, так и в результате косвенных убытков из-за простоя бизнеса. И если ориентироваться на тенденции, то можно сказать, что в 2025 году ущерб, вероятно, увеличится», — объясняет Юрий Драченин, заместитель руководителя направления информационной безопасности компании «Контур.Эгида».
Согласно данным Минцифры, озвученным замглавы ведомства Иваном Лебедевым в марте 2025 г., прямой ущерб, нанесенный хакерам российском экономике за предыдущий год, составил от ₽160 до ₽250 млрд. По оценке заместителя председателя правления «Сбера» Станислава Кузнецова, финансовые потери от действий хакеров российской экономике за 2023–2024 гг. достигли отметки в ₽1 трлн. Эта цифра включает не только прямой ущерб, но и потери, обусловленные утечками данных, простоями в работе, а также репутационными издержками. Для сравнения, согласно данным Росстата, объем ВВП России за 2024 г. составил в текущих ценах ₽201,152 трлн. Таким образом, ущерб от действий хакеров может достигать 0,5% от годового ВВП.
Поделиться
