Выкуп в полмиллиарда: новые рекорды хакеров в 2025
Если честно, когда каждый год выходят одни и те же отчёты с ростом числа атак, это начинает напоминать дурную бесконечность. Но 2025-й оказался годом качественных, а не количественных изменений. Да, общее число кибератак на российские компании, по данным того же отчёта F6, вышло на плато. Однако плато это оказалось весьма опасным: рекордные суммы выкупа, точечные удары по критической инфраструктуре и новый виток активности проправительственных группировок. Проще говоря, стало не больше, но больнее, изощреннее и дороже.
Для руководителей служб безопасности, риск-менеджеров и IT-директоров это значит одно: старые playbook’ы по реагированию безнадёжно устарели. Сегодня недостаточно просто закрыть базовые уязвимости. Нужно понимать логику противника, который уже давно изучает ваш бизнес лучше, чем некоторые ваши же сотрудники. В этой статье разберём ключевые тренды года не как сухую статистику, а через призму реальных инцидентов, с которыми мы столкнулись в ходе проектов. И, что важнее, наметим практические шаги для реальной, а не бумажной защиты.
Проправительственные APT-группы: невидимая война, которая стала слишком заметной
Цифра в 27 обнаруженных прогосударственных групп, атакующих Россию и СНГ, — это лишь вершина айсберга. По моему опыту, каждая такая группа — это не просто хакеры, а хорошо финансируемая структура с чёткой специализацией. Silent Lynx, Telemancon, Mythic Likho — эти новые имена, раскрытые в 2025 году, на самом деле вели операции ещё с 2024-го. Их поздно обнаружение красноречиво говорит о главном: мы часто ищем вчерашние угрозы, пока они уже оттачивают завтрашние атаки.
Что любопытно, фокус сместился. Да, госучреждения и ВПК по-прежнему в топе (13 и 8 групп соответственно), но резко вырос интерес к ИТ-компаниям. И не из-за их собственных данных. Здесь срабатывает логика цепочки поставок: взломав разработчика софта или облачного провайдера, можно получить «легальный» доступ к сотням его клиентов, включая те же госкомпании. Это как оставить отмычку у доверенного слесаря, который обслуживает весь элитный дом.
Из практики: На одном из проектов по расследованию инцидента в промышленной компании мы вышли на скомпрометированный сервер внешнего подрядчика — скромной ИТ-фирмы, разрабатывавшей для них системы диспетчеризации. Через его обновления злоумышленники почти полгода имели доступ к сети заказчика. И знаете, что удивляет? Контракт с подрядчиком даже не содержал пунктов о кибербезопасности.
Типичная ошибка: считать, что аутсорсинг снимает с вас риски. На деле он их только умножает, если не контролируется. Особенно важно это в свете 187-ФЗ о КИИ и растущих требований ФСТЭК, которые всё чаще распространяются и на цепочки поставщиков.
Данные на конвейере: почему утечки стали нормой, а выкуп — рекордным
Цифры пугают: 225 новых утекших баз данных российских компаний в 2025 году. Но тут есть нюанс. Годом ранее их было 455. На первый взгляд, прогресс? Отчасти. Но если копнуть глубже, окажется, что сами данные стали «качественнее» и целенаправленнее. Раньше часто сливали что попало, сегодня — структурированные массивы с паспортами, финансовыми историями, перепиской.
А рекорд суммы выкупа в 50 BTC (это те самые ~500 млн рублей) — это не просто жадность. Это маркетинг. Такие цифры кричат на весь андеграунд: «Смотрите, российский бизнес может платить!». И это формирует крайне опасный тренд.
Вот вам живая картина: средний чек для среднего и крупного бизнеса теперь колеблется от 4 до 40 млн рублей. Для малого — от 240 тысяч. Злоумышленники прекрасно сегментируют рынок и выставляют счёт по вашим реальным возможностям. Это уже не хаотичный рэкет, а отлаженный криминальный бизнес с pricing policy.
Но главный сдвиг, который мы наблюдаем в 15% атак на средний и крупный бизнес — это смена цели. Целью стала не прибыль, а диверсия. Полное уничтожение данных и инфраструктуры. Часто это политически мотивированные атаки или жёсткая конкуренция, вышедшая в киберпространство. Расшифровать после такого невозможно. Бэкапы становятся вопросом выживания компании.
Векторы атак: старые дыры и новые обходные пути
Здесь статистика 2025 года рисует парадоксальную картину. С одной стороны, доля загрузки вредоносного ПО из недоверенных источников упала вдвое — с 74% до 38%. Кажется, пользователи поумнели. Но, с другой стороны, резко, в шесть раз, выросла доля атак через эксплуатацию уязвимостей (с 5% до 31%). И в семь раз — через использование валидных учётных данных (с 2% до 15%).
О чём это говорит? О том, что злоумышленники сместили фокус с самого слабого звена — человека — на более сложные, но и более эффективные цели: ваши корпоративные системы и доступы. Они не искушают бухгалтера Марию Ивановну скачать «обновление для 1С», они ищут не закрытую уязвимость в этой самой 1С или VPN-шлюзе. А ещё чаще — просто покупают или крадут те самые логин-пароли, которые сотрудники лениво повторяют на десятках сервисов.
По правде, это раздражает больше всего. Мы тратим миллионы на сложные DLP и EDR-системы, а злоумышленник входит в сеть через купленный за $50 аккаунт сотрудника в корпоративной почте или мессенджере. Это как поставить суперсовременную сигнализацию на дом и оставить ключ под ковриком.
Практический совет: Внедряйте не просто сложные пароли, а обязательное многофакторное аутентифицирование (MFA) везде, где это возможно. Особенно для учётных записей с привилегированным доступом. И обратите внимание на систему управления доступом (PAM) — она резко усложняет жизнь злоумышленнику, даже если учётные данные утекли.
Программы-вымогатели и DDoS: бизнес-модели эволюционируют
Рост числа атак шифровальщиками на 15% — это только часть истории. Их бизнес-модель стала гибридной. Теперь это не просто «зашифровал — потребовал деньги». Часто данные сначала тихо воруются, и только потом шифруются. И вам предъявляют ультиматум: платите не только за ключ, но и за неразглашение украденной информации. Двойной шантаж.
DDoS-атаки тоже стали умнее. Массовые «флудовые» атаки уступают место точечным, прицельным ударам по API, серверам авторизации или каналам связи. Цель — не «положить» сайт, а нарушить критический бизнес-процесс, например, остановить торговлю на бирже или сорвать выполнение госконтракта. И знаете, что помогает? Часто — элементарная разведка в открытых источниках (OSINT), которая выявляет слабые места в вашей цифровой инфраструктуре.
Что делать? От статистики к действию
Так куда же двигаться? На основе нашего опыта реагирования на инциденты, вырисовывается чёткая дорожная карта.
- Сместите фокус с периметра на обнаружение атак внутри сети. Злоумышленник рано или поздно проникнет. Важно как можно быстрее его найти. Здесь незаменимы современные EDR/XDR-решения, которые умеют выявлять аномальное поведение пользователей и систем.
- Управляйте уязвимостями, а не просто их сканируйте. Нужен не просто список дыр, а регламентированный процесс приоритизации и закрытия самых опасных из них, особенно тех, что используются активными APT-группами. Это основа защиты от того самого скачка атак через эксплуатацию уязвимостей.
- Проводите регулярные тренировки по реагированию на инциденты (IR). Теория без практики мертва. Ваша команда должна на мышечном уровне знать, что делать при атаке. Это снижает время простоя с недель до часов.
- Аудит и жёсткий контроль третьих сторон. Требуйте от подрядчиков и поставщиков соблюдения стандартов безопасности. Включайте соответствующие пункты в договоры. Проверяйте их.
- Воспринимайте кибербезопасность как непрерывный процесс, а не проект. Нельзя один раз купить «коробку» и забыть. Угрозы меняются каждый день, и ваша защита должна адаптироваться.
FAQ по кибератакам и защите бизнеса в 2026 году
Вопрос: В статье говорится о «выходе на плато» числа атак. Получается, ситуация стала безопаснее?
Ни в коем случае. Это опасное заблуждение. Стабилизация общего числа — это признак профессионализации угроз. Атаки стали не массовыми, а прицельными. Вместо сотни беспорядочных попыток — одна, но высококачественная и глубоко проработанная. Цель теперь не «поймать кого попало», а конкретно вашу компанию. По опыту, такие целенаправленные атаки наносят на порядок больше ущерба, их сложнее обнаружить и остановить.
Вопрос: Почему взлетели именно суммы выкупа? Разве компании стали чаще платить?
Прямой корреляции нет. Рекорд в 500 млн рублей — это, скорее, исключение для очень крупных и критически зависимых от данных жертв. Однако сам рост «среднего чека» обусловлен двумя факторами. Во-первых, злоумышленники лучше изучают бизнес-модель жертвы и рассчитывают сумму, которую та может заплатить. Во-вторых, добавилась модель «двойного шантажа»: плати и за расшифровку, и за неразглашение украденных данных. Это увеличивает давление и, соответственно, ценник.
Вопрос: Главный вектор атак теперь — эксплуатация уязвимостей. Значит, можно не тратиться на обучение сотрудников?
Это было бы роковой ошибкой. Да, доля атак через уязвимости в ПО выросла. Но 15% инцидентов через валидные учётные данные — это по-прежнему человеческий фактор. Просто его природа изменилась: фишинг стал изощрённее, а люди повторяют пароли. Получается, что вам нужен комплекс: и регулярное обновление ПО с закрытием уязвимостей, и постоянная «прокачка» киберграмотности сотрудников, и внедрение MFA. Одно без другого не работает.
Вопрос: Как на практике проверить, не стал ли ваш ИТ-подрядчик «троянским конём» в сеть?
Из реальной практики: запросите у подрядчика не формальное письмо о безопасности, а конкретные артефакты. Например, результаты последнего пентеста их инфраструктуры (с замазанными критичными данными), политику обновления ПО, отчёт по анализу уязвимостей (Vulnerability Assessment). Включите в договор пункт о праве на аудит их безопасности (при наличии NDA) и о материальной ответственности за инциденты, возникшие по их вине. Это сразу отсеет несерьёзных игроков.
Вопрос: Если атака направлена на уничтожение данных (диверсия), а не на выкуп, помогут ли резервные копии?
Да, но с огромной оговоркой. Бэкапы — это последняя линия обороны. Но в сценарии целенаправленной диверсии злоумышленники, перед тем как запустить шифровальщик, могут неделями находиться в вашей сети. И их цель — найти и уничтожить или зашифровать именно ваши резервные копии. Поэтому правило «3-2-1» (три копии данных, на двух разных носителях, одна из которых вне площадки) теперь дополняется правилом «авизо». Резервные копии должны быть изолированы (air-gapped) и недоступны для постоянной записи. И их целостность нужно регулярно проверять, проводя тестовое восстановление.
Вопрос: Вы рекомендуют EDR/XDR. Но это дорого и сложно. Есть ли более простой первый шаг для среднего бизнеса?
Абсолютно. Самый эффективный первый шаг с высокой отдачей — это внедрение многофакторной аутентификации (MFA) для всех учётных записей с доступом в интернет (почта, корпоративные порталы, VPN) и особенно для привилегированных учёток. Это резко усложнит жизнь злоумышленникам, даже если пароль утёк. Второй шаг — централизованное логирование и мониторинг критичных событий (кто, когда и откуда зашёл). Зачастую это можно настроить на базе уже имеющихся средств. Эти две меры закрывают львиную долю распространённых векторов.
Нужна помощь в построении такой защиты?
Оставьте заявку на бесплатную консультацию на сайте: https://securedefence.ru/
Мы подготовим чек-лист, дорожную карту и коммерческое предложение под ваши конкретные риски. Для первых пяти заявок в месяц — расширенный аудит поверхности атаки в подарок.
Работаем с банками, операторами КИИ и госкорпорациями в рамках требований 152-ФЗ, 187-ФЗ и ФСТЭК. Пора выстраивать защиту, которая опережает не вчерашние, а завтрашние угрозы.