Поделиться
«Солар»: число хакерских группировок, атакующих компании РФ, за 2025 год выросло более чем в 2 раза
По данным центра исследования кибеугроз Solar 4Rays группы компаний «Солар», к ноябрю 2025 г. доля присутствия профессиональных хакерских группировок в инфраструктурах российских компаний выросла до 35%, что на 10 п.п. больше, чем по итогам II квартала. При этом за 10 месяцев текущего года удалось обнаружить 18 подобных объединений хакеров, семь из которых являются новыми — это минимум в два раза больше, чем в прошлом году. Аналитика составлена на основе данных крупнейшей в РФ сети сенсоров и результатов расследований целевых атак за 10 месяцев 2025 г.
Анализ срабатываний сенсоров позволяет выделить индикаторы компрометации, указывающие на деятельность вредоносного ПО (ВПО) конкретного типа в инфраструктуре организации. В частности, сенсоры могут зафиксировать подобное ПО для майнинга, получения удаленного доступа (RAT), а также вирусы-шифровальщики, ботнеты и др.
Так, число заражений ВПО в III квартале 2025 г. снизилось почти на 50% в сравнении со II, до 1,4 млн. Вместе с этим уменьшилось и число атакуемых организаций (на 19%, до 13,8 тыс.). По мнению экспертов, это может быть связано с периодом отпусков в июле и августе, а также с плавным повышением уровня защищенности компаний.
Тем не менее интенсивность атак в целом продолжает расти — для сравнения, еще в IV квартале 2024 г. каждая компания сталкивалась с 40 заражениями ВПО против 99 за октябрь 2025 г. К тому же только в октябре 2025 г. общее число сработок сенсоров составило 495 тыс. Не исключено, что показатель может снова вырасти к концу года — ведь злоумышленники, особенно финансово мотивированные, проявляют повышенную активность перед распродажами, Новым годом и последующими каникулами.
В III квартале хакеры чаще пытались атаковать организации из сфер промышленности (27% сработок сенсоров, -5 п.п. в сравнении со II кварталом), ТЭК (17%, + 6 п.п.), здравоохранения (17%, -1 п.п.) и госструктур (13%, + 6 п.п.). Чуть меньше заражений было зафиксировано в ИТ-компаниях (11%), образовательных организациях (10%), кредитно-финансовой отрасли (4%) и телекоме (1%).
При этом за октябрь 2025 г. доля заражений ВПО в ТЭК и вовсе выросла до 30%, на здравоохранение — до 29%, а на госструктуры — до 26%. Остальные заражения пришлись на промышленность (6%), образование (4%) и другие отрасли. Эксперты Solar 4Rays связывают рост интереса злоумышленников к ТЭК с их важностью для экономики и безопасности страны — они интересны как прогосударственным атакующим, так и киберпреступникам, которые хотят заработать на вымогательстве.
Большая часть сработок сенсоров пришлась на индикаторы присутствия APT-группировок (32% в 3-м квартале, +7 п.п. в сравнении со II кварталом), программы-стилеры для кражи конфиденциальной информации (30%, -8 п.п.) и RAT — средства для получения удаленного доступа к ИТ-системам компании-жертвы (24%,+ 5 п.п.). В октябре 2025 г. доля присутствия профессиональных хакеров вовсе выросла до 36%, доля стилеров — до 32%, а RAT осталась примерно на том же уровне и составила 23%.
Специалисты Solar 4Rays объясняют растущий тренд на RAT желанием хакеров управлять атакованными системами жертв и монетизировать атаки — например, с помощью таких средств можно продавать на черном рынке доступы во взломанные инфраструктуры.
Параллельно с этим свою активность продолжают наращивать APT-группировки — это происходит на фоне последних геополитических событий, на фоне которых российские организации вызывают еще больший интерес у профессиональных хакеров, работающих на иностранные государства.
Эксперты Solar 4Rays подробно изучили и сложные кибератаки профессиональных хакеров, с которыми не справляются автоматизированные средства защиты. Так, за 10 месяцев 2025 г. они выявили 18 кластеров и APT-группировок — в прошлом году их было 8.
При этом специалисты фиксируют снижение активности проукраинских хакерских группировок — например, инструментарий группы Shedding Zmiy был обнаружен лишь в 2% расследованных атак, а в прошлом году их доля присутствия составляла 37%. В целом же доля изученных инцидентов, относящихся к известным проукраинским хакерам, уменьшилась до 20% — многие элементы их арсенала стали хорошо известны. Вероятно, по этой причине эта и другие группировки снизили масштабы деятельности.
Главной целью профессиональных хакеров в этом году по-прежнему остается шпионаж (61%, + 7 п.п. год к году). Доля финансово мотивированных атак снизилась на 3 п.п. год к году, до 17%, а хактивистских (с громкими политическими заявлениями) — на 11 п.п., до 11%. Это означает, что злоумышленники вместо «громких» атак чаще фокусируются на сложных и скрытных — хотя и публичные инциденты все еще встречаются.
Чаще всего группировки атаковывали организации из госсектора (33%, -3 п.п. год к году) и промышленности (20%, +3 п.п. год к году). Также значительно выросло число расследований сложных атак в ИТ-отрасли — на 10 п.п. год к году, до 16%. Этот рост можно объяснить растущим трендом атак через подрядчика: хакеры проникают в их инфраструктуры, чтобы затем атаковать более крупные и защищенные организации. Кроме того, фиксируется всплеск атак профессиональных хакеров и в отрасли энергетики (9%) — в прошлом году запросов на расследования в этом секторе не поступало.
При этом 27% сложных атак начинались через доверительные отношения — это в 3,3 раза больше, чем в прошлом году, что тоже говорит о росте популярности атак через подрядчика. Чуть чаще хакеры проникают в инфраструктуры через уязвимости в веб-приложениях (31%), скомпрометированные учетные данные пользователей (28%), а реже — через фишинг (14%).
Вместе с этим профессиональные хакеры стали дольше сидеть в инфраструктурах жертв. Доля сложных атак сроком от шести месяцев до года выросла на 12 п.п. год к году — до 19%, а от года до двух лет — на 8 п.п., до 14%. Это говорит о том, что хакеры дольше готовятся к атакам и стремятся к максимально долгому скрытному присутствию в ИТ-системах компаний-жертв.
«Мы видим, что в уходящем году хакеры заметно улучшили свои тактики и инструментарий: выросло число профессиональных группировок, атакующих с целью шпионажа. Теперь они подбирают крупные цели в ТЭК и промышленности, реализуют атаки через доверительные отношения и дольше сидят в целевых инфраструктурах. Подобный тренд продолжит нарастать и в следующем году. Это означает, что в следующем году возрастет и необходимость в обеспечении комплексной кибербезопасности, куда входит не только применение технических средств, но и усиление контроля за подрядчиками, своевременное обновление ПО, защита веб-приложений, соблюдение парольных политик и отслеживания главных трендов в ландшафте киберугроз», — сказал Алексей Вишняков, руководитель центра исследования киберугроз Solar 4Rays ГК «Солар».
Поделиться
Короткая ссылка
