Российские компании столкнулись с новой волной кибератак

В последние годы российские организации оказываются под пристальным вниманием злоумышленников. Количество целевых кибератак и их разрушительная сила увеличивается: хакеры выбирают конкретные отрасли и компании, чтобы максимизировать эффект — от утечек конфиденциальной информации до финансовых потерь и сбоев в критических системах. Геополитическая напряженность, развитие технологий и активное использование искусственного интеллекта (ИИ) делают российский цифровой ландшафт особенно уязвимым, требуя от компаний комплексной защиты и готовности к новым сценариям угроз.

Россия в прицеле

Российские организации стали приоритетной целью атак хакеров в глобальном масштабе, что связано с изменением геополитической обстановки. Согласно исследованию, за период с первого июля 2024 г. по 26 сентября 2025 г., на Россию пришлось от 14% до 16% всех успешных кибератак в мире и 72% атак, зафиксированных в СНГ.

Технический директор ИБ «Спикател» Евгений Пудовкин отметил, что за 10 месяцев 2025 г. количество целевых атак на российский бизнес выросло на 38% в сравнении с прошлым годом, до 16 000 инцидентов.

«Тренд этого года: атакующие группы демонстрируют достаточную мотивацию и ресурс, чтобы готовить все более масштабные и сложные операции. Показателен пример крупнейшей авиакомпании, когда, как утверждали хакеры, они находились внутри ее корпоративной сети более года», – указал эксперт. При этом общая доля целевых атак на бизнес, по его словам, не менее трети от общего объема киберинцидентов, нацеленных на российский бизнес и госсектор.

Промышленность входит в число наиболее атакуемых отраслей: на нее пришлось в 2025 г. 27%, на телекоммуникационные компании — 24%, IT-компании — 17%, финансовый сектор — 12%, ритейл и медтех — по 10%. 

То есть специально выбранными целями хакеров становятся те отрасли, в которых сосредоточены ключевая инфраструктура и данные, представляющие наибольшую ценность для злоумышленников. Успешная операция преступников может привести к крупным финансовым потерям, утечке конфиденциальной информации или сбоям в критических инфраструктурных процессах.

Данные, власть, выкуп

Наиболее распространенные последствия кибератак на организации в России – это утечка конфиденциальной информации и нарушение основной деятельности компаний. Эти два последствия часто взаимосвязаны. По словам экспертов, по сравнению с 2023 г. и первой половиной 2024 г. доля успешных атак с утечкой информации увеличилась с 44% до 56%, а доля успешных атак, приводивших к нарушению деятельности компаний, выросла с 37% до 40%. Подобная тактика позволяет злоумышленникам добиться двойного эффекта: шантажировать организацию угрозой публикации или продажи украденных данных (так называемый double extortion) и требовать выкуп за восстановление доступа к системам, добавляет эксперт.

Руководитель ИБ-направления «Телеком биржи» Александр Блезнеков добавил, что далеко не всегда после выплаты выкупа компания может рассчитывать на то, что ее инфраструктура будет восстановлена, нередки случаи, когда после выкупа дешифратор так и не был предоставлен. Также, по словам эксперта, были в 2025 г. атаки с целью уничтожения инфраструктуры, сбора критически важной информации, кибершпионажа.

Важную часть целевых атак осуществляют государственно поддерживаемые кибершпионские структуры, которые интересует не столько прибыль, сколько доступ к информации и стратегическое влияние. Цель — сбор разведданных, получение доступа к конфиденциальной информации и воздействие на политическую стабильность.

Пудовкин добавляет, что в 2025 г. целевые атаки наносили компаниям и серьезный репутационный ущерб. «Информация о сбоях в IT-системах компаний, у которых много клиентов-физлиц, быстро попадает в СМИ, потому что затрагивают большое число людей», — указывает эксперт. Громкий кейс с «Аэрофлотом», когда ответственность за атаку взяла на себя конкретная группировка, говорит о том, что целью злоумышленников в первую очередь были и самореклама и публичный резонанс.

ИИ выходит на фронт

В последнее время произошли и изменения в реализации атак. Директор по продуктам Servicepipe Михаил Хлебунов напомнил, что осенью 2025 г. были зафиксированы первые целевые атаки, реализованные практически без участия людей. Речь идет об отчете американской компании Anthropiс, которая сообщила, что была зафиксирована кибершпионская кампания, где злоумышленники использовали возможности ИИ в автономном режиме, то есть ИИ действовал как агент, выполняя атаки практически без человеческого вмешательства. 

Хлебунов также напомнил, что выход Kimi K2 Thinking даст злоумышленникам еще больше возможностей для атак. «Если раньше такие мощные ИИ-модели были ограничены API и правилами поставщика, то теперь инструмент с функцией планирования атак не имеет этих ограничений», — указывает эксперт. По его словам, это снимает последние барьеры для злоумышленников: можно создавать и редактировать сценарии атак, используя локальную ИИ (которую не ограничит вендор), без ограничений и слежки. То есть эпоха ручных атак закончилась, началась эра ИИ-кибершпионажа.

Атакующие стали чаще использовать языковые модели (GPT, DeepSeek, Gemini, Claude и т. д.) для написания простых вредоносных программ. Так, LLM-модели активно использовала группировка Rare Werewolf для создания вредоносного программного обеспечения на PowerShell и C#. В описанном Anthropiс случае ИИ выполнил порядка 80–90% всей «работы», но было несколько моментов, где потребовалось вмешательство человека.

ИИ способен автоматически подбирать уязвимости, персонализировать фишинг, обходить защиту и адаптироваться без человеческих задержек и ошибок, говорит Пудовкин. В итоге злоумышленник может запускать массовые, умные и труднопрогнозируемые атаки, которые сложнее обнаружить и остановить.

Уязвимости на старте

Новые технологии порождают новые уязвимости, которые сложно выявить на ранних этапах внедрения. Защита зачастую не успевает за технологиями, особенно в условиях нехватки квалифицированных специалистов и зрелых решений, утверждают эксперты. 

На фоне этих тенденций появляется все больше сложных сценариев атак: уязвимости в новых технологиях создают возможности для злоумышленников, а ограниченные ресурсы и нехватка специалистов замедляют реакцию компаний.

Кроме того, с системными сложностями, обусловленными спецификой цифровой среды, сталкиваются расследования инцидентов и их правовая квалификация, отмечает руководитель практики цифрового права и ТМТ компании i-Legal Алина Танкова. По ее словам, к такой специфике относятся транзитный характер цифровых следов, стремительное развитие атакующих методик, а также каскадный эффект, когда одно правонарушение (например, утечка данных) влечет за собой целую серию других. «Ситуацию усугубляет практика утаивания инцидентов со стороны компаний, стремящихся избежать ответственности и репутационного ущерба», — добавляет она.

Целевая угроза растет

Угрозы со стороны целевых атак хакеров будут только нарастать, полагают эксперты. Количество кибератак на российские компании не снижается уже несколько лет. Мы не видим предпосылок к тому, чтобы общая ситуация изменилась в ближайшем будущем.

Геополитика продолжит играть важную роль в нарастании кибератак. При снижении напряженности активность хактивистов тоже снизится, а основную угрозу будут представлять киберпреступники, ориентированные на вымогательство и кражу данных, думают эксперты. В случае же усугубления геополитической ситуации возрастет число целевых атак на критическую инфраструктуру.

Человеческий фактор остается одним из наиболее слабых мест с точки зрения устойчивости компаний к кибератакам. Сотрудники различных компаний (порядка 40%) могут стать объектом фишинга — они в ходе тренировок кликали по подозрительным ссылкам. Чтобы минимизировать киберриски, организациям важно регулярно проводить тренинги для сотрудников, в том числе ИБ-специалистов, вне зависимости от размера предприятия и отрасли. Пудовкин отметил, что не менее 14% всех целевых атак на российские компании в 2025 г. были реализованы с использованием фишинга.

Организациям важно обеспечивать комплексную киберзащиту, регулярно проводить обучение сотрудников, заранее разрабатывать план по реагированию на случай кибератаки, чтобы снизить ущерб от потенциального инцидента, говорит Пудовкин. «Стандартные меры безопасности, адекватные риску и размеру предприятия, защита конечных точек, сетей, managed-решения (например, Managed Detection and Response) и продвинутые комплексные решения, такие как XDR, (Extended Detection and Response, EDR) в сочетании с качественными данными об угрозах (Threat Intelligence) позволяют выстроить многослойную киберзащиту», — добавил он.

Источник: https://www.vedomosti.ru/technologies/trendsrub/articles/2025/12/08/1160280-volnoi-kiberatak