Исследователи BI.ZONE DFIR и BI.ZONE Compromise Assessment под | SecAtor

Исследователи BI.ZONE DFIR и BI.ZONE Compromise Assessment подвели итоги, рассказав об актуальных тенденциях по части того, как российские компании справлялись с кибератаками в 2025 году.

По данным исследователей, 2025 год подтвердил главную тенденцию последних лет: количество кибератак на российские компании продолжает расти, а инциденты становятся все более сложными и разрушительными.

Кибератаки постоянно эволюционируют, но базовые мотивы и методы злоумышленников остаются прежними: финансовая выгода доминирует, а фишинг - самый распространенный способ проникновения.

Тем не менее каждый год выделяется всплесками активности в отдельных направлениях:

- 2022: Россия столкнулась с заметным ростом дефейсов и хактивистских кампаний.

- 2023: акцент сместился на публикации утечек и массовые сливы данных.

- 2024: злоумышленники активно шифровали инфраструктуры организаций.

- 2025: все чаще использовались вайперы, полностью уничтожающие как данные, так даже и сетевое оборудование.

Современные атаки становятся многоэтапными, злоумышленники присутствуют в инфраструктуре все дольше и используют легитимные инструменты администрирования в комбинации с самописным вредоносным ПО.

В таких условиях ключевым фактором устойчивости становится не только защита периметра, но и скорость реагирования, глубина анализа и готовность к восстановлению.

Из ключевых метрик 2025 года (среднее значение):

- Зафиксированы публичные упоминания о компрометации более чем 40 российских компаний. В ряде инцидентов последствия распространялись за пределы инфраструктуры и затрагивали работу сервисов, с которыми взаимодействуют обычные пользователи.

- Срок присутствия злоумышленника в инфраструктуре - 42 дня (12,5 минуты - 181 день), время восстановления основной функциональности бизнес‑процессов - 3 дня, а полной - 14 дней.

- Количество хостов в инфраструктуре, с которой работали команды DFIR и CA - 3484 (в самом крупном инциденте - до 50 000), число пользователей - 18 159 (в крупных - до 200 000), число хостов-точек закрепления атакующих - 5 (максимум - 14).

- Распределение инцидентов по отраслям: ритейл - 31%, IT - 26%, транспорт, госсектор и телеком - по 11%, образование и ТЭК - по 5%.

Из ключевых тенденций атак и новых угроз 2025 года:

- Если раньше основной целью было получение выкупа, то в этом году все чаще встречаются случаи, когда злоумышленники сразу переходят к уничтожению инфраструктуры.

- В инцидентах с классическим шифрованием по‑прежнему популярны известные инструменты - Babuk, LockBit и Rancoz.

- Атакующие продолжают вести публичные телеграм‑каналы, в которых регулярно публикуют данные, даже если фактический ущерб компании был минимален.

- Злоумышленники стремятся устойчиво закрепиться в инфраструктуре и организовать туннели удаленного доступа. В Linux безальтернативным вариантом остается gsocket, а в среде Windows - все чаще отдается предпочтение Localtonet.

- Число атак через подрядчиков существенно выросло: в 2025 году около 30% всех инцидентов (ранее - 15%).