Исследование сложных кибератак в 1 полугодии

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» провели исследование динамики киберугроз в 1 полугодии 2025 по сравнению с 1 полугодием 2024 г. Об этом пишет ITBestsellers.

Рис. 1. Цели атакующих в I-м полугодии 2025 г.

Рис. 2. Цели атакующих в I-м полугодии 2024 г.

В 1 половине 2025 года шпионаж и финансовая выгода стали главными целями профессиональных хакеров почти в 90% атак, в то время как доля хактивизма постепенно снижается, но все еще представляет серьезную опасность. Вместе с этим злоумышленники стали тщательнее выбирать жертв — число атакованных индустрий за год сократилось на 40%, а на одну организацию теперь могут одновременно нападать сразу две-три группировки. Такие выводы следуют из отчета о хрониках целевых кибератак в 1 полугодии 2025 г., подготовленного экспертами центра исследования киберугроз Solar 4RAYS ГК «Солар», архитектора комплексной кибербезопасности.

Отчет включает в себя данные, полученные в ходе расследования сложных кибератак, с которыми не справляются автоматизированные средства защиты.

Так, в первом полугодии большая часть расследований (68%) пришлась на атаки с целью шпионажа — это на 7 п. п. больше, чем в 1 полугодии 2024 г. Доля вредоносной активности, направленной на вымогательство или майнинг криптовалют, тоже выросла на 8 п. п. год к году, до 20%. В свою очередь, количество атак хактивистов с целью привлечения внимания (включая уничтожение инфраструктуры и публикации украденных баз данных) сократилось на 4 п. п., до 8% — для сравнения, еще в 2023 г. этот показатель составлял 35%. По мнению экспертов Solar 4RAYS, такая статистика говорит о смене целей хакеров. Теперь они заинтересованы не просто в громких кейсах взломов, а в получении денежных средств и ценной информации о деятельности ведущих российских организаций — особенно в период изменения геополитической обстановки (см. рис. 1 и 2).

Вместе с этим число атакованных индустрий в 1 полугодии сократилось на 40% год к году, до 6 — это госсектор (36% всех расследований), промышленность (20%), ИТ-отрасль (12%), медицина (12%), энергетика (12%) и ритейл (8%). При этом доля атак год к году на госорганизации выросла на 5 п. п., а на промышленные предприятия — на 11 п. п.

Отдельно отмечается, что эксперты Solar 4RAYS в этом полугодии фиксировали случаи, когда сразу несколько хакерских группировок, не сговариваясь, атаковывали одну и ту же организацию — каждая со своими целями. Все это говорит о том, что теперь злоумышленники выбирают для взлома самые привлекательные организации из наиболее важных отраслей, которые прямо влияют на экономику и безопасность страны и ее граждан.

В большинстве случаев (46%) для совершения атаки хакеры использовали уязвимости в веб-приложениях, еще в 40% — скомпрометированные учетные записи. 7% расследованных атак начинались с фишинга, еще столько же — с атак через поставщиков, подрядчиков или клиентов.

Несмотря на то, что большая часть атак (32%) длилась не больше недели, наблюдается тренд на увеличение промежутка времени, в течение которого хакеры находились в целевой инфраструктуре. Так, в I полугодии доля инцидентов продолжительностью до месяца выросла на 7 п. п., до 16%, а атак длительностью до двух лет — на 10 п. п., тоже до 16%. По данным специалистов Solar 4RAYS, это также говорит о высокой доле хакеров, нацеленных на шпионаж. Однако бывают и исключения — в одном из расследований эксперты обнаружили в инфраструктуре майнер, который проработал там незамеченным около 10 лет.

«Практика также показывает, что даже немногочисленные, но яркие атаки хактивистов с деструктивными целями все еще представляют серьезную опасность. Это говорит о необходимости всем организациям всерьез заняться построением комплексной кибербезопасности», — подчеркнули в компании.

Чтобы снизить вероятность возникновения кибератак, эксперты Solar 4RAYS рекомендуют вовремя обновлять ПО и веб-приложения, контролировать удаленный доступ в инфраструктуру, соблюдать парольные политики, использовать продвинутые средства защиты (EDR, SIEM) наряду с классическим защитным ПО, а также повышать киберграмотность сотрудников.