Российские компании столкнулись с новой волной кибератак

В последние годы российские организации оказываются под пристальным вниманием злоумышленников. Количество целевых кибератак и их разрушительная сила увеличивается: хакеры выбирают конкретные отрасли и компании, чтобы максимизировать эффект – от утечек конфиденциальной информации до финансовых потерь и сбоев в критических системах. Геополитическая напряженность, развитие технологий и активное использование искусственного интеллекта (ИИ) делают российский цифровой ландшафт особенно уязвимым, требуя от компаний комплексной защиты и готовности к новым сценариям угроз.

Россия в прицеле

Российские организации стали приоритетной целью атак хакеров в глобальном масштабе, что связано с изменением геополитической обстановки. Согласно исследованию Positive Technologies (оно охватывало период с первого июля 2024 г. по 26 сентября 2025 г.), на Россию пришлось от 14% до 16% всех успешных кибератак в мире и 72% атак, зафиксированных в СНГ.

По данным центра исследования киберугроз Solar 4Rays группы «Солар», число хакерских группировок, атакующих именно компании из РФ, за 2025 г. выросло более чем в два раза. «Сейчас мы насчитываем более 70 групп, которые проводят кибератаки против России. Как минимум семь из них появились на отечественном ландшафте угроз в этом году», – приводит другие цифры руководитель команды аналитики Сyber Threat Intelligence в «Лаборатории Касперского» Кирилл Митрофанов. Впрочем, по его словам, раньше появление даже одного нового актора «было большим событием». «По данным нашей киберразведки угроз (threat Intelligence), прошедшим летом российские организации столкнулись с беспрецедентным числом кибератак, инциденты фиксировались практически ежедневно», – рассказывает он. Технический директор ИБ «Спикател» Евгений Пудовкин отметил, что за 10 месяцев 2025 г. количество целевых атак на российский бизнес выросло на 38% в сравнении с прошлым годом, до 16 000 инцидентов.

«Тренд этого года: атакующие группы демонстрируют достаточную мотивацию и ресурс, чтобы готовить все более масштабные и сложные операции. Показателен пример крупнейшей авиакомпании, когда, как утверждали хакеры, они находились внутри ее корпоративной сети более года», – указал эксперт. При этом общая доля целевых атак на бизнес, по его словам, не менее трети от общего объема киберинцидентов, нацеленных на российский бизнес и госсектор.

Что касается отраслей, на которые пришлась большая часть атак, то тут мнения экспертов несколько расходятся. «За три квартала текущего года самой атакуемой отраслью стало государственное управление», – говорит руководитель Bi.Zone Threat Intelligence Олег Скулкин. По его словам, на эту отрасль пришлось 13% от общего объема целевых атак. Согласно данным Positive Technologies, госсектор занимает второе место (11%), уступая лидерство промышленности. «Промышленность и госучреждения лидируют по количеству атак на российские организации, и в 2026 г. ситуация не изменится», – говорит Зиновкина. Пудовкин соглашается, что промышленность входит в число наиболее атакуемых отраслей: на нее пришлось в 2025 г. 27%, на телекоммуникационные компании – 24%, IT-компании – 17%, финансовый сектор – 12%, ритейл и медтех – по 10%. Схожие цифры называет и Скулкин, говоря о 11% атак на финансовые организации и логистику, 8% на электронную коммерцию и инженерию.

То есть специально выбранными целями хакеров становятся те отрасли, в которых сосредоточены ключевая инфраструктура и данные, представляющие наибольшую ценность для злоумышленников. Успешная операция преступников может привести к крупным финансовым потерям, утечке конфиденциальной информации или сбоям в критических инфраструктурных процессах.

Данные, власть, выкуп

«Наиболее распространенные последствия кибератак на организации в России – это утечка конфиденциальной информации и нарушение основной деятельности компаний. Эти два последствия часто взаимосвязаны», – рассказывает Зиновкина. По ее словам, по сравнению с 2023 г. и первой половиной 2024 г. доля успешных атак с утечкой информации увеличилась с 44% до 56%, а доля успешных атак, приводивших к нарушению деятельности компаний, выросла с 37% до 40%. Подобная тактика позволяет злоумышленникам добиться двойного эффекта: шантажировать организацию угрозой публикации или продажи украденных данных (так называемый double extortion) и требовать выкуп за восстановление доступа к системам, добавляет эксперт.

 «Чаще всего в последнее время злоумышленники монетизировали свою деятельность через вымогательство. Для этого атакующие, как правило, получали доступ к IT-инфраструктуре жертвы, а затем требовали выкуп за расшифровку данных», – отмечает Скулкин.

Руководитель ИБ-направления «Телеком биржи» Александр Блезнеков добавил, что далеко не всегда после выплаты выкупа компания может рассчитывать на то, что ее инфраструктура будет восстановлена, нередки случаи, когда после выкупа дешифратор так и не был предоставлен. Также, по словам эксперта, были в 2025 г. атаки с целью уничтожения инфраструктуры, сбора критически важной информации, кибершпионажа.

«Важная тенденция, которую мы наблюдаем: в этом году действия атакующих стали носить более деструктивный характер», – соглашается Митрофанов.

Действительно, важную часть целевых атак осуществляют государственно поддерживаемые кибершпионские структуры, говорит Зиновкина: «Их интересует не столько прибыль, сколько доступ к информации и стратегическое влияние. Цель – сбор разведданных, получение доступа к конфиденциальной информации и воздействие на политическую стабильность».

Пудовкин добавляет, что в 2025 г. целевые атаки наносили компаниям и серьезный репутационный ущерб. «Информация о сбоях в IT-системах компаний, у которых много клиентов-физлиц, быстро попадает в СМИ, потому что затрагивают большое число людей», – указывает эксперт. Громкий кейс с «Аэрофлотом», когда ответственность за атаку взяла на себя конкретная группировка, говорит о том, что целью злоумышленников в первую очередь были и самореклама и публичный резонанс.

ИИ выходит на фронт

В последнее время произошли и изменения в реализации атак. Директор по продуктам Servicepipe Михаил Хлебунов напомнил, что осенью 2025 г. были зафиксированы первые целевые атаки, реализованные практически без участия людей. Речь идет об отчете американской компании Anthropiс, которая сообщила, что была зафиксирована кибершпионская кампания, где злоумышленники использовали возможности ИИ в автономном режиме, то есть ИИ действовал как агент, выполняя атаки практически без человеческого вмешательства. «Использование ИИ злоумышленниками для создания софта для атак уже не экзотика, а усиливающийся тренд, который в 2026 г. будет только нарастать, тем более что для этого постоянно появляется вполне удобный инструментарий, который существенно снижает как стоимость атак, так и требования к техническим знаниям и навыкам злоумышленников», – указал эксперт.

Хлебунов также напомнил, что выход Kimi K2 Thinking даст злоумышленникам еще больше возможностей для атак. «Если раньше такие мощные ИИ-модели были ограничены API и правилами поставщика, то теперь инструмент с функцией планирования атак не имеет этих ограничений», – указывает эксперт. По его словам, это снимает последние барьеры для злоумышленников: можно создавать и редактировать сценарии атак, используя локальную ИИ (которую не ограничит вендор), без ограничений и слежки. То есть эпоха ручных атак закончилась, началась эра ИИ-кибершпионажа.

«Атакующие стали чаще использовать языковые модели (GPT, DeepSeek, Gemini, Claude и т. д.) для написания простых вредоносных программ. Так, LLM-модели активно использовала группировка Rare Werewolf для создания вредоносного программного обеспечения на PowerShell и C#», – добавляет Скулкин. Он отмечает, что в описанном Anthropiс случае ИИ выполнил порядка 80–90% всей «работы», но было несколько моментов, где потребовалось вмешательство человека.

ИИ способен автоматически подбирать уязвимости, персонализировать фишинг, обходить защиту и адаптироваться без человеческих задержек и ошибок, говорит Пудовкин. В итоге злоумышленник может запускать массовые, умные и труднопрогнозируемые атаки, которые сложнее обнаружить и остановить.

Уязвимости на старте

«Новые технологии порождают новые уязвимости, которые сложно выявить на ранних этапах внедрения. Защита зачастую не успевает за технологиями, особенно в условиях нехватки квалифицированных специалистов и зрелых решений», – считает Зиновкина. Кроме того, по ее словам, лепту в увеличение уязвимостей вносит продолжающееся на российском рынке импортозамещение. «Переход на отечественные IT-решения часто происходит в сжатые сроки, без должного внимания к анализу их защищенности, что упрощает задачу злоумышленникам, особенно при наличии уязвимостей нулевого дня или утечек исходного кода», – говорит она.

На фоне этих тенденций появляется все больше сложных сценариев атак: уязвимости в новых технологиях создают возможности для злоумышленников, а ограниченные ресурсы и нехватка специалистов замедляют реакцию компаний.

Кроме того, с системными сложностями, обусловленными спецификой цифровой среды, сталкиваются расследования инцидентов и их правовая квалификация, отмечает руководитель практики цифрового права и ТМТ компании i-Legal Алина Танкова. По ее словам, к такой специфике относятся транзитный характер цифровых следов, стремительное развитие атакующих методик, а также каскадный эффект, когда одно правонарушение (например, утечка данных) влечет за собой целую серию других. «Ситуацию усугубляет практика утаивания инцидентов со стороны компаний, стремящихся избежать ответственности и репутационного ущерба», – добавляет она.

Целевая угроза растет

Угрозы со стороны целевых атак хакеров будут только нарастать, полагают эксперты. «Количество кибератак на российские компании не снижается уже несколько лет. Мы не видим предпосылок к тому, чтобы общая ситуация изменилась в ближайшем будущем», – подчеркивает Митрофанов.

Геополитика продолжит играть важную роль в нарастании кибератак, полагает Зиновкина. «При снижении напряженности активность хактивистов тоже снизится, а основную угрозу будут представлять киберпреступники, ориентированные на вымогательство и кражу данных», – рассуждает она. В случае же усугубления геополитической ситуации возрастет число целевых атак на критическую инфраструктуру, добавляет Зиновкина.

«Человеческий фактор остается одним из наиболее слабых мест с точки зрения устойчивости компаний к кибератакам», – рассказывает Митрофанов. По его словам, сотрудники различных компаний (порядка 40%) могут стать объектом фишинга – они в ходе тренировок кликали по подозрительным ссылкам. «Чтобы минимизировать киберриски, организациям важно регулярно проводить тренинги для сотрудников, в том числе ИБ-специалистов, вне зависимости от размера предприятия и отрасли», – сказал он. Пудовкин отметил, что не менее 14% всех целевых атак на российские компании в 2025 г. были реализованы с использованием фишинга.

Организациям важно обеспечивать комплексную киберзащиту, регулярно проводить обучение сотрудников, заранее разрабатывать план по реагированию на случай кибератаки, чтобы снизить ущерб от потенциального инцидента, говорит Пудовкин. «Стандартные меры безопасности, адекватные риску и размеру предприятия, защита конечных точек, сетей, managed-решения (например, Managed Detection and Response) и продвинутые комплексные решения, такие как XDR, (Extended Detection and Response, EDR) в сочетании с качественными данными об угрозах (Threat Intelligence) позволяют выстроить многослойную киберзащиту», – добавил он.

Стандартных средств защиты уже недостаточно, так как злоумышленники научились обходить их без труда. Так, использование решений класса EDR становится новой нормой. «При этом важно помнить, что средства защиты – лишь инструменты. Без специалиста, способного интерпретировать оповещения и реагировать на них, трудно говорить о полноценной защите», – добавляет Скулкин.