Более половины российских компаний подверглись хакерским атакам за последний год

За год, прошедший с октября 2024 г. до конца сентября 2025 г., доля атак, в которых хакерам удалось полностью или частично зашифровать инфраструктуру или вывести из работы критически важные сервисы, достигла 55%. В годовом выражении доля таких атак выросла на 5 процентных пунктов, а по сравнению с отчетами за 2021–2023 гг. более чем на треть – с 32%. Это следует из отчета Positive Technologies, в котором было проанализировано более 100 инцидентов за указанный период. В ходе каждого четвертого такого инцидента хакерам удавалось выгрузить конфиденциальную информацию.

Цель таких атак – не получение выкупа, а нанесение максимального ущерба, уточняет руководитель отдела защиты информации InfoWatch ARMA Роман Сафиуллин.

Количество случаев компрометаций IT-инфраструктуры российских компаний растет год от года и у этого не только политические, но и экономические причины, говорит директор центра киберзащиты Cloud.ru Сергей Волков. К тому же с каждым годом снижается порог входа в комьюнити атакующих, добавляет он. Это полноценный бизнес, который, так же как и любой другой, нацелен на достижение финансовых результатов, подчеркивает Волков. Кроме этого в подобных атаках злоумышленники используют схемы двойного и тройного вымогательства, например требуют у организации выкуп за расшифровку данных и за их неразглашение, а затем вымогают деньги у клиентов компании, чьи данные оказались в утечке, рассказывает гендиректор компании Security Vision Руслан Рахметов.

Также по сравнению с отчетным периодом прошлого года (с октября 2023 г. по конец сентября 2024 г.) почти в 2 раза – с 15 до 28% – увеличилась доля атак через подрядные организации. Такой тип атак уже несколько лет стабильно занимает высокие места в рейтингах угроз, в частности 2-е место в 2025 г. по версии IPA (Information-technology Promotion Agency, Japan). По оценкам Gartner, в 2025 г. 45% организаций по всему миру столкнутся с атакой на цепочку поставок.

Вместе с тем в инфраструктуре почти половины организаций (43%) были обнаружены следы известных хакерских группировок, при этом в прошлом периоде этот показатель составлял 39%, говорится в отчете компании. Такие группы, часто спонсируемые государствами, преследуют стратегические цели, напомнил Бедеров: кражу интеллектуальной собственности, слежку или подготовку к масштабной атаке на критическую инфраструктуру в будущем.

По данным Positive Technologies, более чем в четверти проанализированных инцидентов (26%) киберпреступники смогли проникнуть во внутреннюю сеть организаций, воспользовавшись тем, что отдельные сегменты информационной инфраструктуры компании не были изолированы друг от друга. Другим не менее опасным недостатком киберзащиты компаний стали устаревшие версии ОС и ПО, говорится в отчете. В 23% рассматриваемых в отчете проектов атакующие воспользовались отсутствием двухфакторной аутентификации на узлах, а еще в 21% случаев успеху кибератак способствовало пренебрежение антивирусными решениями или их эффективной настройкой, выяснили исследователи.

В ходе одного из расследований было установлено, что хакеры оставались незамеченными в инфраструктуре одной из российских компаний почти 3,5 года, подробности этого инцидента авторы исследования не раскрыли. Многочисленные группы известны в том числе тем, что ставят одной из своих задач незаметное закрепление в инфраструктуре, говорит руководитель команды аналитики Cyber Threat Intelligence в «Лаборатории Касперского» Кирилл Митрофанов. Долгое нахождение в инфраструктуре может грозить более весомым ущербом для компании, поскольку чем дольше атакующие находятся внутри, тем больше у них времени на исследование, шпионаж и определение деструктивного вектора воздействия на компанию, поясняет он.

Случай с нахождением в сети 3,5 года хотя и достаточно редкий, но абсолютно не уникальный, отмечает Сафиуллин. Например, говорит эксперт, можно вспомнить атаку на принадлежащую Marriott сеть отелей Starwood, где злоумышленники сидели в системе бронирования четыре года (с 2014 по 2018 г.), похитив данные более чем 500 млн клиентов. Подобное длительное пребывание хакеров в инфраструктуре компании грозит не только утечкой большого количества данных, добавляется риск внедрения множества «закладок» в системе, которые могут быть использованы для проведения повторной атаки через какое-то время, отмечает эксперт.

В то же время старший специалист департамента комплексного реагирования на киберугрозы экспертного центра безопасности Positive Technologies Илья Денисов, отмечает, что компании стали быстрее обнаруживать инциденты: в среднем с начала вредоносной активности до ее выявления проходит девять дней, годом ранее это занимало в среднем 17 дней.

Опрошенные «Ведомостями» эксперты подтверждают, что тенденция к ускорению выявления атак действительно есть. Это связано с более активным использованием автоматизированных систем обнаружения и реагирования, особенно в крупных компаниях, уточняет Волков. В то же время, такие громкие публичные кейсы этого года, как атаки на «Аэрофлот», «Столички» и «Винлаб», говорят о том, что у многих даже крупных и серьезно относящихся к ИБ компаний по-прежнему есть слепые зоны в инфраструктуре, чем и пользуются злоумышленники, напоминает руководитель ИБ-направления «Телеком биржи» Александр Блезнеков.

На фоне сокращения среднего времени обнаружения атак злоумышленники переключаются на более легкие цели – подрядчиков этих крупных компаний, которые не могут вкладывать в развитие собственной безопасности сопоставимое количество ресурсов, продолжает он.

И атаки инфраструктуры подрядчиков будут популярны еще долгое время, опасается Волков. Так как с помощью внедрения в инфраструктуру небольшой компании можно «пройти под радарами» более крупной или обеспечить получение доступа сразу к нескольким крупным компаниям, уточняет руководитель проектов компании «Интеллектуальная аналитика» Тимофей Воронин.

По словам Волкова, частичным решением этой проблемы может стать перенос всей инфраструктуры или ее критической части в облако: это дает бизнесу возможность работать в защищенных средах без необходимости закупать и встраивать в инфраструктуру ИБ-решения, так как за это будет отвечать провайдер. Но кардинально изменить этот тренд может лишь строгая система контроля цепочки поставок и связанных с ней рисков со стороны заказчиков и жесткие требования к контрагентам в плане ИБ, а также сегментация доступов и регулярный аудит, резюмировал Блезнеков.