Форус
+7 (3952) 78-00-00
|search| login

Киберугрозы в первом квартале 2025: глобальные тенденции и фокус на Россию

<p style="text-align: justify;"> В современном цифровом мире киберугрозы становятся всё более изощрёнными и распространёнными. Хакеры постоянно ищут новые уязвимости в системах безопасности, а их атаки могут привести к серьёзным последствиям – от финансовых потерь до компрометации личных данных. Чтобы лучше понять текущую ситуацию и узнать о самых актуальных угрозах, мы обратились к руководителю направления ГК «Форус» – Андрею Толстикову. В своей статье он делится профессиональным мнением и анализом современных киберугроз, предлагая рекомендации по защите информационных систем и данных. </p> <p style="text-align: justify;"> </p> <h3 style="text-align: justify;"> Глобальный ландшафт угроз Q1 2025 </h3> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> <img hspace="10" alt="Андрей Толстиков" src="/upload/medialibrary/301/8g4pyssnvlp1a47313m8iidei0ybumij.jpg" title="Андрей Толстиков" align="right">Первый квартал 2025 года ознаменовался резким ростом кибератак по всему миру. По сравнению с предыдущим годом количество атак на организации в неделю увеличилось на <b>47%</b>, в среднем они подвергались примерно <b>1925 атакам еженедельно</b>. Особенно возросла активность вымогателей: число атак с использованием <b>программ-вымогателей (ransomware) увеличилось на 126%</b> по сравнению с началом 2024-го. Киберпреступники продолжают адаптироваться и усложнять тактику, проверяя на прочность даже хорошо защищённые сети. </p> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> <b>Наиболее атакуемые отрасли в мире</b> в 1 квартале 2025 – образование, государственный сектор и телеком. По данным Check Point, <b>образовательный сектор испытал наибольшее давление</b> – в среднем 4484 атаки в неделю на одну организацию (рост на 73% год к году). <b>Государственные учреждения</b> оказались на втором месте (2678 атак в неделю, +51%), а наибольший относительный всплеск произошёл в <b>телекоммуникациях</b> (+94%, до 2664 атак в неделю). Это связывают с широкой цифровизацией этих сфер и их открытостью, делающей их удобной мишенью для злоумышленников. Регионально лидером по интенсивности атак стала Африка (в среднем 3286 атак в неделю на организацию), а самый бурный рост зафиксирован в Латинской Америке (+108% год к году). </p> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> <b>Атакующие инструменты и техники</b> демонстрируют эволюцию. Злоумышленники всё чаще обходятся без файлового вредоносного ПО, полагаясь на угон учётных данных и легитимные средства администратора. Так, до <b>79% обнаруженных вторжений</b> вообще не содержали отдельных вредоносных файлов, используя техники «living off the land» (легитимные утилиты, скрипты, украденные учётные записи). Тем не менее, классическое вредоносное ПО никуда не исчезло: оно фигурировало примерно в двух из трёх успешных атак на организации в конце 2024 года, и эта тенденция сохраняется. В структуре вредоносного программного обеспечения преобладают <b>программы-вымогатели (42 %)</b>, за ними следуют <b>RAT/Trojans (38 %), а также шпионское ПО (20 %)</b>. Отмечается рост доли шпионских программ (infostealers) при атаках на компании, которые нередко внедряются через социальную инженерию для кражи паролей и последующей эскалации привилегий. В более чем половине успешных атак на бизнес злоумышленники добивались утечки конфиденциальных данных, а примерно в трети – нарушали работу ключевых сервисов. </p> <p style="text-align: justify;"> </p> <h3 style="text-align: justify;"> Социальная инженерия и новые уловки </h3> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> Социальная инженерия остаётся одним из главных методов первоначального проникновения. В первом квартале фиксировался всплеск <b>фишинговых рассылок с вложениями в виде архивов</b> (например, 7z), наряду с традиционными документами Word. Эксперты Positive Technologies отмечают появление техники вложения испорченных архивов, содержащих вредоносный код, который активируется при «восстановлении» файла – аналогично приёму с заражёнными документами Office. Более того, злоумышленники научились объединять несколько ZIP-файлов особым образом, чтобы обойти детектирование антивирусов. В результате получатель получает вроде бы неповреждённый архив, который при распаковке устанавливает malware. Ожидается, что в 2025 году такие методы (в связке с недавно раскрытой уязвимостью CVE-2025-0411 в механизме Mark of the Web для 7-Zip) будут активно использоваться для заражения систем. </p> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> <b>Фишинговые атаки, нацеленные на обход MFA,</b> также набирают обороты. Злоумышленники развивают услуги Phishing-as-a-Service и создают всё более правдоподобные копии корпоративных страниц входа, включая фальшивые окна MFA. Например, в конце 2024 года обнаружена кампания, имитировавшая страницы входа почтового сервиса Telstra и целившаяся в сотрудников AT&amp;T, чтобы перехватить их одноразовые коды. В 2025-м ожидается дальнейшее совершенствование техник обхода многофакторной аутентификации, включая фишинг с поддельными CAPTCHA (приём, широко применявшийся с 3 квартала 2024). Появляются и новые ухищрения – тактика «ClickFix», где жертву заставляют кликнуть по якобы необходимому элементу (как вариант – кнопка для исправления проблемы безопасности), что на деле запускает заражение. В последние месяцы 2024-го и начале 2025-го активно сообщалось о подобных кампаниях, что подчёркивает важность киберграмотности сотрудников. </p> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> Одним из тревожных трендов стало<b> распространение шпионских программ</b> (инфостилеров). В 4 квартале 2024 их использование в атаках на организации выросло, и эта волна перешла в 2025 год. Злоумышленники применяют инфостилеры для тихого хищения паролей и других данных, зачастую внедряя их через фишинговые письма с теми же фальшивыми CAPTCHA или посредством SEO-позиционирования вредоносных сайтов и рекламы (malvertising). Крупный инцидент произошёл в розничной сети Hot Topic (США): данные как минимум <b>54 миллионов клиентов</b> утекли после того, как компьютер компании был заражён инфостилером. Расследование показало, что на заражённой машине находились учётные данные от облачных сервисов компании (Snowflake и Looker), что и позволило атакующим похитить массив клиентской информации. Ожидается, что в 2025 году авторы malware продолжат совершенствовать такие программы, делая их более незаметными и способными обходить защиты (включая MFA). </p> <p style="text-align: justify;"> </p> <h3 style="text-align: justify;"> Атаки вымогателей и киберкриминал </h3> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> <b>Ransomware-группировки</b> остаются самой громкой угрозой начала 2025 года. Они не только увеличили количество атак, но и расширили охват жертв. За квартал по всему миру было зарегистрировано рекордное число успешных вымогательских атак – по оценкам, <b>более 2 000 организаций пострадали</b> только за 1 квартал (исторический максимум для одного квартала). Киберпреступный рынок поддерживает этот рост: отмечен всплеск предложений услуг <b>«вымогательство как сервис» (RaaS)</b> и активность брокеров доступа. В 2024 году число объявлений о партнёрстве в RaaS выросло на 44%, а на <b>лейк-сайтах</b> (специальных ресурсах для публикации украденных данных) было выложено более <b>5 000 записей о взломах</b> – на 10% больше, чем годом ранее. Эта тенденция явно продолжилась в 2025-м. </p> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> Выбор жертв у вымогателей тоже имеет свою специфику. По данным Check Point, чаще всего в начале 2025 года от ransomware страдали компании сектора <b>товаров народного потребления и услуг</b> (13,2% всех известных инцидентов), далее <b>бизнес-сервисы</b> (9,8%) и <b>промышленное производство</b> (9,1%). Существенную долю жертв составили также организации <b>здравоохранения</b> (7,2%). Злоумышленники продолжают применять схему двойного вымогательства – шифрование данных с одновременным похищением и угрозой публикации – что заставляет платить даже тех, у кого есть резервные копии. Наглядный пример – атаки на медицинские учреждения: в США в январе сразу несколько крупных организаций сообщили о шифровании данных пациентов. В больничной сети Frederick Health (штат Мэриленд) из-за ransomware пришлось отключать ИТ-системы и переносить приёмы пациентов, а один из крупнейших центров крови, New York Blood Center, также был парализован из-за шифрования серверов. Ситуация осложняется тем, что на кону стоят жизни людей, и медучреждения вынужденно платят, чтобы быстрее вернуть данные. </p> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> Помимо вымогателей, <b>финансово мотивированные атаки</b> приняли и другие формы. Продолжают фиксироваться крупные <b>кражи криптовалюты:</b> в феврале 2025 года группировка Lazarus (КНДР) осуществила крупнейшую в истории крипто-кражу, похитив эквивалент $1,5 млрд в Ethereum с биржи Bybit. Хакеры вмешались в процесс перевода средств между «холодным» и «горячим» кошельками биржи, подменив логику смарт-контракта, и вывели свыше 400 тысяч ETH на подконтрольные адреса. Эта атака подтверждает тренд: северокорейские APT активно нацелены на криптофинансовый сектор, чтобы пополнить казну режима, и их технические возможности находятся на высочайшем уровне. </p> <p style="text-align: justify;"> </p> <h3 style="text-align: justify;"> АРТ-группы и кибершпионаж </h3> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> <b>Продвинутые постоянные угрозы (APT),</b> спонсируемые государствами, продолжают формировать ландшафт кибершпионажа и саботажа. В 2024 году было отмечено <b>828 целевых APT-атак</b>, что на 58% больше, чем годом ранее. Этот рост напрямую связан с геополитической напряжённостью – киберпространство стало продолжением конфликтов в Европе и на Ближнем Востоке. В 2025-м эта тенденция не ослабевает: <b>государственные хакеры атакуют правительственные сети</b><b>, промышленность, финансы и ИТ-сектор</b> в поисках стратегических данных. По данным Group-IB, в 2024 году самыми частыми целями кибершпионов были органы власти (15,5% APT-атак), производственные предприятия (4,8%), финансовые организации (3,8%), IT-компании (3,5%) и научные учреждения (2,3%). </p> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> Особо активным остаётся <b>китайский кибершпионаж</b>. Американские спецслужбы предупреждают, что Китай ведёт масштабные кампании по внедрению в критическую инфраструктуру – например, операции Volt Typhoon и Salt Typhoon, где обнаружено присутствие китайских хакеров в сетях энергетики и телекоммуникаций США. Цель – заложить «спящие» бэкдоры на случай обострения отношений. В оценке разведки США прямо указано, что КНР обладает возможностями вывести из строя инфраструктуру противника в случае конфликта. Одновременно <b>российские АРT-группы</b> продолжают глобальные атаки: так, французский МИД в апреле 2025 официально обвинил хакеров из группы APT28 (связанной с ГРУ) во взломе национальных сетей и призвал к международным мерам против подобных. действий. <b>Иранские</b> и <b>северокорейские</b> хакеры также активны: Иран фокусируется на атаках против Ближнего Востока и западных организаций (в том числе в сфере энергетики и транспорта), а КНДР, помимо краж финансов, замечена и в шпионаже (например, кампания Lazarus против химического сектора) – всё это для продвижения своих геополитических интересов. </p> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> На фоне геополитики вырос и масштаб <b>хактивизма</b> – атак, мотивированных идеологией. В первом квартале 2025 года заметны акции групп, действующих из политических побуждений. Продолжается противостояние пророссийских и проукраинских хактивистов. Хактивизм стал настолько привычным фоном, что эксперты отмечают: он превращается в часть ежедневной реальности киберпространства. </p> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> </p> <h3 style="text-align: justify;"> Россия: особенности киберугроз в начале 2025 года </h3> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> В Рунете первый квартал 2025 также выдался напряжённым, хотя динамика локальных инцидентов имела свою специфику. По данным компании PRO32, общее <b>число зафиксированных киберугроз в России снизилось на 18%</b> относительно конца 2024 года. Однако, структура атак изменилась: наблюдается <b>доминирование троянских программ</b>, а доля сетевых атак выросла. <b>Трояны составили 76% всех обнаруженных угроз</b> в России за 1 квартал, уверенно удерживая лидерство. Речь идёт о широком классе вредоносного ПО – от удалённых администраторских троянов (RAT) до инфостилеров и бэкдоров. На втором месте – сетевые атаки (12%), доля которых удвоилась по сравнению с предыдущим кварталомgazeta.ru. Это может говорить о смещении акцента злоумышленников на более скрытные методы проникновения, такие как сканирование и эксплуатация уязвимостей в сервисах, Brute Force атак и т.д. Для сравнения, доля вымогателей в общем объёме инцидентов по России невелика – около 4% (значительно ниже, чем их вклад в глобальные атаки). Эксперты отмечают, что рост доли сетевых атак при одновременном уменьшении общего числа событий указывает на изменение качества угроз: атаки стали более точечными и сложными, требующими пристального внимания. </p> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> <b>Массовые фишинговые кампании</b> затронули и российские организации. В марте аналитики F6 сообщали о широкомасштабной рассылке, нацеленной на компании в России и СНГ. Группа, известная как <b>Hive0117</b>, провела серию фишинговых атак с подменой отправителей под реальные организации, зарегистрировав правдоподобные домены. Целями стали сразу несколько отраслей: <b>медиа, туризм, финансовый и страховой сектор, промышленность, ритейл, энергетика, телеком, транспорт и биотехнологии</b>. Эта кампания была финансово мотивированной – предположительно с целью хищения денег и данных. Для закрепления в системах жертв злоумышленники использовали вредоносный VPO DarkWatchman – продвинутый файл-less бэкдор, способный незаметно воровать данные. По данным F6, группа Hive0117 действует с 2022 года и регулярно обновляет инфраструктуру рассылки, что говорит о долговременной опасности для российских компаний. </p> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> Особняком стоят <b>DDoS-атаки в Рунете</b>, которые в 1 квартале 2025 резко усилились под влиянием мировых событий. Согласно данным Solar JSOC (Ростелеком-Солар), за первые три месяца на клиентов их Anti-DDoS сервиса было совершено <b>10,7 тысячи DDoS-атак</b> только в нефтегазовом секторе. В среднем на одну нефтегазовую компанию пришлось 27 атак за квартал, что на 67% больше, чем год назад. Всплеск пришёлся на январь – сразу после введения новых санкций против российского ТЭКа США: тогда каждая нефтегазовая компания пережила в среднем по 37 DDoS-навал за месяц (в 9 раз больше, чем в январе 2024). В феврале интенсивность временно спала, но в марте снова вернулась на высокий уровень, вывел нефтегаз в <b>топ-5 наиболее атакуемых отраслей по DDoS</b>. </p> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> <b>Государственный сектор РФ</b> традиционно в фокусе атак: по среднему числу DDoS-ударов на одну организацию госсектор занял <b>1-е место в рейтинге</b> Solar JSOC в 1 квартале 2025. Всего за квартал госструктуры пережили около 15,5 тыс. DDoS-атак. <b>Банковско-финансовая отрасль – </b>на втором месте: на неё пришлось 18,7 тыс. DDoS (несмотря на снижение активности по сравнению с концом 2024). Причём <b>82% всех DDoS на банки произошли в марте – </b>всплеск связан с резонансными событиями (например, переговорами США и Украины, которые вызвали волну идеологических атак). Под ударом также находился <b>телеком</b> – суммарно 18,8 тыс. DDoS за квартал. В числе жертв отмечались и IT-компании (6,7 тыс. атак). География атак внутри страны неравномерна: сильнее всего доставалось Москве (суммарно свыше 60 тыс. DDoS-вылетов по столичным организациям), далее шли регионы с развитой промышленностью – Урал (12 тыс.), Сибирь (13 тыс.), Поволжье (14 тыс.). Эти цифры отражают как интерес хактивистов к крупным городам и критическим организациям, так и большую концентрацию уязвимой инфраструктуры в ведущих регионах. </p> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> Отдельного внимания заслуживает <b>бурный рост веб-атак на сайты</b> российских компаний. По данным Ростелеком-Солар, в первом квартале 2025 года зафиксировано<b> 801,2 млн веб-атак</b> – вдвое больше, чем за тот же период годом ранее. Анализ проводился на выборке из 134 организаций различных отраслей, защищённых сервисом Solar WAF. <b>Логистические сервисы</b> стали самой атакуемой отраслью: на один из крупных ресурсов логистики было совершено 18,3 млн атак, что в 5500 раз больше, чем год назад! Основной метод – флуд тяжёлыми запросами с помощью ботов, использующих фейковые номера заказов, чтобы перегрузить серверы. В топ-5 отраслей по веб-атакам вошли также: государственный сектор, ритейл, грузовые и пассажирские перевозки (транспорт) и нефтегазовый сервис. Таким образом, помимо логистики, наиболее страдали именно ключевые инфраструктурные и потребительские отрасли. Эксперты Solar отмечают, что хакеры всё чаще сканируют сайты на уязвимости – число сканирующих попыток выросло в 5,4 раза (до 678 млн) за год. Также <b>в 3 раза участились сложные веб-атаки</b>, обходящие простые средства защиты. Эти атаки включают эксплуатацию уязвимостей веб-приложений, SQL-инъекции, обход WAF и пр. Данная статистика подчёркивает: российскому бизнесу, особенно в сфере онлайн-сервисов, необходимо уделять больше внимания защите веб-ресурсов. </p> <p style="text-align: justify;"> </p> <h3 style="text-align: justify;"> Атаки на критические отрасли: кто пострадал больше всех </h3> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> Как глобально, так и в России киберпреступники выбирали жертв не случайно – прослеживается концентрация атак на определённые сферы. Ниже приведён краткий обзор по отраслям, наиболее затронутым в 1 квартале 2025: </p> <p style="text-align: justify;"> </p> <ul class="symbol-marker-list"> <li><b>Государственный сектор и органы власти.</b> Правительства по всему миру – постоянная мишень как для шпионажа, так и для демонстративных атак. Во всём мире госсектор стал второй по частоте мишенью киберпреступников (сотни атак в неделю на организацию). В России на госструктуры направлялось особенно много DDoS-атак (лидер по средней интенсивности), а также фишинговых кампаний с целью компрометации почтовых переписок и утечки данных. Государственные информационные системы интересны как иностранным разведкам (APT-группы пытаются получить доступ к секретной информации), так и идеологическим хактивистам, стремящимся нарушить работу государственных сервисов. 1 квартал 2025 принёс новые случаи обнародования конфиденциальных данных госорганов в разных странах, и даже официальные обвинения: например, Франция прямо указала на российских хакеров APT28 во взломе своих государственных сетей. Это подтверждает, что правительства остаются на передовой линии киберфронта.</li> <li><b>Финансы и банки.</b> Финансовый сектор традиционно привлекателен для киберпреступности из-за возможности быстрого монетизирования атак. В первом квартале наблюдался <b>бум атак на банки и финорганизации</b>. В России, по оценкам SOC Red Security, количество атак на финсектор <b>выросло более чем вдвое</b> по сравнению с началом 2024 года. Solar JSOC зафиксировал десятки тысяч DDoS на банки (особенно в марте), также отмечались случаи фишинговых атак на клиентов банков и попытки компрометации межбанковских систем. На глобальной арене банки и фонды также сталкивались с вымогателями и утечками данных. Кроме того, <b>криптовалютные площадки</b> – новая «кровеносная система» финансов – подверглись сверхкрупным ограблениям, самым громким из которых стал взлом биржи Bybit на $1,5 млрд силами северокорейской группы. Таким образом, финансовый сектор в 1 квартале 2025 находился под огнём как киберпреступников, охотящихся за деньгами, так и государств-изгоев, ищущих способы обхода санкций через киберкражи.</li> <li><b>Здравоохранение.</b> Медицинские организации по всему миру продолжали страдать от кибератак, часто с тяжёлыми последствиями. Ранее, в 2024-м, в США был случай, когда атака на крупнейшего платежного процессора в здравоохранении привела к перебоям в выписке рецептов и работе скорой помощи. В начале 2025 года ситуация не улучшилась: несколько больниц и клиник стали жертвами ransomware. Помимо упомянутых случаев в США, кибернападения на системы здравоохранения фиксировались в Европе и Азии. Злоумышленники понимают, что больницы скорее заплатят выкуп, чтобы восстановить доступ к жизненно важным данным, поэтому давят на них. Кроме вымогателей, для отрасли опасны и утечки медицинских данных – персональная информация пациентов ценится на чёрном рынке. В России в топ-5 отраслей по числу атак здравоохранение не вошло, однако отдельные инциденты происходили (фишинг по врачам, атаки на сайты клиник). Не исключено, что относительно низкое место отрасли в статистике обусловлено тем, что многие атаки на медицину не афишируются. Тем не менее, защита больниц и лабораторий остаётся приоритетом, учитывая возможный урон для населения.</li> <li><b>Образование.</b> Учебные заведения – неожиданно «лакомый кусок» для хакеров. Глобально в 1 квартале 2025 образование стало <b>самой атакуемой отраслью</b> по количеству попыток вторжения. Университеты, школы и исследовательские организации сталкиваются с постоянными атаками по разным причинам: это и кража научных данных (интересует иностранные разведки и конкурентов), и вымогательство (шифрование студенческих баз данных), и банальный дефейс сайтов по идеологическим мотивам. Кроме того, образовательный сектор часто имеет разветвлённую ИТ-инфраструктуру с множеством пользователей (студенты, сотрудники) и сравнительно скромными бюджетами на кибербезопасность – этим пользуются злоумышленники. В России в первом квартале не сообщалось о крупных инцидентах в образовании, однако атаки происходят: от утечек баз данных выпускников до DDoS на платформы дистанционного обучения. Мировой тренд показывает, что учреждениям образования надо срочно укреплять свою цифровую защиту.</li> <li><b>Промышленность и энергетика.</b> Производственные предприятия, компании нефтегазового сектора, энергетические сети – всё это критически важные объекты, и в 2025 году они ощутили на себе и кибершпионаж, и деструктивные атаки. В глобальном масштабе <b>промышленность входит в топ-3 целей вымогателей</b>, кроме того, около 5% всех APT-операций приходилось на заводы и фабрики (кража технологий, саботаж). В России промышленный сектор также был под ударом: по данным Solar, среди наиболее DDoS-атакуемых отраслей оказались <b>нефтегаз</b> (волна атак после санкций) и крупные предприятия в сферах металлургии, машиностроения (отражено ростом атак в Уральском регионе). Отдельно стоит <b>энергетика</b> – её атаки могут вызвать техногенные аварии. В 1 квартале 2025 западные эксперты отмечали повышение интереса хакеров к объектам энергетики, особенно на фоне войны на Украине. Были попытки атак на энергокомпании Восточной Европы, а в США рассекретили факты подготовки Китаем закладок в энергосетях. Пока в первом квартале не случилось громких отключений света из-за кибератак, но угрозу нельзя недооценивать. Промышленные предприятия, особенно в России, часто не обновляли ИТ-инфраструктуру и используют устаревшие АСУ ТП – этим могут воспользоваться как киберпреступники (вымогатели, парализующие производство, как было с ENGlobal – подрядчиком энергетической отрасли, где из-за атаки 6 недель не работали финансовые системы), так и группы-шпионы, охотящиеся за секретами и способные вывести из строя оборудование.</li> <li><b>Розничная торговля и e-commerce.</b> Ритейл всё больше уходит в онлайн, и злоумышленники следуют за ним. В России <b>ритейл вошёл в пятёрку самых атакуемых отраслей</b> по версии Solar – торговые сайты подвергаются массированным веб-атакам, бот-скрипты пытаются скопировать ценную информацию или устроить перегрузку, мошенники нацеливаются на системы оплаты. Центр Solar JSOC в отдельном отчёте отметил: только за 2024 год они зафиксировали более 7000 инцидентов в сфере розничной торговли и электронной коммерции, а в начале 2025 эта активность не спадает. Киберпреступники <b>«ополчились на ритейл»</b> по разным направлениям: одни похищают базы клиентов (как упомянуто с Hot Topic в США, где украдено 54 млн записей), другие внедряются в кассовое ПО для кражи карт, третьи шантажируют отказом в обслуживании. Также распространены <b>мошеннические схемы: </b>например, группировки типа Classiscam создают фейковые интернет-магазины и службы доставки, обманывая покупателей. Group-IB отмечает, что <b>количество онлайн-махинаций резко выросло</b> – в 2024 выявлено более 200 тысяч мошеннических ресурсов (+22% за год), особенно в сегментах путешествий, логистики, финансов. Ритейлу приходится одновременно бороться и с высокотехнологичными атаками, и с простыми обманами на доверии.</li> <li><b>Транспорт и логистика.</b> Грузоперевозки, почтовые службы, авиакомпании и ж/д – критически важная отрасль, где сбой напрямую влияет на экономику. В 1 квартале 2025 она попала в зону повышенного риска. В России <b>логистические сервисы оказались целью №1 для веб-атак</b> – как отмечалось, боты генерировали миллионы запросов, пытаясь нарушить работу онлайн-систем отслеживания и заказов. Также в топ-5 вошли <b>грузопассажирские перевозки</b>, то есть транспортные компании. Вероятно, это связано с активностью хактивистов, желающих нарушить снабжение, а также с конкуренцией – атаки на логистику могут совершаться и криминальными группами по найму. В мире <b>транспортная инфраструктура тоже атакуется всё чаще</b>. По данным экспертов, до 21% атак на критическую инфраструктуру в последнее время направлены именно на транспорт (авиа, ЖД, порты). Была зафиксирована серия DDoS-акций против аэропортов Европы и США, связываемая с пророссийскими хактивистами – сайты ряда аэропортов временно были недоступны. В других случаях злоумышленники проникают в сети логистических фирм, чтобы украсть данные о перевозках или внедрить вредонос для саботажа. Уязвимость транспортно-логистического сектора особенно проявилась на фоне санкций и перебоев торговли – любые дополнительные киберудары усугубляют проблемы. Таким образом, обеспечение кибербезопасности перевозок стало задачей государственной важности.</li> </ul> <p> </p> <h3 style="text-align: justify;"> Выводы </h3> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> Статистика и инциденты первого квартала 2025 года демонстрируют, что <b>киберугрозы продолжают эскалировать по всему миру</b>, а их характер всё более разнообразен. Глобально наблюдается <b>рост числа атак и усложнение методов:</b> лидируют ransomware, фишинг и кражи данных, активизировались госхакеры и хактивисты. Отраслевые риски распределяются неравномерно – образование, государственный сектор, финансы, производство и другие ключевые сферы испытали на себе повышенное давление. </p> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> <b>Россия</b>, находясь в эпицентре геополитической конфронтации, пережила свой специфический набор атак: массовые DDoS на критические отрасли (нефтегаз, банки, госорганы), беспрецедентный рост веб-атак на бизнес, широкие фишинговые кампании. При этом доминирующими угрозами внутри страны остаются троянские программы и сетевые вторжения, что требует усиления систем обнаружения и реагирования. </p> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> Для всех регионов общим остаётся вывод:<b> кибербезопасность должна быть приоритетом</b>. Организациям рекомендуется укреплять защиту – от базовых мер (резервное копирование, обновление ПО, обучение персонала) до продвинутых (SOC, threat intelligence, MFA, Zero Trust). Только проактивный подход и обмен информацией об угрозах помогут противостоять текущим тенденциям. Первый квартал 2025 показал, что атаки стали масштабнее и изощреннее, а значит, без соответствующих вложений в киберзащиту риски для бизнеса и государственной стабильности будут только расти. Уже сейчас понятно: <b>2025 год станет одним из самых напряжённых на киберфронте</b>, и всем участникам цифровой экосистемы необходимо быть во всеоружии. </p> <p style="text-align: justify;"> </p> <p style="text-align: justify;"> <b>Источники:</b> Аналитические отчёты Positive Technologies, Check Point Research, CrowdStrike, Group-IB, Solar JSOC, DDoS-Guard и другие. </p>

    Все

Киберугрозы в первом квартале 2025: глобальные тенденции и фокус на Россию

12.05.2025

В современном цифровом мире киберугрозы становятся всё более изощрёнными и распространёнными. Хакеры постоянно ищут новые уязвимости в системах безопасности, а их атаки могут привести к серьёзным последствиям – от финансовых потерь до компрометации личных данных. Чтобы лучше понять текущую ситуацию и узнать о самых актуальных угрозах, мы обратились к руководителю направления ГК «Форус» – Андрею Толстикову. В своей статье он делится профессиональным мнением и анализом современных киберугроз, предлагая рекомендации по защите информационных систем и данных.

Глобальный ландшафт угроз Q1 2025

Андрей ТолстиковПервый квартал 2025 года ознаменовался резким ростом кибератак по всему миру. По сравнению с предыдущим годом количество атак на организации в неделю увеличилось на 47%, в среднем они подвергались примерно 1925 атакам еженедельно. Особенно возросла активность вымогателей: число атак с использованием программ-вымогателей (ransomware) увеличилось на 126% по сравнению с началом 2024-го. Киберпреступники продолжают адаптироваться и усложнять тактику, проверяя на прочность даже хорошо защищённые сети.

Наиболее атакуемые отрасли в мире в 1 квартале 2025 – образование, государственный сектор и телеком. По данным Check Point, образовательный сектор испытал наибольшее давление – в среднем 4484 атаки в неделю на одну организацию (рост на 73% год к году). Государственные учреждения оказались на втором месте (2678 атак в неделю, +51%), а наибольший относительный всплеск произошёл в телекоммуникациях (+94%, до 2664 атак в неделю). Это связывают с широкой цифровизацией этих сфер и их открытостью, делающей их удобной мишенью для злоумышленников. Регионально лидером по интенсивности атак стала Африка (в среднем 3286 атак в неделю на организацию), а самый бурный рост зафиксирован в Латинской Америке (+108% год к году).

Атакующие инструменты и техники демонстрируют эволюцию. Злоумышленники всё чаще обходятся без файлового вредоносного ПО, полагаясь на угон учётных данных и легитимные средства администратора. Так, до 79% обнаруженных вторжений вообще не содержали отдельных вредоносных файлов, используя техники «living off the land» (легитимные утилиты, скрипты, украденные учётные записи). Тем не менее, классическое вредоносное ПО никуда не исчезло: оно фигурировало примерно в двух из трёх успешных атак на организации в конце 2024 года, и эта тенденция сохраняется. В структуре вредоносного программного обеспечения преобладают программы-вымогатели (42 %), за ними следуют RAT/Trojans (38 %), а также шпионское ПО (20 %). Отмечается рост доли шпионских программ (infostealers) при атаках на компании, которые нередко внедряются через социальную инженерию для кражи паролей и последующей эскалации привилегий. В более чем половине успешных атак на бизнес злоумышленники добивались утечки конфиденциальных данных, а примерно в трети – нарушали работу ключевых сервисов.

Социальная инженерия и новые уловки

Социальная инженерия остаётся одним из главных методов первоначального проникновения. В первом квартале фиксировался всплеск фишинговых рассылок с вложениями в виде архивов (например, 7z), наряду с традиционными документами Word. Эксперты Positive Technologies отмечают появление техники вложения испорченных архивов, содержащих вредоносный код, который активируется при «восстановлении» файла – аналогично приёму с заражёнными документами Office. Более того, злоумышленники научились объединять несколько ZIP-файлов особым образом, чтобы обойти детектирование антивирусов. В результате получатель получает вроде бы неповреждённый архив, который при распаковке устанавливает malware. Ожидается, что в 2025 году такие методы (в связке с недавно раскрытой уязвимостью CVE-2025-0411 в механизме Mark of the Web для 7-Zip) будут активно использоваться для заражения систем.

Фишинговые атаки, нацеленные на обход MFA, также набирают обороты. Злоумышленники развивают услуги Phishing-as-a-Service и создают всё более правдоподобные копии корпоративных страниц входа, включая фальшивые окна MFA. Например, в конце 2024 года обнаружена кампания, имитировавшая страницы входа почтового сервиса Telstra и целившаяся в сотрудников AT&T, чтобы перехватить их одноразовые коды. В 2025-м ожидается дальнейшее совершенствование техник обхода многофакторной аутентификации, включая фишинг с поддельными CAPTCHA (приём, широко применявшийся с 3 квартала 2024). Появляются и новые ухищрения – тактика «ClickFix», где жертву заставляют кликнуть по якобы необходимому элементу (как вариант – кнопка для исправления проблемы безопасности), что на деле запускает заражение. В последние месяцы 2024-го и начале 2025-го активно сообщалось о подобных кампаниях, что подчёркивает важность киберграмотности сотрудников.

Одним из тревожных трендов стало распространение шпионских программ (инфостилеров). В 4 квартале 2024 их использование в атаках на организации выросло, и эта волна перешла в 2025 год. Злоумышленники применяют инфостилеры для тихого хищения паролей и других данных, зачастую внедряя их через фишинговые письма с теми же фальшивыми CAPTCHA или посредством SEO-позиционирования вредоносных сайтов и рекламы (malvertising). Крупный инцидент произошёл в розничной сети Hot Topic (США): данные как минимум 54 миллионов клиентов утекли после того, как компьютер компании был заражён инфостилером. Расследование показало, что на заражённой машине находились учётные данные от облачных сервисов компании (Snowflake и Looker), что и позволило атакующим похитить массив клиентской информации. Ожидается, что в 2025 году авторы malware продолжат совершенствовать такие программы, делая их более незаметными и способными обходить защиты (включая MFA).

Атаки вымогателей и киберкриминал

Ransomware-группировки остаются самой громкой угрозой начала 2025 года. Они не только увеличили количество атак, но и расширили охват жертв. За квартал по всему миру было зарегистрировано рекордное число успешных вымогательских атак – по оценкам, более 2 000 организаций пострадали только за 1 квартал (исторический максимум для одного квартала). Киберпреступный рынок поддерживает этот рост: отмечен всплеск предложений услуг «вымогательство как сервис» (RaaS) и активность брокеров доступа. В 2024 году число объявлений о партнёрстве в RaaS выросло на 44%, а на лейк-сайтах (специальных ресурсах для публикации украденных данных) было выложено более 5 000 записей о взломах – на 10% больше, чем годом ранее. Эта тенденция явно продолжилась в 2025-м.

Выбор жертв у вымогателей тоже имеет свою специфику. По данным Check Point, чаще всего в начале 2025 года от ransomware страдали компании сектора товаров народного потребления и услуг (13,2% всех известных инцидентов), далее бизнес-сервисы (9,8%) и промышленное производство (9,1%). Существенную долю жертв составили также организации здравоохранения (7,2%). Злоумышленники продолжают применять схему двойного вымогательства – шифрование данных с одновременным похищением и угрозой публикации – что заставляет платить даже тех, у кого есть резервные копии. Наглядный пример – атаки на медицинские учреждения: в США в январе сразу несколько крупных организаций сообщили о шифровании данных пациентов. В больничной сети Frederick Health (штат Мэриленд) из-за ransomware пришлось отключать ИТ-системы и переносить приёмы пациентов, а один из крупнейших центров крови, New York Blood Center, также был парализован из-за шифрования серверов. Ситуация осложняется тем, что на кону стоят жизни людей, и медучреждения вынужденно платят, чтобы быстрее вернуть данные.

Помимо вымогателей, финансово мотивированные атаки приняли и другие формы. Продолжают фиксироваться крупные кражи криптовалюты: в феврале 2025 года группировка Lazarus (КНДР) осуществила крупнейшую в истории крипто-кражу, похитив эквивалент $1,5 млрд в Ethereum с биржи Bybit. Хакеры вмешались в процесс перевода средств между «холодным» и «горячим» кошельками биржи, подменив логику смарт-контракта, и вывели свыше 400 тысяч ETH на подконтрольные адреса. Эта атака подтверждает тренд: северокорейские APT активно нацелены на криптофинансовый сектор, чтобы пополнить казну режима, и их технические возможности находятся на высочайшем уровне.

АРТ-группы и кибершпионаж

Продвинутые постоянные угрозы (APT), спонсируемые государствами, продолжают формировать ландшафт кибершпионажа и саботажа. В 2024 году было отмечено 828 целевых APT-атак, что на 58% больше, чем годом ранее. Этот рост напрямую связан с геополитической напряжённостью – киберпространство стало продолжением конфликтов в Европе и на Ближнем Востоке. В 2025-м эта тенденция не ослабевает: государственные хакеры атакуют правительственные сети, промышленность, финансы и ИТ-сектор в поисках стратегических данных. По данным Group-IB, в 2024 году самыми частыми целями кибершпионов были органы власти (15,5% APT-атак), производственные предприятия (4,8%), финансовые организации (3,8%), IT-компании (3,5%) и научные учреждения (2,3%).

Особо активным остаётся китайский кибершпионаж. Американские спецслужбы предупреждают, что Китай ведёт масштабные кампании по внедрению в критическую инфраструктуру – например, операции Volt Typhoon и Salt Typhoon, где обнаружено присутствие китайских хакеров в сетях энергетики и телекоммуникаций США. Цель – заложить «спящие» бэкдоры на случай обострения отношений. В оценке разведки США прямо указано, что КНР обладает возможностями вывести из строя инфраструктуру противника в случае конфликта. Одновременно российские АРT-группы продолжают глобальные атаки: так, французский МИД в апреле 2025 официально обвинил хакеров из группы APT28 (связанной с ГРУ) во взломе национальных сетей и призвал к международным мерам против подобных. действий. Иранские и северокорейские хакеры также активны: Иран фокусируется на атаках против Ближнего Востока и западных организаций (в том числе в сфере энергетики и транспорта), а КНДР, помимо краж финансов, замечена и в шпионаже (например, кампания Lazarus против химического сектора) – всё это для продвижения своих геополитических интересов.

На фоне геополитики вырос и масштаб хактивизма – атак, мотивированных идеологией. В первом квартале 2025 года заметны акции групп, действующих из политических побуждений. Продолжается противостояние пророссийских и проукраинских хактивистов. Хактивизм стал настолько привычным фоном, что эксперты отмечают: он превращается в часть ежедневной реальности киберпространства.

Россия: особенности киберугроз в начале 2025 года

В Рунете первый квартал 2025 также выдался напряжённым, хотя динамика локальных инцидентов имела свою специфику. По данным компании PRO32, общее число зафиксированных киберугроз в России снизилось на 18% относительно конца 2024 года. Однако, структура атак изменилась: наблюдается доминирование троянских программ, а доля сетевых атак выросла. Трояны составили 76% всех обнаруженных угроз в России за 1 квартал, уверенно удерживая лидерство. Речь идёт о широком классе вредоносного ПО – от удалённых администраторских троянов (RAT) до инфостилеров и бэкдоров. На втором месте – сетевые атаки (12%), доля которых удвоилась по сравнению с предыдущим кварталомgazeta.ru. Это может говорить о смещении акцента злоумышленников на более скрытные методы проникновения, такие как сканирование и эксплуатация уязвимостей в сервисах, Brute Force атак и т.д. Для сравнения, доля вымогателей в общем объёме инцидентов по России невелика – около 4% (значительно ниже, чем их вклад в глобальные атаки). Эксперты отмечают, что рост доли сетевых атак при одновременном уменьшении общего числа событий указывает на изменение качества угроз: атаки стали более точечными и сложными, требующими пристального внимания.

Массовые фишинговые кампании затронули и российские организации. В марте аналитики F6 сообщали о широкомасштабной рассылке, нацеленной на компании в России и СНГ. Группа, известная как Hive0117, провела серию фишинговых атак с подменой отправителей под реальные организации, зарегистрировав правдоподобные домены. Целями стали сразу несколько отраслей: медиа, туризм, финансовый и страховой сектор, промышленность, ритейл, энергетика, телеком, транспорт и биотехнологии. Эта кампания была финансово мотивированной – предположительно с целью хищения денег и данных. Для закрепления в системах жертв злоумышленники использовали вредоносный VPO DarkWatchman – продвинутый файл-less бэкдор, способный незаметно воровать данные. По данным F6, группа Hive0117 действует с 2022 года и регулярно обновляет инфраструктуру рассылки, что говорит о долговременной опасности для российских компаний.

Особняком стоят DDoS-атаки в Рунете, которые в 1 квартале 2025 резко усилились под влиянием мировых событий. Согласно данным Solar JSOC (Ростелеком-Солар), за первые три месяца на клиентов их Anti-DDoS сервиса было совершено 10,7 тысячи DDoS-атак только в нефтегазовом секторе. В среднем на одну нефтегазовую компанию пришлось 27 атак за квартал, что на 67% больше, чем год назад. Всплеск пришёлся на январь – сразу после введения новых санкций против российского ТЭКа США: тогда каждая нефтегазовая компания пережила в среднем по 37 DDoS-навал за месяц (в 9 раз больше, чем в январе 2024). В феврале интенсивность временно спала, но в марте снова вернулась на высокий уровень, вывел нефтегаз в топ-5 наиболее атакуемых отраслей по DDoS.

Государственный сектор РФ традиционно в фокусе атак: по среднему числу DDoS-ударов на одну организацию госсектор занял 1-е место в рейтинге Solar JSOC в 1 квартале 2025. Всего за квартал госструктуры пережили около 15,5 тыс. DDoS-атак. Банковско-финансовая отрасль – на втором месте: на неё пришлось 18,7 тыс. DDoS (несмотря на снижение активности по сравнению с концом 2024). Причём 82% всех DDoS на банки произошли в марте – всплеск связан с резонансными событиями (например, переговорами США и Украины, которые вызвали волну идеологических атак). Под ударом также находился телеком – суммарно 18,8 тыс. DDoS за квартал. В числе жертв отмечались и IT-компании (6,7 тыс. атак). География атак внутри страны неравномерна: сильнее всего доставалось Москве (суммарно свыше 60 тыс. DDoS-вылетов по столичным организациям), далее шли регионы с развитой промышленностью – Урал (12 тыс.), Сибирь (13 тыс.), Поволжье (14 тыс.). Эти цифры отражают как интерес хактивистов к крупным городам и критическим организациям, так и большую концентрацию уязвимой инфраструктуры в ведущих регионах.

Отдельного внимания заслуживает бурный рост веб-атак на сайты российских компаний. По данным Ростелеком-Солар, в первом квартале 2025 года зафиксировано 801,2 млн веб-атак – вдвое больше, чем за тот же период годом ранее. Анализ проводился на выборке из 134 организаций различных отраслей, защищённых сервисом Solar WAF. Логистические сервисы стали самой атакуемой отраслью: на один из крупных ресурсов логистики было совершено 18,3 млн атак, что в 5500 раз больше, чем год назад! Основной метод – флуд тяжёлыми запросами с помощью ботов, использующих фейковые номера заказов, чтобы перегрузить серверы. В топ-5 отраслей по веб-атакам вошли также: государственный сектор, ритейл, грузовые и пассажирские перевозки (транспорт) и нефтегазовый сервис. Таким образом, помимо логистики, наиболее страдали именно ключевые инфраструктурные и потребительские отрасли. Эксперты Solar отмечают, что хакеры всё чаще сканируют сайты на уязвимости – число сканирующих попыток выросло в 5,4 раза (до 678 млн) за год. Также в 3 раза участились сложные веб-атаки, обходящие простые средства защиты. Эти атаки включают эксплуатацию уязвимостей веб-приложений, SQL-инъекции, обход WAF и пр. Данная статистика подчёркивает: российскому бизнесу, особенно в сфере онлайн-сервисов, необходимо уделять больше внимания защите веб-ресурсов.

Атаки на критические отрасли: кто пострадал больше всех

Как глобально, так и в России киберпреступники выбирали жертв не случайно – прослеживается концентрация атак на определённые сферы. Ниже приведён краткий обзор по отраслям, наиболее затронутым в 1 квартале 2025:

  • Государственный сектор и органы власти. Правительства по всему миру – постоянная мишень как для шпионажа, так и для демонстративных атак. Во всём мире госсектор стал второй по частоте мишенью киберпреступников (сотни атак в неделю на организацию). В России на госструктуры направлялось особенно много DDoS-атак (лидер по средней интенсивности), а также фишинговых кампаний с целью компрометации почтовых переписок и утечки данных. Государственные информационные системы интересны как иностранным разведкам (APT-группы пытаются получить доступ к секретной информации), так и идеологическим хактивистам, стремящимся нарушить работу государственных сервисов. 1 квартал 2025 принёс новые случаи обнародования конфиденциальных данных госорганов в разных странах, и даже официальные обвинения: например, Франция прямо указала на российских хакеров APT28 во взломе своих государственных сетей. Это подтверждает, что правительства остаются на передовой линии киберфронта.
  • Финансы и банки. Финансовый сектор традиционно привлекателен для киберпреступности из-за возможности быстрого монетизирования атак. В первом квартале наблюдался бум атак на банки и финорганизации. В России, по оценкам SOC Red Security, количество атак на финсектор выросло более чем вдвое по сравнению с началом 2024 года. Solar JSOC зафиксировал десятки тысяч DDoS на банки (особенно в марте), также отмечались случаи фишинговых атак на клиентов банков и попытки компрометации межбанковских систем. На глобальной арене банки и фонды также сталкивались с вымогателями и утечками данных. Кроме того, криптовалютные площадки – новая «кровеносная система» финансов – подверглись сверхкрупным ограблениям, самым громким из которых стал взлом биржи Bybit на $1,5 млрд силами северокорейской группы. Таким образом, финансовый сектор в 1 квартале 2025 находился под огнём как киберпреступников, охотящихся за деньгами, так и государств-изгоев, ищущих способы обхода санкций через киберкражи.
  • Здравоохранение. Медицинские организации по всему миру продолжали страдать от кибератак, часто с тяжёлыми последствиями. Ранее, в 2024-м, в США был случай, когда атака на крупнейшего платежного процессора в здравоохранении привела к перебоям в выписке рецептов и работе скорой помощи. В начале 2025 года ситуация не улучшилась: несколько больниц и клиник стали жертвами ransomware. Помимо упомянутых случаев в США, кибернападения на системы здравоохранения фиксировались в Европе и Азии. Злоумышленники понимают, что больницы скорее заплатят выкуп, чтобы восстановить доступ к жизненно важным данным, поэтому давят на них. Кроме вымогателей, для отрасли опасны и утечки медицинских данных – персональная информация пациентов ценится на чёрном рынке. В России в топ-5 отраслей по числу атак здравоохранение не вошло, однако отдельные инциденты происходили (фишинг по врачам, атаки на сайты клиник). Не исключено, что относительно низкое место отрасли в статистике обусловлено тем, что многие атаки на медицину не афишируются. Тем не менее, защита больниц и лабораторий остаётся приоритетом, учитывая возможный урон для населения.
  • Образование. Учебные заведения – неожиданно «лакомый кусок» для хакеров. Глобально в 1 квартале 2025 образование стало самой атакуемой отраслью по количеству попыток вторжения. Университеты, школы и исследовательские организации сталкиваются с постоянными атаками по разным причинам: это и кража научных данных (интересует иностранные разведки и конкурентов), и вымогательство (шифрование студенческих баз данных), и банальный дефейс сайтов по идеологическим мотивам. Кроме того, образовательный сектор часто имеет разветвлённую ИТ-инфраструктуру с множеством пользователей (студенты, сотрудники) и сравнительно скромными бюджетами на кибербезопасность – этим пользуются злоумышленники. В России в первом квартале не сообщалось о крупных инцидентах в образовании, однако атаки происходят: от утечек баз данных выпускников до DDoS на платформы дистанционного обучения. Мировой тренд показывает, что учреждениям образования надо срочно укреплять свою цифровую защиту.
  • Промышленность и энергетика. Производственные предприятия, компании нефтегазового сектора, энергетические сети – всё это критически важные объекты, и в 2025 году они ощутили на себе и кибершпионаж, и деструктивные атаки. В глобальном масштабе промышленность входит в топ-3 целей вымогателей, кроме того, около 5% всех APT-операций приходилось на заводы и фабрики (кража технологий, саботаж). В России промышленный сектор также был под ударом: по данным Solar, среди наиболее DDoS-атакуемых отраслей оказались нефтегаз (волна атак после санкций) и крупные предприятия в сферах металлургии, машиностроения (отражено ростом атак в Уральском регионе). Отдельно стоит энергетика – её атаки могут вызвать техногенные аварии. В 1 квартале 2025 западные эксперты отмечали повышение интереса хакеров к объектам энергетики, особенно на фоне войны на Украине. Были попытки атак на энергокомпании Восточной Европы, а в США рассекретили факты подготовки Китаем закладок в энергосетях. Пока в первом квартале не случилось громких отключений света из-за кибератак, но угрозу нельзя недооценивать. Промышленные предприятия, особенно в России, часто не обновляли ИТ-инфраструктуру и используют устаревшие АСУ ТП – этим могут воспользоваться как киберпреступники (вымогатели, парализующие производство, как было с ENGlobal – подрядчиком энергетической отрасли, где из-за атаки 6 недель не работали финансовые системы), так и группы-шпионы, охотящиеся за секретами и способные вывести из строя оборудование.
  • Розничная торговля и e-commerce. Ритейл всё больше уходит в онлайн, и злоумышленники следуют за ним. В России ритейл вошёл в пятёрку самых атакуемых отраслей по версии Solar – торговые сайты подвергаются массированным веб-атакам, бот-скрипты пытаются скопировать ценную информацию или устроить перегрузку, мошенники нацеливаются на системы оплаты. Центр Solar JSOC в отдельном отчёте отметил: только за 2024 год они зафиксировали более 7000 инцидентов в сфере розничной торговли и электронной коммерции, а в начале 2025 эта активность не спадает. Киберпреступники «ополчились на ритейл» по разным направлениям: одни похищают базы клиентов (как упомянуто с Hot Topic в США, где украдено 54 млн записей), другие внедряются в кассовое ПО для кражи карт, третьи шантажируют отказом в обслуживании. Также распространены мошеннические схемы: например, группировки типа Classiscam создают фейковые интернет-магазины и службы доставки, обманывая покупателей. Group-IB отмечает, что количество онлайн-махинаций резко выросло – в 2024 выявлено более 200 тысяч мошеннических ресурсов (+22% за год), особенно в сегментах путешествий, логистики, финансов. Ритейлу приходится одновременно бороться и с высокотехнологичными атаками, и с простыми обманами на доверии.
  • Транспорт и логистика. Грузоперевозки, почтовые службы, авиакомпании и ж/д – критически важная отрасль, где сбой напрямую влияет на экономику. В 1 квартале 2025 она попала в зону повышенного риска. В России логистические сервисы оказались целью №1 для веб-атак – как отмечалось, боты генерировали миллионы запросов, пытаясь нарушить работу онлайн-систем отслеживания и заказов. Также в топ-5 вошли грузопассажирские перевозки, то есть транспортные компании. Вероятно, это связано с активностью хактивистов, желающих нарушить снабжение, а также с конкуренцией – атаки на логистику могут совершаться и криминальными группами по найму. В мире транспортная инфраструктура тоже атакуется всё чаще. По данным экспертов, до 21% атак на критическую инфраструктуру в последнее время направлены именно на транспорт (авиа, ЖД, порты). Была зафиксирована серия DDoS-акций против аэропортов Европы и США, связываемая с пророссийскими хактивистами – сайты ряда аэропортов временно были недоступны. В других случаях злоумышленники проникают в сети логистических фирм, чтобы украсть данные о перевозках или внедрить вредонос для саботажа. Уязвимость транспортно-логистического сектора особенно проявилась на фоне санкций и перебоев торговли – любые дополнительные киберудары усугубляют проблемы. Таким образом, обеспечение кибербезопасности перевозок стало задачей государственной важности.

Выводы

Статистика и инциденты первого квартала 2025 года демонстрируют, что киберугрозы продолжают эскалировать по всему миру, а их характер всё более разнообразен. Глобально наблюдается рост числа атак и усложнение методов: лидируют ransomware, фишинг и кражи данных, активизировались госхакеры и хактивисты. Отраслевые риски распределяются неравномерно – образование, государственный сектор, финансы, производство и другие ключевые сферы испытали на себе повышенное давление.

Россия, находясь в эпицентре геополитической конфронтации, пережила свой специфический набор атак: массовые DDoS на критические отрасли (нефтегаз, банки, госорганы), беспрецедентный рост веб-атак на бизнес, широкие фишинговые кампании. При этом доминирующими угрозами внутри страны остаются троянские программы и сетевые вторжения, что требует усиления систем обнаружения и реагирования.

Для всех регионов общим остаётся вывод: кибербезопасность должна быть приоритетом. Организациям рекомендуется укреплять защиту – от базовых мер (резервное копирование, обновление ПО, обучение персонала) до продвинутых (SOC, threat intelligence, MFA, Zero Trust). Только проактивный подход и обмен информацией об угрозах помогут противостоять текущим тенденциям. Первый квартал 2025 показал, что атаки стали масштабнее и изощреннее, а значит, без соответствующих вложений в киберзащиту риски для бизнеса и государственной стабильности будут только расти. Уже сейчас понятно: 2025 год станет одним из самых напряжённых на киберфронте, и всем участникам цифровой экосистемы необходимо быть во всеоружии.

Источники: Аналитические отчёты Positive Technologies, Check Point Research, CrowdStrike, Group-IB, Solar JSOC, DDoS-Guard и другие.

Дополнительную информацию вы можете получить по телефону

+7 (3952) 78-00-00

Все новости

Другие новости

Хотите быть в курсе последних новостей?

Актуальные новости, акции, мероприятия и полезная информация

Подписаться

Больше интересного

Трудовое законодательство

Обновление классификатора ОКПДТР с 2026 года

После обновления будут сопоставлены некоторые коды ОКПДТР, но не во всех трудовых функциях, а также может произойти подмена кода ОКЗ на отличный от поданного в СФР.

Читать дальше

Нужно ли ИП подавать уведомление о фиксированных страховых взносах?

Читайте в новостях 1С:ИТС. А также вас ждёт другая полезная информация: Как рассчитывается пособие по БИР из МРОТ, если работник занят неполное рабочее время? Установлены коэффициенты-дефляторы на 2026 год.

Читать дальше

Установлен единый предельный размер базы для исчисления страховых взносов на 2026 год

Утверждена единая предельная величина базы для исчисления страховых взносов с 1 января 2026 года. В отношении каждого физического лица база составит 2 979 000 рублей.

Читать дальше
Хотите быть в курсе последних новостей?

Подпишитесь на рассылку: новости, акции, мероприятия и полезная информация. Подробнее о наших рассылках

Нажимая кнопку "Подписаться", вы соглашаетесь с политикой конфиденциальности

рассылка

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы соглашаетесь с Политикой обработки персональных данных.

Принимаю