Статья
Компания F6, разработчик технологий для борьбы с киберпреступностью, представила предварительные итоги 2025 года. Хотя количество и интенсивность атак на российские компании в некоторой степени стабилизировались, наблюдается рост числа проправительственных APT-групп, группировок вымогателей, а также финансово и политически мотивированных коллективов. В публичном доступе в уходящем году оказалось более 760 миллионов строк данных россиян, а рекорд по сумме запрошенного выкупа за расшифровку данных компании достиг 500 миллионов рублей.
Аналитики Threat Intelligence компании F6 выявили в 2025 году 225 ранее не опубликованных украденных баз данных российских компаний (в 2024 году — 455). Помимо этого, в открытом доступе были опубликованы 20 баз данных компаний из других стран СНГ, 10 из которых относятся к Белоруссии.
Большинство утечек (187 из 225) распространялись через тематические Telegram-каналы, которые злоумышленники воссоздавали после блокировок. Самой объемной «мегаутечкой» стал архив из 457 баз данных. Суммарно утечки содержали более 767 миллионов строк данных пользователей, включая ФИО, даты рождения, адреса, электронную почту и номера телефонов. В группе наибольшего риска оказались ритейл и интернет-магазины, государственный сектор, профессиональные услуги, здравоохранение и информационные технологии.
Аналитики F6 отмечают выход количества атак на плато с незначительным ростом по сравнению с 2024 годом. В 2025 году было обнаружено 27 прогосударственных групп, атакующих Россию и СНГ (в 2024 году — 24), включая семь новых: Silent Lynx, Telemancon, Mythic Likho, NGC6061, NGC4141, SkyCloak, NGC5081.
Топ-5 индустрий, на которые были нацелены эти группы: государственные учреждения (13 групп), промышленность (11 групп), НИИ (9 групп), предприятия ВПК (8 групп) и ТЭК (7 групп). Также фиксируется повышенный интерес к ИТ-компаниям как к плацдарму для атак на их клиентов.
Была выявлена активность более 20 финансово-мотивированных группировок (Vasy Grek, Hive0117, CapFIX) и четырех групп, проводящих DDoS-атаки, среди которых IT Army of Ukraine остается главной угрозой в этом сегменте. Более 10 политически мотивированных групп отметились атаками с использованием программ-вымогателей.
Количество атак программ-вымогателей выросло на 15% (в 2024 году рост составлял 44%). При этом в 15% инцидентов, связанных со средними и крупными предприятиями, целью была диверсия и нанесение максимального ущерба (в 2024 году — 10%). Максимальная сумма первоначального выкупа, заявленная группировкой CyberSec’s, составила 50 BTC (около 500 млн рублей).
Средние суммы выкупа колебались от 4 до 40 млн рублей для крупных компаний и от 240 тыс. до 4 млн рублей для малого и среднего бизнеса. Чаще всего атаковались производственные и инжиниринговые компании (17,1%), организации оптовой (14,3%) и розничной (12,9%) торговли, ИТ-сектор (7,1%), транспорт и логистика (7,1%).
Наиболее активными проукраинскими группировками стали Bearlyfy/ЛАБУБУ (не менее 55 атак), THOR (не менее 12 атак) и другие. Эксперты отмечают рост консолидации этих групп. Малый и средний бизнес чаще всего атаковали Mimic/Pay2Key, Proton/Shinra, C77L. Наиболее используемыми шифровальщиками были Mimic/Pay2Key (до 25% инцидентов), LockBit 3 Black (21%), Proton/Shinra (11,4%) и Babuk (10,2%).
Среди инцидентов, на которые реагировали специалисты F6, чаще всего встречались управляемые человеком атаки (32%), майнеры (26%) и трояны удаленного доступа (9%). Наиболее распространенным вектором была загрузка пользователями вредоносного ПО (66% от общего числа инцидентов), использование зараженных съемных накопителей и эксплуатация уязвимостей (по 11%).
Наблюдается снижение инцидентов из-за загрузки ПО из недоверенных источников (с 74% в первом полугодии до 38% во втором) и из-за подключения зараженных носителей (с 12% до 8%). При этом выросла доля атак через эксплуатацию уязвимостей (с 5% до 31%) и использование валидных учетных данных (с 2% до 15%). Фишинговые письма с вредоносным ПО чаще всего рассылались по вторникам (25,5% всех отправлений).
Аналитики отмечают переход скам-групп от фишинга к скаму, где жертв чаще просят оплатить по QR-коду или реквизитам. В 2025 году было заблокировано 7357 скам-ресурсов на один бренд (против 6398 в 2024 году) и 3851 фишинговый ресурс (против 3714). Наибольший прирост заметен в схемах с распространением вредоносного ПО, эксплуатирующих реальные бренды — почти в шесть раз (с 28 до 160 ресурсов).
Наибольшее количество фишинговых и скам-ссылок выявлено в доменной зоне .ru (30,8%), далее следуют .com (14%), .click (10,2%), .cfd (7,7%) и sa.com (7,3%). При этом злоумышленники реже используют .ru из-за налаженной системы блокировок, предпочитая другие зоны и зарубежных регистраторов. 81% фишинговых и мошеннических ресурсов размещался у хостеров в США, у российских провайдеров — 4,6%, в Швейцарии — 3,8%.
«Анализируя предварительные итоги 2025 г., мы видим, что экспоненциальный рост киберугроз и кибератак на российские компании, который наблюдался последние три года, несколько замедлился, — отметил Валерий Баулин, CEO компании F6. — Однако для бизнеса такие киберугрозы, как программы-вымогатели, диверсии, шпионаж, вредоносное ПО, телефонное и онлайн-мошенничество продолжают представлять серьезную опасность. Атаки готовятся более качественно, и их успех может привести к многомиллионным убыткам, краже чувствительной информации и репутационным потерям как для бизнеса, так и для обычных пользователей. Важно вычислить уязвимости и оценить внешнюю защищенность компании еще до того, как их обнаружат злоумышленники — Индекс кибербезопасности от F6 (Cyber Identity Index) позволяет взглянуть на цифровой периметр глазами атакующего».
В начале 2026 года эксперты F6 выпустят подробный аналитический отчет для специалистов по кибербезопасности, который послужит практическим руководством для стратегического и тактического планирования проактивной защиты.