Плеск активности: Россию атакует рекордное количество хакеров
За первое полугодие 2025-го российские госструктуры и компании подвергались атакам со стороны 95 различных хакерских группировок — это почти в 2,5 раза больше, чем годом ранее, следует из информации компаний по кибербезопасности. Две трети всех атак были направлены на объекты критической инфраструктуры. Столь резкий рост, по словам экспертов, объясняется снижением стоимости атак благодаря использованию ИИ, продолжающейся активностью проукраинских хактивистов и нарушением правил безопасной разработки веб-ресурсов и сервисов.
Кто и зачем атакует российские компании
С начала 2025 года в хакерских атаках на Россию было замечено 95 группировок — это рекордный показатель за всю историю мониторинга подобной активности, сообщили «Известиям» в пресс-службе компании по управлению цифровыми рисками BI.ZONE. По данным компании InfoWatch, в прошлом году количество группировок, атаковавших российские госструктуры и компании, было почти в 2,5 раза меньше — порядка 40.
Более 60% группировок — проукраинские хактивисты из Восточной Европы, активизировавшиеся на фоне СВО. Среди самых опасных групп (лидеров по успешным взломам) в 2024 году выделялись CyberSec (и ее идеолог BadB), Blackjack, Cyber Anarchy Squad, Cyber Legions, Dumpforums, HdrO, UHG, «Кибер Сопротивление», «Киберпартизаны», сообщил руководитель направления аналитики InfoWatch Андрей Арсентьев.
— Важно понимать, что статистика может изменяться, как правило, в большую сторону после того, как становятся публичными ранее неизвестные факты атак. Определить группировку (или одиночного хакера) удалось в 34% случаев, — пояснил Арсентьев.
Статистику подтверждает интегратор «Кросс технолоджис»: в 2025 году зафиксирован резкий рост рисков из-за новых форм хактивизма, которые наносят урон как бизнесу, так и государству. При этом спрос крупного бизнеса на услуги белых хакеров вырос на 55% за первые пять месяцев нынешнего года. Это означает, что бизнес осознает угрозы и старается таким образом заранее найти уязвимости в своих системах.
— Часть мирового сообщества фактически одобрила политически мотивированные атаки, они стали системными, — отметил технический директор ИТ-экосистемы «Лукоморье» (ООО «РТК ИТ плюс») Алексей Щербаков. — Что интересно, в 2022 году на слуху были прежде всего DDoS-атаки, растет их количество и сегодня, хотя внимание в СМИ сместилось с них на веб-шеллы (скрытые вредоносные скрипты, внедряемые в веб-серверы для несанкционированного доступа к IT-системам. — Ред.).
По его словам, хакерские группы часто становятся инструментом внешнего влияния, ведь ими можно управлять через информационные вбросы, добиваясь активизации хакерских атак на российские структуры в нужный момент. То есть действия хактивистов используются для формирования тренда на русофобию.
По данным руководителя отдела расширенного исследования угроз «Лаборатории Касперского» Никиты Назарова, в 2025 году появилось семь новых и крайне опасных группировок.
— В настоящее время зафиксированы 74 уникальные группы, осуществлявшие кибератаки на отечественные организации: более трети из них появилось после 2022 года. Все они остаются активны до сих пор. Это говорит о том, что ландшафт киберугроз постоянно усложняется, увеличивается не только количество атак, но и число групп злоумышленников, которые нацелены на российские компании. При этом последние годы мы наблюдаем значительный рост хактивистских групп и сложных таргетированных атак, — отметили в «Лаборатории Касперского».
Важно помнить, что угрозы исходят не только из Европы, но и из других регионов: самые активные — восточноазиатские группировки, уточнил руководитель группы расследований Solar 4RAYS Иван Сюхин. Число расследованных экспертами Солар инцидентов в 2024 году выросло на 52% по сравнению с 2023 годом. Более 60% из них относятся к деятельности проукраинских группировок, заявил эксперт. А в 2023 году на них приходилось около четверти всех расследованных атак.
— В связи с напряженной геополитической обстановкой появились новые активные группы проукраинской направленности, некоторые из них распадаются и переходят в другие или образуют новые. Как раз именно эти группы и стали основным драйвером роста атак, — добавил он.
Атаки стали новой нормой
По данным BI.ZONE, треть из активных группировок использует технологию веб-шеллов. С их помощью киберпреступники воруют чувствительные данные и разрушают инфраструктуру, при этом 86% утечек — базы данных пользователей веб-ресурсов (иногда клиентов организаций и их заказов).
В большинстве случаев атаки — это сканирование уязвимостей ботами, отмечает ведущий инженер CorpSoft24 Михаил Сергеев.
— У нас фиксируется рост группировок, занимающихся кибермошенничеством, — поясняет генеральный директор Phishman Алексей Горелкин. — Это связано с экономикой: злоумышленникам проще найти финансово мотивированных помощников в России. Также видим тренд: группировки становятся мельче, но их количество растет.
По словам эксперта, случаи, когда одну атаку приписывают разным группам из-за распространения ИИ, могут искажать статистику в пользу роста.
По мнению директора департамента киберрасследований T.Hunter Игоря Бедерова, рекорды вызваны размыванием границ между хакерами-энтузиастами (так называемыми хактивистами) и криминальными кибергруппами. В таких условиях точечные меры защиты устарели — нужны платформенные решения с анализом аномалий и автоматическим реагированием.
С ростом цифровизации РФ (особенно в госсекторе и финтехе) ее уязвимость становится привлекательной для внешних атак. Глобально интерес хакеров к РФ — это скорее интерес к стране как к цифровому противнику, чья кибероборона испытывает игроков из Восточной Европы и других регионов, считает IT-эксперт Ярослав Мешалкин.
В «Яндекс Браузере» подтвердили, что хакеры захватывают российские сайты, размещая на них мошеннические страницы с вредоносным ПО. В ГК «Солар» добавили, что проукраинские атакующие стремятся нанести ущерб РФ и ее представителям, не брезгуя вымогательством и монетизацией своей деятельности.
По данным BI.ZONE, неправильные и некорректные настройки делают уязвимыми для кибератак более 60% серверов и рабочих станций. Чтобы снизить риск внедрения вредоносных скриптов в веб-ресурсы, необходимо при их разработке и тестировании ограничивать трафик с интернетом и использовать современные средства защиты на всех публично доступных сервисах.
По итогам массированных кибератак власти могут вводить новые законы о кибербезопасности (например, обязательное шифрование данных, аудит систем), что увеличит нагрузку на бизнес. Также на фоне этих событий ускорится внедрение ИИ-систем мониторинга, блокчейна для защиты данных и других инноваций. В рамках вызова для системы безопасности страны понадобится скоординировать усилия государства и бизнеса, считает IT-эксперт Сергей Поморцев.
