Шантаж и шпионаж: какие киберриски угрожают бизнесу и пользователям в 2025 году

Охота за данными

Программы-вымогатели, фишинговые атаки со шпионским ПО, нападения на цепочки поставок, утечки данных, а также рост эффективности действий хакерских групп останутся в 2025 году среди главных киберугроз для российских компаний, следует из отчета компании F6, с которым ознакомился Forbes.

Что касается вымогателей, то на протяжении 2024-го специалисты F6 зафиксировали более 500 атак с использованием шифровальщиков в России — рост почти в полтора раза по сравнению с 2023 годом. «Суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса составляли от 100 000 до 5 млн рублей ($1000-50 000), а для крупных и средних компаний, на которые приходится каждая пятая атака вымогателей, запросы преступников начинались от 5 млн рублей ($50 000)», — говорится в исследовании. Жертвами вымогателей чаще всего становились российские производственные, строительные, фармацевтические и IT-компании, предприятия добывающей промышленности, ВПК, организации из сферы услуг.

За 2024 год F6 обнаружила 455 не опубликованных ранее баз данных компаний из России и Белоруссии (в 2023 году их было 246), количество строк в утечках превысило 457 млн. Масштаб кражи и публикации баз данных в 2025 году останется на текущем высоком уровне или даже поставит новый антирекорд по сливам, прогнозируют аналитики.

Персональные данные остаются одной из главных целей вымогателей: атакующие сначала похищают чувствительную информацию и лишь затем шифруют инфраструктуру жертвы, обращают внимание в F6: «Чем крупнее цель, тем больше она привлекает злоумышленников: заметен рост количества атак на крупные компании с целью компрометации их клиентов».

Размытый облик хакера

В условиях продолжающегося геополитического конфликта количество кибератак и число хакерских групп будет и дальше расти, отмечают авторы исследования. Если в 2023 году насчитывалось 14 прогосударственных APT-групп (Advanced Persistent Threat), атакующих Россию и СНГ, то в 2024-м их стало в два раза больше — 27. Идеологически мотивированные группы хакеров — хактивисты — продолжат обмениваться опытом и прокачают свои навыки и инструменты, что, несомненно, повысит эффективность их атак. В 2024 году не менее 17 таких группировок атаковали российские и белорусские организации, хотя еще годом ранее их было как минимум 13.

Еще одно наблюдение: количество DDoS-атак в 2024 году выросло минимум на 50% как по количеству, так и по числу задействованных в ботнетах устройств. При этом наиболее активным атакующим остается группировка IT Army of Ukraine, указывают в F6, добавляя, что пока продолжается геополитическое противостояние, атаки на российские цели будут идти с нарастающей мощностью.

На этом фоне размываются привычные границы классификации преступных групп — хактивистов, прогосударственных APT-групп, киберпреступников. В частности, хактивисты-диверсанты все чаще атакуют госорганы и компании России, используя в своих атаках программы-шифровальщики — излюбленное оружие финансово мотивированных злоумышленников. А кибершпионы выкладывают украденные базы данных в публичный доступ в Telegram-каналах, чтобы нанести российским компаниям максимальный урон, следует из отчета.

Трогаем российское

Еще один тренд последнего времени: у русскоязычных преступников исчезает правило «не работаем по Ру» — не атаковать российские организации, обращают внимание в F6. Теперь в даркнете можно найти выставленные на продажу базы данных и корпоративные доступы в инфраструктуру компаний из стран СНГ.

«Так, в 2024 году обнаружены продажа девяти корпоративных доступов стран СНГ и сообщение с бесплатной «раздачей» 21 доступа к российским компаниям, одного — к организации из Белоруссии, а еще один доступ из сообщения относился к компании из Украины», — приводят примеры в А6. Всего же количество «лотов» с предложением доступов в инфраструктуру организаций из стран СНГ в прошлом году выросло на 49% по сравнению с 2023 годом. Подобные предложения пользуются повышенным спросом со стороны операторов программ-вымогателей.

Слабое звено

В 2025 году, по прогнозам экспертов, ожидается также увеличение числа атак на цепочки поставок (supply chain attack) и атак типа Trusted Relationship. В ходе последних хакеры могут получить и использовать легитимные учетные записи для входа в корпоративные сети клиентов поставщиков. В роли поставщиков могут выступать IT-интеграторы, разработчики ПО и другие компании.

Не сбавляют интенсивности и фишинговые атаки. Наоборот, число таких нападений с использованием шпионских программ по модели Malware-as-a-Service (MaaS) только растет. В 2024 году вредоносные фишинговые рассылки оставались одним из самых популярных векторов проникновения в инфраструктуру цели. В подавляющем большинстве фишинговых писем вредоносное ПО доставлялось во вложениях — «наименее затратный способ доставки полезной нагрузки» для злоумышленников. Шпионское ПО и инфостилеры — самое популярное вредоносное ПО в рассылках, в течение 2024 года их доля варьировалась от 70% до 80% от всех вредоносных семейств, задействованных в фишинговых рассылках.

Android под прицелом

С увеличением распространения мобильных устройств на базе Android хакеры продолжают совершенствовать комбинированные методы атак, включая использование фишинга, социальной инженерии и вредоносных приложений, говорится в исследовании. Кроме фишинговых сайтов, похищающих данные банковских карт, в 2024 году злоумышленники активно использовали еще и RAT-трояны (трояны удаленного доступа) — их загрузка происходит прямо с фейковых страниц оплаты.

«Путь к заражению Android-устройств сократился до пары кликов», — пишут авторы отчета. С лета 2024 года злоумышленники распространяли в России и Белоруссии троян CraxsRAT под видом легитимных обновлений мобильных приложений «Госуслуг», Минздрава, Минцифры, ЦБ, операторов связи и антивирусов. Тогда же были зафиксированы первые успешные атаки на клиентов ведущих российских банков с использованием легитимного ПО NFCGate. Используя приемы социальной инженерии, злоумышленники предлагают потенциальным жертвам установить на свои Android-устройства приложения на основе NFCGate, которые позволяют киберпреступникам получить через NFC-модуль данные банковской карты и использовать их для хищения денег с банковского счета.

Натиск не ослабевает

Участники рынка в целом с выводами коллег согласны. Вымогательство действительно стало одним из самых заметных трендов прошлого года, подтверждает технический руководитель центра мониторинга и реагирования на кибератаки RED Security SOC Ильназ Гатауллин. Киберпреступники используют, по его словам, в этих целях и вредоносное ПО, и DDoS. «Во втором случае выкуп требуют за прекращение атаки и восстановление доступности веб-ресурса. И многие компании соглашаются заплатить киберпреступникам — это и есть основная причина того, что в 2025 году таких инцидентов станет только больше, — ожидает он. — При этом злоумышленники устанавливают сумму выкупа, ориентируясь на выручку компании, чтобы она оставалась интересной для них, но все-таки посильной для компании».

На усиление этого тренда влияет рост предложения Ransomware-as-a-Service (программа-вымогатель как услуга) в даркнете, констатируют ИБ-специалисты. За счет этого порог входа в киберпреступную деятельность снижается, отсюда и растет число группировок, атакующих Россию. Сами шифровальщики эволюционируют и становятся эффективнее — восстановить данные собственными силами становится все труднее, считает Гатауллин: «Поэтому в 2025 году можно ожидать роста требуемых сумм».

Очевидно, геополитическая обстановка способствует росту числа атак на российские компании и госорганы, говорит руководитель отдела исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) Аскер Джамирзе. Цели злоумышленников, по его словам, могут быть разными: остановка бизнес-процессов, кража денежных средств или личных данных граждан, нанесение репутационного ущерба и др. «В 2025 году стоит ожидать продолжения развития текущих трендов: рост числа кибератак на компании, распространение фишинга и скам-атак, мошенничество против физлиц, — продолжает Джамирзе.— Этому в том числе способствует дефицит кадров в ИБ: инфраструктура большинства компаний не готова противостоять простым атакам, а наличие СЗИ на текущем этапе их развития все равно требует специалистов, способных их эксплуатировать».

Действительно, количество DDoS-атак, как и их и мощность, заметно выросло в минувшем году, размышляет Ильназ Гатауллин. Всего специалисты направления RED Security зафиксировали свыше 68 000 DDoS-атак, причем две трети из них пришлось на второе полугодие 2024 года. DDoS-атаки политически мотивированных хакеров активно продолжаются и в 2025 году — злоумышленники сохраняют тактику ковровых, а также многовекторных атак, которую использовали и в прошлом году, подтверждает директор по продуктам Servicepipe Михаил Хлебунов: «Их целями по-прежнему являются телеком-операторы и кредитные организации. Например, в 2025 году в одной из атак на крупного оператора связи площадь «ковра» превышала 3300 IP-адресов».

Отличием 2025 года от 2024-го Хлебунов называет изменение географии атак. «В 2025-м мы наблюдаем, что 80% вредоносных запросов шло из российской зоны. Злоумышленники использовали подменные адреса в России и прокси, виртуальные машины. Летом и осенью 2024 года чуть более 60% IP-адресов в ботнетах были российскими. Кроме того, в 2024 году в качестве целей на финансовом рынке злоумышленники выбирали крупнейших игроков, в 2025 году это банки среднего размера, при этом с телеком-операторами тренд скорее обратный».

Кроме того, как и прогнозировали ранее эксперты в беседе с Forbes, специалисты фиксируют развитие тренда на использование ИИ для подготовки и проведения атак. Например, в 2024 году специалисты PT Expert Security Center сталкивались с вредоносными скриптами, написанными с использованием ИИ. Злоумышленники также могут использовать подобные технологии для генерации фишинговых писем, дипфейков, ускорения анализа украденных данных, говорит Аскер Джамирзе.

Руководитель направления по развитию стратегии ИБ IT-интегратора «Телеком биржа» Александр Блезнеков ждет, что в 2025 году будет больше фишинговых атак с применением ИИ и социальная инженерия будет выходить на новый уровень. «Использование аудио/видео дипфейков вкупе с фишингом по электронной почте помогут злоумышленникам проводить более эффективные и результативные атаки», — рассуждает он. По мнению эксперта, будет также появляться все больше программ-вымогателей, шифровальщиков и других зловредов, которые будут маскироваться под ИИ-инструменты, так как на них существует спрос.