Дисклеймер: Материал носит исключительно ознакомительный характер и направлен на информирование организаций о современных киберугрозах и практиках тестирования на проникновение. Его цель — повышение осведомлённости и активности компаний в области информационной безопасности, развитие культуры киберустойчивости и повышение надёжности бизнес-процессов.
Летом 2024 года специалисты PT Expert Security Center (PT ESC) зафиксировали необычную схему. Хакеры представлялись заказчиками, вступали в переписку, создавали ощущение партнёрства — и только потом присылали архив с «техническим заданием». На деле внутри находился шифрованный троян. Адрес-приманка отличался от настоящего всего одной буквой: promautomautic.ru вместо promautomatic.ru. В другой кампании злоумышленники рассылали письма якобы от управления ФСТЭК по Северо-Западу. Домен fstec.info выглядел правдоподобно, но не имел отношения к реальному ведомству. Сначала жертве отправляли «безопасное» вложение — мутный скан документа, чтобы вызвать ответ и вовлечь в переписку. Лишь после установления доверия приходил вредоносный файл. Так рождается новая форма атаки — социальная инженерия второго уровня, где важна не техника, а психология.
Невидимые трояны и легальные инструменты
Каждая вторая заражённая система в России в 2025 году поражалась троянами удалённого управления — RAT (Remote Access Trojan). Эти программы позволяют злоумышленнику наблюдать за экраном, перехватывать пароли, записывать нажатия клавиш, устанавливать новые модули. Один из ярких примеров – STRRAT, активно применявшийся группировкой Bloody Wolf. Но всё чаще хакеры обходят антивирусы, используя легитимные программы удалённого доступа. AnyDesk, UltraVNC, TightVNC, Radmin, NetSupport — привычные инструменты администраторов превращаются в «тени» кибератак. Парадокс в том, что они не классифицируются как вредоносные и потому долго остаются незамеченными.
Когда вирус становится вымогателем
Растёт доля атак с использованием шифровальщиков (ransomware) – с 25% до 35%. Это уже целая экономика вымогательства. Наибольшую активность показывают программы LockBit Black (3,0), Babuk, Conti — код которых в своё время утёк в открытый доступ и теперь используется десятками группировок. Киберпреступность становится фрагментированной: хактивисты стремятся к эффекту и резонансу, а не только к прибыли. Поэтому вымогательство часто совмещается с демонстративными утечками данных.
Подрядчик как точка входа
В 2025 году особую тревогу вызвал рост атак через цепочки поставок. Хакеры всё чаще проникают в инфраструктуру крупных компаний через подрядчиков – IT-провайдеров, сервисные компании, операторов связи. Их VPN-каналы и учётные данные становятся мостом в доверенные сети клиентов. Если в 2023 году доля таких атак составляла всего 2%, то сегодня — уже 4%. Немного? Но компрометация одного подрядчика способна открыть десятки «дверей» одновременно. Показателен пример атаки на американскую Collins Aerospace — разработчика системы регистрации пассажиров MUSE. Взлом этой платформы вызвал сбои сразу в нескольких аэропортах Европы. В России аналогичные угрозы фиксируются в секторах телекоммуникаций, промышленности и госсервисов. Группы Blackjack, Silent Crow, Crypt Ghouls и ExCobalt применяют именно эту тактику, усиливая эффект за счёт масштабности поражения.
Рынок украденных данных
Главное последствие атак — утечка информации. В 2025 году доля инцидентов с компрометацией данных выросла с 44% до 56%. Похищаются коммерческие тайны, учётные записи, персональные данные сотрудников и клиентов. Чёрный рынок данных стал почти легализованным теневым сектором. Каждое четвёртое объявление на дарквеб-площадках связано с продажей украденных баз: 81% из них стоят менее 1 тыс. долларов. Простая база с именами и телефонами оценивается примерно в 120 $, а архив с паспортами и ИНН — в 500–600 $. Но если речь идёт о доступе к корпоративным системам — цена исчисляется десятками тысяч. Интересно, что более половины утечек выкладываются в открытый доступ — не ради прибыли, а ради давления или саморекламы. Для бизнеса это самый разрушительный сценарий: однажды выложенная база мгновенно множится по форумам, и контролировать её уже невозможно.
Когда цифра становится инфраструктурой
Современные кибератаки наносят ущерб не только отдельным организациям. Срыв работы промышленной линии или отключение энергосистемы способны вызвать каскадный эффект — от транспорта до ЖКХ. В России киберустойчивость стала новой стратегической задачей. За последние годы государственные структуры и крупные компании усилили системы защиты, внедрили отечественные решения и централизованные центры реагирования. Именно поэтому, несмотря на общий рост угроз, доля DDoS‑атак остаётся стабильной — около 11%. Если раньше цифровые сервисы были вспомогательным элементом экономики, то сегодня они – её скелет. Удар по IT-инфраструктуре способен затронуть уровень доверия общества к государству и бизнесу.
Материал подготовлен:
- доцентом Кафедры бизнес-информатики Финансового университета при Правительстве Российской Федерации, к.э.н. Зубовым Ярославом Олеговичем,
- и заместителем заведующего Кафедрой бизнес-информатики Финансового университета при Правительстве Российской Федерации Сергеевым Степаном Алексеевичем.
