Мир киберугроз все больше напоминает шахматную партию, где противник просчитывает каждый ход на десятки шагов вперед. По данным отчёта Code Red 2026 от компании Positive Technologies – «Актуальные киберугрозы для российских организаций», во второй половине 2024-го и в первых трёх кварталах 2025 года наибольшее количество атак пришлось на промышленность (17%), государственный сектор (11%), ИТ-компании (9%) и телекоммуникации (7%). Такое распределение демонстрирует: в фокусе — не просто данные, а системы, управляющие экономической и инфраструктурной стабильностью страны.
Если ещё несколько лет назад главными жертвами кибершпионажа были госструктуры, то теперь на передовой — промышленные и производственные предприятия. Их доля в числе атак выросла на 6 процентных пунктов по сравнению с предыдущим годом, достигнув 17%. Причина очевидна: промышленность стала ядром цифровой трансформации. Здесь сосредоточены технологические разработки, производственные алгоритмы, научные ноу‑хау – то, что формирует конкурентное преимущество и экономическую независимость. Цифровизация производственных процессов, внедрение интернета вещей (Internet of Things — интернет вещей) и систем автоматизации создают новую поверхность атаки. Чем сложнее цепочка устройств, тем выше вероятность проникновения. В 37% случаев за атаками на промышленные компании стояли кибершпионские группировки, среди которых выделяются PhantomCore, PseudoGamaredon, GOFFEE, XDSpy и ExCobalt – имена, ставшие частью глобального киберландшафта.
Наиболее распространённый метод проникновения – фишинг. Преступники тщательно подбирают темы писем, имитируя внутренние документы, расчётные ведомости или официальные распоряжения. Так, в одной из кампаний группировка PhantomCore рассылала письма с архивами, эксплуатирующими уязвимость PT-2023–4552 (CVE-2023–38831), а в начале 2025 года группа Telemancon использовала подделанные письма якобы от имени ФСТЭК России. Такая социальная инженерия применялась в 69% атак, часто для кражи учётных данных сотрудников. Полученные логины и пароли затем использовались для дальнейшего продвижения по инфраструктуре предприятия или перепродавались на теневых форумах.
Почти восемь из десяти атак (79%) сопровождались внедрением вредоносного программного обеспечения (ВПО). В половине случаев применялись инструменты удалённого управления, в 41% – шифровальщики, парализующие работу предприятий. Атаки вызывали сбои и остановки в работе производств в 38% инцидентов, что напрямую влияло на выпуск продукции, логистику и выполнение контрактов. Особенно тревожна статистика утечек: в 61% успешных атак похищалась конфиденциальная информация. На дарквеб-площадках стоимость таких архивов, связанных с промышленными данными, достигала 2,448 биткоинов (около 300 тысяч долларов США). В них – отчёты экспериментов, внутренние IP-адреса, схемы охраны и даже стратегические планы реагирования.
Если раньше злоумышленники преследовали узкие цели — кражу данных или вымогательство, — то сегодня угрозы приобретают комплексный характер. Кибершпионаж переплетается с финансовыми мотивами и элементами хактивизма. В результате атаки направлены не только на прямой ущерб, но и на дестабилизацию производственных цепочек. Это новая фаза – «экономика цифровых уязвимостей», где компрометация одного узла способна парализовать всю отрасль.
Государственные учреждения остаются одной из самых привлекательных целей для киберпреступников — не только в России, но и во всём мире. В ведомствах и госкорпорациях сосредоточены критически важные данные: сведения о внутренней политике, оборонных проектах, системах безопасности. Неудивительно, что 46% всех атак на госучреждения связаны с кибершпионажем, а ещё 31% – с хактивизмом. Главный инструмент атакующих — вредоносное программное обеспечение для удалённого администрирования (Remote Access Trojan, или RAT). По данным специалистов Positive Technologies, в 55% случаев именно такие средства применялись для длительного скрытого доступа к сетям госструктур. Известен пример, когда с помощью программы GoblinRAT злоумышленники в течение трёх лет вели наблюдение за российскими ведомствами. Второе место по частоте занимает шпионское ПО – 36% атак. Группировка PhantomCore использовала инструменты PhantomStealer и PhantomRAT, а группа TA Tolik внедряла модифицированный стилер Unicorn с функцией поиска файлов военной топографии.
Каждый шестой инцидент в госсекторе связан с распределёнными атаками отказа в обслуживании (Distributed Denial of Service – DDoS). Они нередко совпадают с общественно значимыми событиями. Например, в день саммита БРИКС ресурсы МИД России подверглись атаке, что временно вывело сайт из строя. Такого рода действия часто носят символический характер — это не попытка кражи, а демонстрация уязвимости.
Атаки на государственные структуры в 63% случаев приводили к компрометации данных. Похищенные массивы чаще всего включают персональные данные граждан, базы паспортов, внутреннюю переписку. В 44% случаев такие данные распространялись бесплатно, в 37% – продавались. Средняя цена на подпольных форумах — около 225 долларов за комплект сведений, а отдельные архивы могут стоить в десятки раз дороже. Эти цифры отражают новый феномен – «теневой рынок идентичностей», где цифровая личность становится объектом купли-продажи. Для преступников это источник дохода, а для государства – вызов, требующий системных ответов.
Кибератаки на государственные учреждения и промышленность отражают мировую тенденцию, но российская специфика — в ответных мерах. После инцидентов 2024 года в госструктурах началась масштабная модернизация серверной инфраструктуры, переход на отечественные решения и внедрение систем постоянного мониторинга. По результатам тестов PT SWARM, устаревшее программное обеспечение остаётся слабым звеном — его выявили в 80% организаций. Однако уже к концу 2025 года большинство ведомств планируют завершить переход на обновлённые защищённые платформы, что формирует новую основу цифровой устойчивости. Если раньше задача сводилась к отражению атак, то сегодня приоритет смещается к упреждению и адаптации — формированию среды, где атака не разрушает систему, а лишь проверяет её на прочность.
Главная тенденция 2025 года — переход от реактивной к проактивной кибербезопасности. Россия выстраивает собственную модель цифровой зрелости, в которой промышленность и госсектор становятся не уязвимыми объектами, а центрами устойчивости. Побеждает не тот, кто делает ход первым, а тот, кто умеет видеть всю доску.
