DDoS-атаки

В этом разделе описаны атаки, зафиксированные и отраженные сервисом мониторинга трафика и защиты от DDoS-атак (Anti-DDoS). DDoS-атака— это действия злоумышленников, направленные на нарушение работоспособности инфраструктуры организации, ее порталов и веб-ресурсов. Хакеры искусственно создают нелегитимный трафик, чтобы сделать ресурсы недоступными для интернет-пользователей.

Промышленность

Количество атак

С января по апрель 2025 года эксперты сервиса Anti-DDoS ГК «Солар» зафиксировали 4,6 тыс. DDoS-атак на отрасль промышленности. При этом в среднем на одну компанию из этого сектора с начала года приходилось 72 DDoS-атаки, что почти на 42% меньше, чем в аналогичном периоде 2024 года, и на 53% меньше в сравнении с тем же периодом в 2023 году — тогда фиксировалось максимальное количество DDoS-атак на отрасль за последние годы.

Среднее количество атак на одну компанию

2023 год
2024 год
2025 год

Это дает основание говорить о том, что хакеры в ходе атаки натыкаются на качественную защиту от DDoS и предпочитают либо сменить тип кибератаки для нанесения более эффективного удара, либо перейти к следующей жертве.

Общее количество атак год к году

2023 год
2024 год
2025 год

Что касается общего числа DDoS-атак, то 2025 год показывает динамику, близкую к 2024 году. Однако в марте этого года был зафиксирован резкий рост атак — до 3 тыс., что более чем в 2 раза выше показателей первых трех месяцев 2024 и 2023 года. Это может быть связано с временным повышением интереса хакеров после объявления нового пакета санкций со стороны ЕС, который также коснулся компаний данного сектора.

Продолжительность атак

Средняя продолжительность атак, час

2023 год
2024 год
2025 год

В 2024 году средняя продолжительность атак постепенно уменьшалась — этот тренд продолжился и в текущем году. Если в начале их длительность составляла порядка 80 часов, то к концу предыдущего года значение снизилось до 12–15 часов, а в этом году не превышает 5–10 минут.

Мощность

Средняя мощность атак, Гбит/сек

2023 год
2024 год
2025 год

Средняя мощность атак в 2025 году не превышает показателей 2024 года, когда наблюдался всплеск по мощности по отдельным клиентам Anti-DDoS в связи с получением доступа к более мощным ботнетам. Сегодня каких-либо трендов к увеличению не наблюдается.

Максимальная мощность атак, Гбит/сек

2023 год
2024 год
2025 год

А вот максимальная мощность атак на отрасль за январь — апрель 2025 года значительно выросла. Особый пик пришелся на март: тогда мощность выросла в 10 раз по сравнению с аналогичным периодом 2024 года — до 106 Гб/сек. Это обострение совпало с периодом общего увеличения атак в марте 2025 года в период принятия нового пакета санкций ЕС против российских компаний. Из этого можно сделать вывод, что злоумышленники временно увеличили мощность для максимального нанесения репутационного и финансового ущерба промышленным предприятиям.

Телекоммуникации

Количество атак

В отрасли телекоммуникаций наблюдается похожая ситуация. В среднем здесь на одну компанию в январе — апреле 2025 года пришлось 44 атаки — это почти на 70% ниже, чем в 2024 году, что примерно совпадает с показателями предыдущих двух лет.

Среднее количество атак на одну компанию

2023 год
2024 год
2025 год

При этом общее количество атак на телеком-отрасль за первые четыре месяца 2025 года выросло на 56% в сравнении с аналогичным периодом 2024-го, почти до 28 тысяч. Пик также пришелся на март текущего года — за этот месяц произошло 9,5 тыс. атак, что тоже может быть связано с временно возросшим интересом хакеров на фоне геополитической обстановки в мире.

Общее количество атак год к году

2023 год
2024 год
2025 год

Продолжительность атак

Если в начале 2023 года зафиксированные пиковые значения средней продолжительности атак достигали почти пяти дней, то в 2024–2025 годах атакующие перешли к тактике «быстрых» атак, по длительности не превышавших 3–5 минут. Это может говорить о неготовности хакеров тратить много ресурсов на атаки организаций, находящихся под защитой.

Средняя продолжительность атак, часы

2023 год
2024 год
2025 год

Мощность атак

В свою очередь, средняя мощность атак на отрасль в 2025 году тоже снизилась и достигает не более 50% показателей, зафиксированных в прошлом году. Пик мощности пришелся на март текущего года, но не превышает 31 Гбит/сек, что является довольно низким показателем.

Средняя мощность атаки, Гбит/сек

2023 год
2024 год
2025 год

Максимальная мощность атак, Гбит/сек

2023 год
2024 год
2025 год

Максимальная же мощность, напротив, говорит о повышении интереса хакеров к телеком-отрасли во второй половине 2024 года и начале 2025. Так, в феврале 2025 года данный показатель вырос до 508 Гбит/сек — это в 2,5 раза больше, чем в том же месяце годом раньше. Это может быть связано с тем, что в конце 2024 года хакеры получили доступ к более мощным ботнетам, а геополитическая обстановка мотивировала их на попытки совершения новых DDoS-атак.

В целом статистика говорит о том, что большинство злоумышленников переключились на более сложные атаки в том числе и потому, что повсеместное внедрение эшелонированной защиты от DDoS сводит на нет эффективность данного вида атак.

Веб-атаки

В данном разделе представлены результаты аналитики по веб-атакам (уровень L7) на онлайн-ресурсы группы компаний промышленного сектора в 2024 году и в начале 2025 года, зафиксированных и отраженных сервисом WAF платформы Solar MSS ГК «Солар».

Количество веб-атак на промышленные компании

2024 год
2025 год

С января по апрель 2025 года общее число веб-атак на одну и ту же группу промышленных компаний — клиентов сервиса составило 5,8 млн, что на 18% меньше, чем в аналогичном периоде 2024 года.

Здесь снижение числа веб-атак тоже может быть связано с высокой защищенностью организаций — злоумышленники пытаются атаковать веб-приложения, однако сталкиваются с защитой от «Солара» и, чтобы не тратить зря свои ресурсы, отправляются на поиски «беззащитной» жертвы.

При этом в организациях промышленной сферы в 2025 году отмечается резкий рост числа SQL-инъекций (внедрение в веб-приложение вредоносного кода, выполнение которого может привести к краже баз данных и другой конфиденциальной информации). По данным экспертов «Солара», только за апрель текущего года число такого вида атак выросло на 75% в сравнении с аналогичным периодом 2024 года.

Количество SQL-инъекций на веб-приложения промышленных компаний

2024 год
2025 год

Промышленные компании нередко становятся мишенью для злоумышленников, стремящихся получить доступ к конфиденциальным данным, таким как проектная документация, данные о производственных процессах или интеллектуальная собственность. SQL-инъекции — один из самых простых и эффективных способов для кражи персональных данных.

Именно поэтому мы рекомендуем всем компаниям, особенно в области промышленности, внедрить качественную защиту от атак на веб-приложения, чтобы избежать финансовых и репутационных рисков – утечек данных, приостановки процессов и оборотных штрафов.

Ключевые уязвимости

В этом разделе представлены данные, полученные в ходе проектов по анализу защищенности и тестированию на проникновение, выполненных экспертами отдела анализа защищенности центра противодействия кибератакам Solar JSOC в 2024 году.

По результатам анализа защищенности на сектор промышленности и телекома, как и в прошлом году, приходится 22% всех обнаруженных уязвимостей с высоким уровнем критичности. При этом из них 6% приходится на телекоммуникации, а 22% — на производственный сектор.

По результатам реализованных проектов, большинство обнаруженных в 2024 году уязвимостей не отличаются от уязвимостей 2023 года и связаны со слабой парольной политикой (24%) и недостатками в контроле доступа (20%).

Топ-5 критических уязвимостей внешних периметров, 2024 год

Топ-5 критических уязвимостей внешних периметров, 2023 год

При этом трендами текущего года стали выполнение вредоносного кода (16%), внедрение SQL-кода в запросах к базе данных (12%), которые могут привести к утечкам, и раскрытие отладочной и конфигурационной информации (12%).

Чтобы минимизировать риски нарушения работы наиболее значимых организаций в сфере промышленности и телекома, мы рекомендуем усилить парольную политику, провести обучение сотрудников правилам кибергигиены, грамотно настраивать и регулярно проводить контроль доступа к системам и их функциональности.

Для раннего обнаружения киберугроз рекомендуется воспользоваться сервисом контроля уязвимостей (VM), который направлен на поиск и учет информационных активов и оценку уровня защищенности сетевой инфраструктуры. После сканирования ИТ-активов эксперты сервиса приоритизируют обнаруженные уязвимости по степени критичности, разрабатывают рекомендации по их исправлению и проверяют выполнение.

Статистика заражений ВПО

В этом разделе представлена аналитика экспертов Центра исследования киберугроз Solar 4RAYS, собранная с сети сенсоров в 1 квартале 2025 года в сравнении с 4 кварталом 2024 года.

Сенсоры считывают обращения ВПО к управляющим серверам из инфраструктур организаций, что помогает выделить индикаторы компрометации, относящиеся к разным типам угроз (вредоносное ПО конкретного типа). Эти данные позволяют экспертам Solar 4RAYS выявлять: ВПО для майнинга, программы-вымогатели (шифровальщики), стилеры, сложные киберугрозы (APT), загрузчики (ВПО для загрузки другого ВПО), ботнеты, фишинг и средства удаленного доступа (Remote Access Tools, RAT).

По результатам аналитики, среднее число атак в пересчете на одну организацию выросло во всех исследуемых организациях, как в промышленных, так и в телекоммуникационных. При этом, если в 1 квартале 2025 года среднее количество атак по всем отраслям увеличилось в 3,2 раза в сравнении с предыдущим кварталом, то в промышленности этот показатель вырос более чем в 5 раз. Таким образом, по итогу 1 квартала текущего года на одну компанию из сектора промышленности в среднем приходилось более 200 инцидентов, а из отрасли телекома — 158 инцидентов.

Наиболее распространенными угрозами для промышленной отрасли в I квартале 2025 года оказались стилеры, средства удаленного доступа (RAT) и индикаторы APT-группировок — в совокупности на них пришлось 80,36% событий.

Распределение киберугроз в промышленности в 1 квартале 2025 года

Распределение киберугроз в промышленности в 4 квартале 2024 года

Отметим, что в 1 квартале 2025 года доля стилеров выросла на 24 п.п., а индикаторов APT — группировок — на 4 п.п., до 19%. Также незначительно увеличилась и доля программ-вымогателей — с 1 до 4%.

Такая динамика может быть связана со сменой целей злоумышленников — если раньше они чаще использовали программы-шифровальщики для полного уничтожения полученных данных, то в этом году они совершают больше атак с целью шпионажа и проникновения в инфраструктуру, чтобы затем нанести удар в наиболее подходящий момент.

При этом рост стилеров может быть связан и с нынешней геополитической обстановкой, на фоне которой растет число интересантов, желающих получить конфиденциальные данные в том числе промышленных компаний – за счет этого злоумышленники смогут спрогнозировать вероятные действия государства.

Незначительное увеличение доли программ-вымогателей в отрасли может говорить о желании хакеров не просто шпионить и совершать сложные целевые атаки, но и зарабатывать на украденных стилерами данных — в этом случае подключаются и программы-вымогатели, и шифровальщики, и майнеры, которыми все еще пользуются хакеры.

Распределение угроз в сфере телекома в 1 квартале 2025 года

Распределение угроз в сфере телекома в 4 квартале 2024 года

Для телекома самым опасным типом угроз в 1 квартале стали APT-группировки — на индикаторы их присутствия пришлось 58,28% зарегистрированных событий, при этом показатель за один квартал вырос на 10 п.п. Второе место занимают средства удаленного доступа (RAT) — 27% событий, а третье — стилеры (8%).

Статистика дополнительно подтверждает тот факт, что сложные таргетированные атаки от APT-группировок являются ключевой растущей угрозой, в том числе для телеком-отрасли. Отдельно отметим, что подобные атаки на телеком-сектор влекут за собой и рост числа атак на цепочки поставок с возможностью совершения «атак посередине» (MiTM). В результате такой атаки хакеры получают доступ к каналу связи между легитимными сторонами (пользователями, приложениями, сетевыми устройствами и т. д.), что позволяет им просматривать содержимое всех передаваемых ими сообщений, удалять и изменять их. Такие атаки куда сложнее обнаружить как на стороне атакованной жертвы, так и на стороне подрядчика.

Для надежной защиты эксперты Solar 4RAYS рекомендуют ИБ-командам из организаций сферы промышленности и телекоммуникаций:

  • Использовать продвинутые системы безопасности (EDR, SIEM) наряду с классическим защитным ПО, чтобы иметь возможность отслеживать события в инфраструктуре и вовремя выявить нежелательные. Такие решения не только эффективно обнаруживают массовое ПО (подобное стилерам), но и могут помочь обнаружить и остановить целевую атаку.
  • Заниматься повышением киберграмотности сотрудников — ведь успешная атака на основе социальной инженерии возможна даже в хорошо защищенной инфраструктуре.
  • Следить за тем, чтобы служба ИБ имела постоянный доступ к последним сведениям о ландшафте киберугроз конкретного региона и индикаторам компрометации.
  • Для защиты телеком-компаний — не просто внедрять комплексную защиту от киберугроз, но и сотрудничать с ИБ-партнерами, которые погружены во внутренние процессы отрасли и способны оперативно отразить сложные атаки.

Выводы

  • Хакеры переключились с DDoS- и веб-атак в отрасли промышленности и телекома на кибершпионаж с помощью стилеров.
  • Число SQL-инъекций в веб-приложения компаний из отрасли промышленности с целью кражи конфиденциальной информации только за апрель 2025 года выросло на 75% год к году — это также говорит о тяготении злоумышленников к шпионажу.
  • Слабая парольная политика и недостаточный контроль доступа — основные уязвимости организаций промышленности и телекома в 2024 году.
  • Таргетированные атаки APT-группировок — ключевая растущая угроза для обеих отраслей.