Кибератаки на кредитно-финансовую отрасль в 2025 году

Об отчете

Настоящий отчет содержит анализ состояния кибербезопасности в российском финансовом секторе в 2024–2025 гг.

Аналитика основана:

1) на данных об атаках на инфраструктуры клиентов ГК «Солар», полученных с помощью:

• сервисов защиты Anti-DDoS и WAF экосистемы Solar MSS,
• центра противодействия кибератакам Solar JSOC;

2) данных с сети сенсоров на базе сервиса PDNS (Protective Domain Name Service), который фиксирует активность различных вредоносных программ из зараженных сетей различных организаций на территории России;

3) данных исследования внешних киберрисков центра мониторинга внешних цифровых угроз Solar AURA.

Ключевые тезисы

• Организации из финансового сектора имеют довольно высокий уровень ИБ-зрелости — к примеру, в общей статистике по отраслям доля их заражения ВПО составляет не более 3%, а доля утечек из финансовых организаций в 2025 году — 0,3%.
• Несмотря на это, отрасль входит в топ-5 наиболее атакуемых секторов экономики;
• Число DDoS-атак на финсектор в 2025 году снизилось почти в 2 раза, а количество атак на веб-приложения в ряде финорганизаций, напротив, растет — возможно, с целью поиска уязвимостей и проведения более сложных кибератак.
• Каждый 5-й киберинцидент в финсекторе в 2025 году был связан с попытками получить доступ к секретным данным для их передачи вовне, еще в 15% случаев речь шла о краже учетных данных.
• Чаще всего в 2025 году хакеры атаковали кредитно-финансовые организации с помощью программ-стилеров с целью кражи конфиденциальной информации (41%), а также средств удаленного доступа с целью управления учетными записями и их продажи на черном рынке (21%).
• Признаки деятельности APT-группировок были замечены в 20% случаев среди всех типов заражений ВПО.

Статистика DDoS-и веб-атак в финансовой отрасли в 2025 году

Общее количество DDoS-атак на кредитно-финансовую отрасль

2024
2025

Категория	Значение 1	Значение 2
Январь	1070	3405
Февраль	1123	2026
Март	3033	17571
Апрель	2220	3674
Май	1891	1930
Июнь	1992	2200
Июль	27849	3178
Август	3603	1183
Сентябрь	20975	1386
Октябрь	4916	1434
Ноябрь	14102	1316
Декабрь	6230	1603

За 2025 год на инфраструктуры организаций финансового сектора и страхования — клиентов сервиса Anti-DDoS ГК «Солар» — было совершено 40 906 DDoS-атак, что в 1,9 раза меньше, чем в 2024 году.

Стоит отметить, что 2024 год в целом запомнился аномально высокими волнами DDoS-атак на финсектор. К примеру, только в июле 2024 года их количество выросло более чем в 10 раз. Целями стали более 60 банков, среди них — лидеры отрасли. Вполне вероятно, что два года назад эти атаки не увенчались серьезными успехами, поэтому злоумышленники сменили тактику и перешли на другие виды кибернападений.

В 2025 году пик DDoS в финотрасли пришелся на март — тогда кибератакам чаще подвергались компании страхового и кредитно-финансового сектора При этом 82% общего числа инцидентов произошло в марте — сразу после завершения переговоров США и Украины в Саудовской Аравии. Это дополнительно подтверждает тренд, обозначенный экспертами «Солара» еще в прошлом году — теперь хакеры проводят DDoS-атаки только в период важных геополитических событий с целью нанесения репутационного и финансового вреда российским банковским организациям и причинения неудобства их клиентам.

Среднее количество DDoS-атак на компанию из сферы финансов и страхования

2024
2025

Категория	Значение 1	Значение 2
Январь	19	52
Февраль	19	33
Март	49	262
Апрель	36	58
Май	31	29
Июнь	31	35
Июль	428	52
Август	56	18
Сентябрь	323	22
Октябрь	83	22
Ноябрь	217	22
Декабрь	115	26

В среднем одна компания из отрасли за 2025 год сталкивалась с 631 DDoS-атакой. Этот показатель также снизился в 2,2 раза в сравнении с 2024 годом, что отражает вышеупомянутый тренд на смену тактики у злоумышленников.

Средняя мощность DDoS-атаки, Mpps

2024
2025

Категория	Значение 1	Значение 2
Январь	0.06	0.04
Февраль	0.10	0.07
Март	0.15	0.04
Апрель	0.12	0.04
Май	0.08	0.03
Июнь	0.30	0.03
Июль	0.21	0.03
Август	0.10	0.08
Сентябрь	0.03	0.08
Октябрь	0.11	0.18
Ноябрь	0.08	0.32
Декабрь	0.07	0.14

Средняя мощность DDoS-атаки, Гбит/сек

2024
2025

Категория	Значение 1	Значение 2
Январь	0.55	0.48
Февраль	0.98	0.50
Март	0.56	0.11
Апрель	0.90	0.24
Май	0.84	0.43
Июнь	0.86	0.49
Июль	0.62	0.57
Август	0.53	0.79
Сентябрь	0.29	0.52
Октябрь	0.56	0.79
Ноябрь	0.32	0.81
Декабрь	0.37	0.69

При общем снижении числа DDoS-атак, за исключением марта 2025 года, фиксируется увеличение средней мощности одной атаки в финсекторе осенью 2025 года — как в Гбит/с, так и в Mpps (millions of packets per second). Это может говорить о том, что в какой-то момент хакеры могли получить доступы к особо мощным ботнетам, возможности которых они решили «протестировать» на российских кредитно-финансовых организациях. В октябре 2025 года Европейским союзом был принят 19-й пакет санкций, который накладывал ограничения на финансовые организации — есть основания предполагать, что временная активизация хакеров связана именно с этим событием.

Максимальная мощность DDoS-атаки, Mpps

2024
2025

Категория	Значение 1	Значение 2
Январь	10.11	7.38
Февраль	28.48	3.28
Март	12.79	15.91
Апрель	8.60	7.28
Май	3.82	0.41
Июнь	86.91	0.80
Июль	121.53	0.65
Август	9.69	17.71
Сентябрь	9.98	4.32
Октябрь	19.55	30.65
Ноябрь	18.08	52.55
Декабрь	21.38	1.51

Максимальная мощность DDoS-атаки, Гбит/сек

2024
2025

Категория	Значение 1	Значение 2
Январь	13.05	50.01
Февраль	16.50	13.80
Март	112.55	152.87
Апрель	23.95	49.95
Май	39.42	4.98
Июнь	51.00	4.33
Июль	393.68	7.12
Август	30.03	169.44
Сентябрь	103.34	11.06
Октябрь	126.83	269.05
Ноябрь	81.46	39.55
Декабрь	158.62	5.40

Что касается максимальной мощности, то очевидно, что весной, а также в конце лета и в октябре хакеры стремились «забить» мусорным трафиком каналы связи нескольких банковских организаций.

На фоне снижения DDoS количество атак на онлайн-ресурсы российских финансовых организаций, напротив, растет. Так, за 2025 год число кибератак (ИБ-событий или сработок правил выявления атак уровня L7) на российские компании из кредитно-финансовой отрасли выросло в 1,7 раза в сравнении с 2024 годом — до 29,9 млн. При этом на одну компанию в среднем приходилось более 2,3 млн таких сработок, что также превышает показатель 2024 года в два раза.

Основная доля веб-атак в 2025 году на финансовый сектор — это работа автоматизированных сканеров, используемых для поиска уязвимостей в веб-приложениях. Их эксплуатация может повлечь проникновение в инфраструктуру финансовой организации, что чревато шифрованием баз данных, утечкой, приостановкой процессов обслуживания клиентов и, как следствие — крупными репутационными и финансовыми потерями.

Чтобы противостоять DDoS- и веб-атакам, мы рекомендуем российским кредитно-финансовым организациям выстраивать эшелонированную защиту от сетевых DDoS-атак (L3/L4). При этом необходимо подключить как общую очистку от мощных DDoS-ударов, так и систему тонкой очистки от атак на конкретные интернет-сервисы с малой емкостью. Вместе с этим мы рекомендуем включить фильтрацию бот-трафика и WAF-защиту уровня приложений (L7).

Кибератаки на финансово-страховой сектор в 2025 году

В этом разделе представлены данные мониторинга киберинцидентов в инфраструктурах клиентов центра противодействия кибератакам Solar JSOC.

По итогам 2025 г. Solar JSOC выявил в сфере финансов и страхования 8450 подтвержденных киберинцидентов, что примерно соответствует уровню предыдущего года (в 2024 г. — почти 9 тыс. подтвержденных инцидентов на той же клиентской базе, это снижение на 6%).

Динамика количества инциндетов в сфере финансов и страхования

Категория	Значение
2023 г.	6000
2024 г.	9000
2025 г.	8450

Отрасль входит в топ-5 наиболее атакуемых секторов экономики наряду с госсектором, добывающей и пищевой промышленностью, а также торговлей. Среднее количество атак на одну финансово-кредитную организацию в 2025 г. составило 6048.

Среднее число кибератак на организацию в разных отраслях в 2025 г.

Категория	Значение
Госсектор (ФОИВ+РОИВ)	8554
Пищевая промышленность	6458
Торговля	6143
Финансы и страхование	6048
Транспорт и логистика	5967

При этом среди наиболее характерных для отрасли типов инцидентов: внутренние угрозы (т. е. случайные и умышленные действия сотрудников, повлекшие ущерб для организации), несанкционированный доступ к системам или данным и утечки данных.

Каждый 5-й фиксируемый инцидент был связан с попытками получения доступа к конфиденциальной информации и передачи ее за пределы защищенного периметра (для сравнения: в других отраслях доля инцидентов, способных привести к утечкам, не превышает 1%). Еще в 15% случаев речь шла о краже учетных данных.

Типы инцидентов в финансовом секторе в 2025 г.

Категория	Значение	Цвет
Утечка	20%	#5f1224
Кража учетных данных	15%	#fe6e36
Подозрительные действия с УЗ	12%	#ffb84d
Разведка	11%	#fddc5c
Известное ВПО	11%	#9fc131
Нарушения политик безопасности	9%	#1f8a70
Сетевые изменения	5%	#0fa4cd
Остальное	4%	#69306d
Изменения хостов, ПО и конфигураций	4%	#f43d4b
Атаки на веб-приложение	4%	#bb7b05
Хакерские утилиты и инструменты	2%	#6e9075
Фишинг	1%	#264653
Вредоносная сетевая активность	1%	#2f6387
Использование запрещенного ПО	1%	#9f2042

В топе угроз также оказались и подозрительные действия с учетными записями, разведка, использование известного вредоносного ПО. Это может говорить о росте активности профессиональных APT-группировок, желающих украсть информацию с целью нанесения вреда организации и личного заработка. Подробнее об этом — в следующих разделах отчета.

Внешние цифровые угрозы

По данным центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар», в 2025 году было зафиксировано 24 публичных сообщения об утечках баз данных компаний из финансового сектора — это на 38% меньше, чем в 2024 году. В общий доступ попало 12,8 млн строк данных, и здесь тоже наблюдается снижение в 32 раза в сравнении с 2024 годом.

В целом финсектор занимает долю в 0,3% по числу утечек баз данных в совокупной статистике по отраслям. Это можно объяснить высоким уровнем ИБ-зрелости российских компаний кредитно-финансовой сферы. В частности, вовремя фиксировать попытки хакеров проникнуть в инфраструктуру организаций и похитить данные помогает комплексный подход к мониторингу и реагированию Solar JSOC.

Фишинговая нагрузка на банки также сильно снизилась. Сегодня подавляющее большинство клиентов пользуются не сайтами, а мобильными приложениями, доступы к аккаунтам, которых куда сложнее украсть напрямую. Именно поэтому сегодня все силы мошенников направлены на получение доступа к профилям пользователей на различных госпорталах и в мессенджерах — в первую очередь с помощью приемов социнженерии.

Стоит отметить, что одной из важных внешних цифровых киберугроз на сегодняшний день является дроппинг — один из видов киберкриминала. Используя преступные схемы для проведения любых нелегальных финансовых операций в интернете и отмывания денег, мошенники, например, осуществляют переводы средств от жертв или владельцев нелегальных онлайн-казино. При этом для реализации крупных криминальных схем им требуется вовлечение многих сотен дропперов, поэтому спрос на них в преступном мире крайне высок.

В 2025 году эксперты Solar AURA переосмыслили подходы к выявлению средств и инструментов для отмывания денег и вывода средств, полученных незаконным путем, и теперь выявляют не только мерчантов и банковские карты, которые используются в сомнительных финансовых активностях, но и номера телефонов, привязанные к банковским аккаунтам или СБП.

Всего эксперты Solar AURA за 2025 год зафиксировали 689 849 случаев эквайринга и использования карт дропперов, а также телефонных номеров, с помощью которых осуществлялся незаконный прием денег.

Заражение вредоносным ПО в финсекторе в 2025 году

В этом разделе приведена статистика по заражению организаций вредоносным ПО на основе информации с сети сенсоров центра исследования киберугроз Solar 4RAYS.

Эти данные позволяют выделить индикаторы компрометации, относящиеся к разным типам угроз (вредоносное ПО конкретного типа). Например, ВПО для майнинга криптовалют, программы-вымогатели (шифровальщики), стилеры, индикаторы APT-группировок, загрузчики (ВПО для загрузки другого ВПО), ботнеты, фишинг и средства удаленного доступа (Remote Access Tools, RAT).

На финансовые организации приходится небольшая доля всех зафиксированных фактов заражения ВПО — всего 3%. Это указывает на то, что организации из кредитно-финансовой отрасли хорошо защищены и успешно отражают наиболее популярные вредоносы.

Всего за год сенсоры зафиксировали 375,4 тыс. случаев заражений ВПО в подобных организациях. Большая часть из них пришлась на 1-й квартал — это может быть связано с активизацией злоумышленников после периода новогодних праздников (в 4-м квартале активность, как правило, падает).

Общее количество сработок сенсоров в финсекторе, тыс. шт.

Категория	Значение
4 кв. 2024	71,7
1 кв. 2025	162,5
2 кв. 2025	132
3 кв. 2025	58
4 кв. 2025	23

При этом в 4-м квартале 2025 года среднее число подобных инцидентов на одну организацию в отрасли выросло в 3,9 раза в сравнении с аналогичным периодом прошлого года — на одну компанию за октябрь — декабрь пришлось по меньшей мере 74 заражения ВПО. Это говорит об увеличении активности атакующих, что для финансового сектора вполне объяснимо: подобные организации представляют особый интерес для злоумышленников, особенно в «высокие» предпраздничные периоды.

Среднее количество сработок сенсоров в финсекторе

Категория	Значение
4 кв. 2024	19
1 кв. 2025	118
2 кв. 2025	123
3 кв. 2025	67
4 кв. 2025	74

Основными угрозами для финсектора среди вредоносов являются программы-стилеры (41%), предназначенные для кражи конфиденциальной информации у российских компаний. На втором месте — средства удаленного доступа (RAT) или бэкдоры (21%), с помощью которых злоумышленники могут управлять взломанными машинами и продавать доступы к взломанным инфраструктурам на черном рынке.

Распространение ВПО в финсекторе в 2025 году

Категория	Значение	Цвет
Средства удаленного доступа	77294	#5f1224
Стилеры	154326	#fe6e36
Ботнеты	28459	#ffb84d
APT	73638	#fddc5c
Майнеры	14381	#9fc131
Фишинг	7106	#1f8a70
Загрузчики	9276	#0fa4cd
Вымогатели	10929	#69306d

Мы видим, что основным ВПО, атакующим организации финсектора, являются стилеры и средства удаленного доступа. Профессиональные APT-группировки обычно атакуют финансовые организации с целью кражи конфиденциальных данных для извлечения прибыли или для последующих атак, а также с целью прямого хищения денег, используя доступ к учетным записям. Таким образом, можно сказать, что финансовый сектор ожидаемо привлекает злоумышленников, которые хотят «заработать».

Распространение ВПО в финсекторе в 4 квартале 2025 года

Категория	Значение	Цвет
Средства удаленного доступа	8699	#5f1224
Стилеры	7497	#fe6e36
Ботнеты	574	#ffb84d
APT	4664	#fddc5c
Майнеры	491	#9fc131
Фишинг	407	#1f8a70
Загрузчики	544	#0fa4cd
Вымогатели	28	#69306d

Распространение ВПО в финсекторе в 4 кватале 2024 года

Категория	Значение	Цвет
Средства удаленного доступа	14434	#5f1224
Стилеры	9050	#fe6e36
Ботнеты	3396	#ffb84d
Индикаторы APT-группировок	7997	#fddc5c
Майнеры	3460	#9fc131
Фишинг	2009	#1f8a70
Загрузчики	679	#0fa4cd
Вымогатели	193	#69306d

Отдельно стоит отметить, что к концу 2025 года доля обнаруженных стилеров в зараженных организациях финсектора выросла на 10 п. п. в сравнении с аналогичным периодом прошлого года. Стилеры — массовое вредоносное ПО, способное похищать всевозможные типы данных, включая учетные данные, и распространены они в тех организациях, где много ценной информации. Рост числа таких атак свидетельствует о повышенном интересе злоумышленников к инфраструктурам финансовых организаций, поскольку похищенные данные имеют высокую ценность на черном рынке, а также могут использоваться для непосредственного хищения денег.

Выводы

В целом ландшафт угроз для финансовых организаций повторяет картину, характерную для таких индустрий, как ТЭК, промышленность и другие наиболее важные для страны отрасли. Причина одна — финансовая индустрия, как и остальные перечисленные, обладает большими объемами ценных данных: к ним относится как внутренняя информация о деятельности самой организации, так и информация о ее клиентах.

Топ-3 наиболее распространенных в индустрии угроз (стилеры, средства удаленного доступа и инструменты APT-группировок) характеризуют основной мотив злоумышленников, атакующих такие организации: получение доступа к конфиденциальной информации и учетным записям.

Примечательно, что в совокупном объеме ИБ-событий, связанных с вредоносным ПО и утечками, у финансовых организаций скромная доля. Косвенно это свидетельствует о высоком уровне защиты. То же самое можно сказать и о показателе интенсивности атак: в финансовой индустрии он хоть и вырос, но значительно меньше, чем во многих других — например, в ТЭК, где среднее число заражений ВПО на одну организацию превышает 1 тысячу.

Впрочем, несмотря на общий высокий уровень защищенности инфраструктур, актуальными для финансовой индустрии остаются угрозы со стороны профессиональных APT-группировок, а также группировок киберпреступников, которые стремятся извлечь финансовую выгоду из атак либо через попытку прямых хищений денег, либо опосредованно — через вымогательство или перепродажу конфиденциальных данных.

Чтобы надежно защититься от киберугроз, мы рекомендуем финансовым организациям предпринимать следующие меры:

• Регулярно сканировать свой внешний периметр на предмет изменения опубликованных сервисов и наличия в них уязвимостей.
• Публиковать в интернет только действительно необходимые сервисы и осуществлять за ними повышенный контроль. Все интерфейсы управления инфраструктурой и ИБ не должны быть доступны из публичной сети.
• Использовать продвинутые средства защиты (EDR, SIEM) наряду с классическим защитным ПО, чтобы иметь возможность отслеживать события в инфраструктуре и вовремя обнаруживать нежелательные. А кроме того, использовать решения, способные распознавать атаки в DNS-трафике.
• Оперативно обновлять все используемое в инфраструктуре ПО.
• Строго контролировать удаленный доступ в инфраструктуру, особенно для подрядчиков.
• Предельно ответственно относиться к соблюдению парольных политик, пользоваться сервисами мониторинга утечек учетных записей и вовремя их обновлять. Обеспечить защиту от автоматизированных атак методом подбора.
• Создавать инфраструктуру бэкапов, следуя принципу «3-2-1», который предполагает наличие не менее трех копий данных, хранение копии как минимум на двух физических носителях разного типа и наличие минимум одной копии за пределами основной инфраструктуры.
• В случае подозрения на атаку не медлить с оценкой компрометации, а лучше делать ее на регулярной основе.
• Заниматься повышением киберграмотности сотрудников — ведь успешная атака на основе социальной инженерии возможна даже в самой защищенной инфраструктуре.
• Следить за тем, чтобы служба ИБ имела постоянный доступ к последним сведениям о ландшафте киберугроз конкретного региона и индикаторам компрометации.