ГК «Солар»: хакеры переключились на шпионаж и сложные атаки в телекоме и промышленности

В 2025 году хакеры изменили цели атак в промышленности и телекоме. Если раньше они совершали мощные и продолжительные киберудары для нарушения работы онлайн-ресурсов и ИТ-инфраструктуры компаний, то теперь они переключились на кибершпионаж и сложные целевые атаки. Такие выводы следуют из отчета «Тренды кибератак на промышленность и телеком в 2025 году», подготовленного экспертами группы компаний «Солар», архитектора комплексной кибербезопасности.

Отчет подготовлен на основе анализа данных с сервисов Anti-DDoS и WAF, статистики Solar 4RAYS с сети сенсоров, а также проектов, проведенных отделом анализа защищенности.

Шпионаж и целевые атаки

Согласно данным с сети сенсоров, во всех отраслях в 1 квартале 2025 года число атак в расчете на одну на организацию выросло в среднем в 3,2 раза по отношению к 4 кварталу 2024 года. В то же время в промышленности этот показатель увеличился более чем в 5 раз: на одно предприятие в среднем приходилось более 200 инцидентов.

Сенсоры считывают обращения вредоносного ПО к управляющим серверам из инфраструктур организаций. Благодаря этому эксперты выделяют индикаторы компрометации, относящиеся к разным типам угроз.

Так, в 1 квартале 2025 года анализ данных с сенсоров выявил возросший интерес хакеров к кибершпионажу. В частности, доля обнаруженных стилеров (программ для кражи данных) в промышленных предприятиях выросла на 24 п.п. (до 40%), а индикаторов APT-группировок – на 4 п.п. (до 19%). Помимо этого, эксперты Solar 4RAYS зафиксировали средства удаленного доступа (21%), ботнеты (9%) и программы-вымогатели (4%). Оставшуюся долю угроз в промышленности составляют майнеры и фишинг.

В телекоме самым распространенным типом угроз стала деятельность APT-группировок – на них пришлось 58% зарегистрированных событий, при этом показатель вырос на 10 п.п. в сравнении с 4 кварталом 2024 года. На втором месте – средства удаленного доступа (27%), а на третьем – стилеры (8%). Остальные 7% приходится на ботнеты, майнеры, фишинг и вымогатели.

Алексей Вишняков

технический директор центра исследования киберугроз Solar 4RAYS ГК «Солар»

«Такая динамика может быть связана со сменой целей злоумышленников – если раньше они чаще использовали программы-шифровальщики для полного уничтожения полученных данных, то в этом году совершают больше атак для шпионажа и проникновения в инфраструктуру, чтобы затем нанести удар в наиболее удобный момент. При этом рост стилеров может быть связан и с нынешней геополитической обстановкой, на фоне которой растет число интересантов, желающих получить конфиденциальные данные промышленных предприятий, которые, возможно, позволят спрогнозировать позицию государства и его дальнейшие шаги».

Нет времени на DDoS

Одновременно с трендом на шпионаж и сложные APT-атаки снизились объемы DDoS в телекоме и промышленности.

По данным сервиса Anti-DDoS, в среднем на одну промышленную компанию с января по апрель 2025 года приходилось 72 атаки – это на 42% меньше в сравнении с аналогичным периодом прошлого года. Среднее число DDoS-атак на одну компанию из сектора телекома тоже уменьшилось – на 70% год к году, до 44.

При этом средняя продолжительность DDoS не превышала 5-10 минут, хотя раньше такие атаки могли длиться несколько дней и даже месяцев. Наряду с этим специалисты фиксировали всплески максимальной мощности в феврале и марте 2025 года – до 10 раз год к году на промышленность (106 Гбит/сек) и в 2,5 раза – на телеком (508 Гбит/сек). Для сравнения – одни из самых мощных атак достигали 1Тбит/сек. По мнению специалистов сервиса Anti-DDoS, всплески атак, возможно, были связаны с принятием очередного пакета санкций ЕС против России и получением хакерами мощных ботнетов незадолго до этого.

Отмечается и снижение веб-атак на онлайн-ресурсы промышленных предприятий. С января по апрель их количество уменьшилось на 18% год к году – до 5,8 млн. Однако в апреле 2025 года выросло число SQL-инъекций (внедрение вредоносного кода для кражи баз данных, проектной документации, сведениях о производственных процессах или интеллектуальной собственности) — на 75% год к году.

Алексей Вишняков

технический директор центра исследования киберугроз Solar 4RAYS ГК «Солар»

«Сегодня кража информация и действия APT группировок – не «страшилки» для крупных предприятий, а реальные растущие угрозы в 2025 году. Отдельно отметим, что в случае с телекомом они могут привести не только к атакам на цепочки поставок, но и к MitM-атакам (man-in-the-middle или «человек посередине»), которые еще сильнее усложняют задачу по обнаружению злоумышленников. Именно поэтому мы настоятельно рекомендуем не просто внедрять комплексную защиту от киберугроз, но и сотрудничать с ИБ-партнерами, погруженными во внутренние процессы отраслей и способными оперативно отразить сложные атаки».