За деньги и данные – да: Solar 4RAYS представила отчет о расследовании сложных кибератак в 1 полугодии

В 1 половине 2025 года шпионаж и финансовая выгода стали главными целями профессиональных хакеров почти в 90% атак, в то время как доля хактивизма постепенно снижается, но все еще представляет серьезную опасность. Вместе с этим злоумышленники стали тщательнее выбирать жертв – число атакованных индустрий за год сократилось на 40%, а на одну организацию теперь могут одновременно нападать сразу две-три группировки. Такие выводы следуют из отчета о хрониках целевых кибератак в 1 полугодии 2025 года, подготовленного экспертами центра исследования киберугроз Solar 4RAYS ГК «Солар», архитектора комплексной кибербезопасности.

Отчет включает в себя данные, полученные в ходе расследования сложных кибератак, с которыми не справляются автоматизированные средства защиты.

Так, в первом полугодии большая часть расследований (68%) пришлась на атаки с целью шпионажа – это на 7 п.п. больше, чем в 1 полугодии 2024 года. Доля вредоносной активности, направленной на вымогательство или майнинг криптовалют, тоже выросла на 8 п.п. год к году, до 20%. В свою очередь, количество атак хактивистов с целью привлечения внимания (включая уничтожение инфраструктуры и публикации украденных баз данных) сократилось на 4 п.п., до 8% – для сравнения, еще в 2023 году этот показатель составлял 35%. По мнению экспертов Solar 4RAYS, такая статистика говорит о смене целей хакеров. Теперь они заинтересованы не просто в громких кейсах взломов, а в получении денежных средств и ценной информации о деятельности ведущих российских организаций – особенно в период изменения геополитической обстановки.

Цели атакующих в 1-ом полугодии 2025 г.

Цели атакующих в 1-ом полугодии 2024 г.

Вместе с этим число атакованных индустрий в 1 полугодии сократилось на 40% год к году, до 6 – это госсектор (36% всех расследований), промышленность (20%), ИТ-отрасль (12%), медицина (12%), энергетика (12%) и ритейл (8%). При этом доля атак год к году на госорганизации выросла на 5 п.п., а на промышленные предприятия – на 11 п.п. Отдельно отметим, что эксперты Solar 4RAYS в этом полугодии фиксировали случаи, когда сразу несколько хакерских группировок, не сговариваясь, атаковывали одну и ту же организацию – каждая со своими целями. Все это говорит о том, что теперь злоумышленники выбирают для взлома самые привлекательные организации из наиболее важных отраслей, которые прямо влияют на экономику и безопасность страны и ее граждан.

В большинстве случаев (46%) для совершения атаки хакеры использовали уязвимости в веб-приложениях, еще в 40% – скомпрометированные учетные записи. 7% расследованных атак начинались с фишинга, еще столько же – с атак через поставщиков, подрядчиков или клиентов.

Несмотря на то, что большая часть атак (32%) длилась не больше недели, наблюдается тренд на увеличение промежутка времени, в течение которого хакеры находились в целевой инфраструктуре. Так, в I полугодии доля инцидентов продолжительностью до месяца выросла на 7 п.п., до 16%, а атак длительностью до двух лет – на 10 п.п., тоже до 16%. По данным специалистов Solar 4RAYS, это также говорит о высокой доле хакеров, нацеленных на шпионаж. Однако бывают и исключения – в одном из расследований эксперты обнаружили в инфраструктуре майнер, который проработал там незамеченным около 10 лет.

Иван Сюхин

Руководитель группы расследования инцидентов центра исследования Solar 4RAYS, ГК «Солар»

«В 1-ом полугодии APT-группировки демонстрировали более фокусный подход к выбору жертв – теперь они атакуют только самые ценные с точки зрения шпионажа организации, как с политическими целями, так и для продажи похищенных данных на черном рынке. Однако практика показывает, что даже немногочисленные, но яркие атаки хактивистов с деструктивными целями все еще представляют серьезную опасность. Это говорит о необходимости всем организациям всерьез заняться построением комплексной кибербезопасности».

Чтобы снизить вероятность возникновения кибератак, эксперты Solar 4RAYS рекомендуют вовремя обновлять ПО и веб-приложения, контролировать удаленный доступ в инфраструктуру, соблюдать парольные политики, использовать продвинутые средства защиты (EDR, SIEM) наряду с классическим защитным ПО, а также повышать киберграмотность сотрудников. Более подробные рекомендации по противодействию кибергруппировкам можно узнать в отчете Solar 4RAYS.