«Солар»: хакеры активнее заражают компании вредоносным ПО, среди жертв – здравоохранение, госсектор и ТЭК

По данным центра исследования киберугроз Solar 4RAYS, во 2 квартале 2025 года на одну российскую организацию пришлось в среднем более 160 заражений вредоносным ПО – это на 20% больше, чем в предыдущем квартале. При этом хакеры использовали вредоносы не только для шпионажа, но и для заработка на украденных данных, по большей части – в здравоохранении, госсекторе, ТЭКе и промышленности. Такие выводы следуют из отчета ГК «Солар», архитектора комплексной кибербезопасности, на основе анализа данных крупнейшей в РФ сети сенсоров.

Ежедневно сервисы и продукты «Солара» распознают и блокируют десятки тысяч кибератак. Информация о киберугрозах поступает в том числе из сети сенсоров на базе сервиса PDNS (Protective Domain Name Service), который фиксирует коммуникации различных вредоносных программ с серверами управления из зараженных сетей на территории России. Эксперты Solar 4RAYS анализируют срабатывания этих сенсоров, что позволяет выделить индикаторы компрометации, указывающие на деятельность вредоносного ПО конкретного типа в инфраструктурах российских организаций. В частности, сенсоры могут зафиксировать ВПО для майнинга, получения удаленного доступа (RAT), а также вирусы-шифровальщики, ботнеты и др.

Хакеры готовятся к осеннему наступлению

Во 2 квартале 2025 года уменьшилось общее число организаций, в которых фиксировались заражения ВПО – на 23% (до 17 тыс.). Вместе с этим среднее число заражений на одну компанию выросло на 20% (до 162). С одной стороны, число компаний-жертв снижается из-за эффекта летнего сезона: меньше активности проявляют как атакующие, так и сотрудники ИБ-служб, которые медленнее нейтрализуют атаки. Однако, по прогнозам специалистов Solar 4RAYS, в сентябре ситуация может измениться: интенсивность атак снизится, но количество атакованных организаций вырастет.

Больше всего заражений вредоносным ПО во 2 квартале 2025 года было зафиксировано в отраслях промышленности (36%), здравоохранения (18%), образования (13%) и ТЭК (11%). Остальная часть пришлась на ИТ-отрасль (10%), госсектор, (7%), финансы (5%) и телеком (2%). Похожее распределение наблюдалось и в начале года.

Однако в июле-августе ситуация начала меняться – доля заражений ВПО в здравоохранении в сравнении с 1 кварталом выросла на четверть (до 27%), а в госсекторе – почти в два раза (до 17%), из-за чего он и занял второе место среди самых атакованных индустрий. Также устойчивый интерес хакеры проявляют к промышленности (19%) и ТЭКу (16%).

Отдельно отметим, что за июль-август выросло и среднее число атак на одну организацию из госсектора – почти на 30%, до 89. Повышение интереса злоумышленников к отрасли связано с текущими геополитическими событиями и традиционной активизацией профессиональных хакерских группировок во второй половине года.

Заражения – для шпионажа и заработка

В начале 3-го квартала эксперты Solar 4RAYS зафиксировали изменения и в топе распространенных угроз. Инфраструктуры российских компаний стали чаще подвергаться целевым кибератакам APT-хакеров. Основной целью злоумышленников по-прежнему является шпионаж, но теперь – и с целью заработка.

Так, доля обнаруженных стилеров (программы для кражи информации и шпионажа) в сравнении с 1 кварталом сократилась на 8 п.п (до 28%), на столько же выросло и число срабатываний индикаторов APT-группировок (35%). Параллельно с этим увеличилась доля RAT (ВПО для удаленного управления компьютером или устройством) – c 18% во 2-м квартале до почти 23% в первой половине 3-го.

Алексей Вишняков

технический директор Solar 4RAYS

«Дело в том, что обнаружить заражение «ратником» сложнее, чем выявить присутствие стилера. К тому же такие вредоносы могут быть использованы не только для похищения конфиденциальных данных, но и для платного предоставления доступа во взломанную организацию другим злоумышленникам. Этим хакеры могут воспользоваться и для шантажа компании-жертвы, и для последующей перепродажи украденных данных на черном рынке».

Отметим, что 35% всех заражений майнерами и ботнетами были обнаружены в сетях медучреждений. Впрочем, сенсоры фиксировали рост и других типов заражений в данной отрасли. По мнению экспертов Solar 4RAYS, это может быть связано с отставанием развития ИБ в секторе на фоне высоких темпов цифровизации. Кроме того, медицинские данные являются желанной целью атакующих, промышляющих вымогательством через шантаж.

Алексей Вишняков

технический директор Solar 4RAYS

«В апреле-августе 2025 года мы фиксируем стабильный интерес злоумышленников к ТЭК, промышленности, и растущий – к госсектору и здравоохранению. Все эти индустрии представляют высокую ценность не только для мелких киберхулиганов, но и для кибершпионов. Отдельно отметим, что риск успешной атаки возрастает, если уровень ИБ-зрелости в организации невысок, особенно на фоне цифровизации той или иной отрасли. Это означает, что организациям необходимо уделить серьезное внимание комплексному обеспечению ИБ, которая включает в себя обучение сотрудников правилам кибергигиены, своевременное обновление ПО, внедрение продвинутых технических средств защиты, регулярный поиск и устранение уязвимостей, построение процесса мониторинга угроз ИБ и трендов атак с помощью киберразведки».

Ранее «Солар» сообщил о запуске Solar DNS Radar – решения, которое контролирует исходящий трафик в сети и блокирует соединения с фишинговыми доменами и хакерскими серверами управления. Решение купирует кибератаки до нанесения реального ущерба компании.