Как российский бизнес защищается от хакеров

Хакеры атакуют российский бизнес в 2025 году почти вдвое интенсивнее. На момент написания статьи в ноябре число зарегистрированных попыток суммарно превышало 105 млн. По данным InfoWatch, статистика атак распределяется следующим образом:

1. 46% — ИП, малый бизнес;
2. 36 % — крупные компании;
3. 18 % — средние.

Таким образом, не застрахован буквально никто. Всего 20% российских предприятий подготовили комплексный план действий по восстановлению ИТ-системы в случае атаки — к таким выводам пришли авторы исследования, предпринятого компанией «Инфосистемы Джет».

Летом 2025 года проект «Кибериспытание» предложил крупные денежные призы «белым хакерам». Специалисты искали бреши в системах безопасности. По результатам состязания было отмечено, что в большинстве случаев для взлома даже не требовались изощренные знания и навыки. В совокупности с утечками данных оказалось достаточно социальной инженерии и минимальной настойчивости. Самый сложный кейс занял у «белых хакеров» четыре дня. Большую часть этого времени они готовили операцию по захвату прав админа в корпоративной системе. Реализация атаки прошла как по маслу.

В 2025 году объем российского рынка информационной безопасности составит около 369 млрд рублей, а за ближайшие три года он, вероятно, удвоится. Такие данные приводят эксперты, опрошенные RB.ru.

Как организованы хакеры

«Киберпреступные сети могут анонимно объединять сотни и тысячи людей. Такие сообщества единомышленников работают как бизнес, — говорит Алексей Баранов. — Можно сказать, что работа злоумышленников построена по принципу R&D-лабораторий (Research and Development, англ. «исследования и разработка». — Forbes Club). Команды исследователей занимаются исключительно разработкой вредоносного ПО, поиском уязвимостей и созданием инструментов для атак. Инфраструктурные команды предоставляют сервисы для проведения таких атак — анонимный хостинг, фишинговые платформы и другое. «Финансовая» служба обеспечивает безопасное для киберпреступников получение денежных средств.

Таким образом, технический потенциал злоумышленников складывается из усилий многих независимых, но связанных между собой профессиональных сообществ. Каждая из групп вносит вклад в общую экономику, создавая эффективную и постоянно развивающуюся преступную индустрию с международным присутствием. Хакеры из Мехико могут атаковать банк в Сингапуре, используя серверы в Китае, и требовать выкуп в биткоинах».

Валерий Баулин приводит пример, как организована группа мошенников, работающих по схеме «Мамонт» с оплатой фейковой доставки несуществующих товаров:

Источник: компания F6

Если представить киберпреступность в виде пирамиды по численности участников, то, как считает Валерий Баулин, она будет выглядеть следующим образом.

• В основании — традиционная киберпреступность: скамеры, фишеры, вымогатели, разработчики Android-троянов, телефонные мошенники. Их основная цель — получить день.
• Вторую ступеньку пирамиды образуют проправительственные группировки и хакеры. Они могут быть киберподразделениями спецслужб или армейских соединений каких-либо государств либо автономными группировками, но, как правило, также подконтрольными каким-то спецслужбам или правительствам. Их почерк — стремление как можно дольше оставаться незаметными.
• Ступенькой выше расположились хактивисты — группы хакеров, которые совершают атаки по политическим, религиозным или даже экологическим мотивам.
• Наконец, на самой вершине пирамиды находятся хакеры-одиночки — психопаты с неясной мотивацией.

«Кибератаки, особенно сложные, требуют специфических знаний, — говорит технический директор Центра исследования киберугроз Solar 4RAYS ГК «Солар» Алексей Вишняков. — Поэтому у большинства участников наиболее профессиональных группировок есть бэкграунд, который можно приобрести в технических вузах».

Некоторые кибергруппировки могут похвастаться собственными уникальными разработками по эксплуатации уязвимостей в ПО, уверен Алексей Вишняков. Зачастую это дорогостоящие и ценные исследования, которые наносят кратно больший ущерб по сравнению с распространенными решениями Open Source (англ. «решения с открытым исходным кодом». — Forbes Club). С другой стороны, такие «сокровища» хакеры стараются применять очень редко и точечно, чтобы не допустить утечки своих разработок, которые могут попасть в руки исследователей кибербезопасности.

«Киберпреступники объединяются в группы, где не принято раскрывать личности друг друга. Общение часто происходит через децентрализованные мессенджеры. Благодаря расчетам в криптовалюте хакерам не нужно находиться на одной территории или в пределах одной финансовой юрисдикции. Они предпочитают действовать там, где контроль и ограничения слабее, — в странах Латинской Америки, Юго-Восточной Азии, — говорит генеральный директор оператора ИТ-решений «ОБИТ» Андрей Гук. — Как правило, такими злоумышленниками становятся люди с техническим образованием. Получив незаконную выгоду, они уже не могут остановиться. Одни мошенники занимаются скамом и кражей данных для платежных инструментов. Другие специализируются на заказах из даркнета (анонимной и по большей части преступной части интернета. — Forbes Club). Есть шантажисты, шифровальщики, воры чувствительных данных».

В последнее время все больше киберпреступников и групп используют ИИ. «Нейросети уже широко задействованы в атаках через поддельные электронные письма (фишинг), для дипфейков голосов и видео, подделки биометрии. Кроме того, автономные ИИ-агенты позволяют ускорить и масштабировать классические атаки. Они выполняют тысячи действий одновременно. В свою очередь, системы ИТ-безопасности обнаруживают вторжения не через дни или часы, а за секунды. Мир переходит к «войне машин», когда одни ИИ проверяют на прочность другие, — продолжает Андрей Гук. — Под ударом находятся абсолютно все организации, поскольку глубина проникновения ИТ и критическая зависимость от данных повсеместны. Основные убытки несут те, кто хуже справляется с защитой. Нужно учитывать, что ограниченные меры информационной безопасности все менее эффективны. Необходима комплексная стратегия, которая сочетает развитие культуры безопасности среди сотрудников для снижения человеческого фактора с техническими средствами — в том числе ИИ для автоматизации предиктивного обнаружения и быстрого реагирования на угрозы».

ИИ на службе хакеров

Один из трендов 2025 года — возрастающая роль искусственного интеллекта. «ИИ активно используется в генерации вредоносного кода, автоматизации поиска уязвимостей, анализе логов и трафика, а также для создания дипфейков, подмены голоса, генерации фишинговых писем, неотличимых от оригинальных, — говорит Антон Клименков. — Главная проблема в том, что ИИ снижает порог входа. Теперь сложные схемы доступны даже тем, у кого нет технических навыков»

«Киберпреступники внимательно следят за новыми технологиями и используют ИИ для создания более эффективных автоматизированных, а значит, и более дешевых в реализации атак или мошеннических схем, — констатирует Валерий Баулин. — За границей мошенники начали применять ИИ и машинное обучение (почти сразу после появления этого инструмента) в разных видах мошенничества — например, для создания фишинговых писем, максимально похожих на реальные корпоративные рассылки по содержанию, стилю и оформлению. Кроме того, ИИ переводит более нативно, а значит, сложнее распознать фальшивку из-за рубежа».

Алексей Вишняков замечает, что, судя по комментариям, в некоторых вредоносных программах код, вероятно, написан с помощью ИИ. Таких примеров «вайб-кодинга» становится все больше.

Недавно много шума наделала новость о создании американскими исследователями программы-вымогателя PromptLock с модулем, который с помощью ИИ генерировал вредоносные скрипты на зараженном компьютере. Эксперимент наглядно доказал, что написание вредоносного кода и скриптов, автоматизация атак становятся более изощренными и доступными.

«Наконец, дипфейки, — продолжает Валерий Баулин. — С каждым годом они становятся все более распространенными. Телефонные мошенники используют голосовые дипфейки, созданные с помощью ИИ. Скамеры выпускают поддельные видео от имени известных людей — например, они «делятся» якобы выгодными схемами инвестиций»

Мошенники не могли не обратить внимания на возможности искусственного интеллекта. «ИИ — это инструмент, который повышает эффективность, масштаб и скорость проведения вредоносных действий. Остальное зависит от фантазии киберпреступников, — добавляет Алексей Баранов. — Например, первоначально технологии использовались для генерации «продающих» текстов в целевых фишинговых атаках. В настоящее время злоумышленники активно применяют генеративные ИИ-системы для создания дипфейков, используемых в корпоративном шпионаже и социальной инженерии».

Пока злоумышленники используют ИИ в основном для мошеннических схем, полагающихся на социальную инженерию. «С помощью подобных сервисов относительно легко генерировать фишинговые сообщения, — утверждает Алексей Вишняков. — Кроме того, уже известно о мошеннических схемах, в которых используются голосовые сообщения, имитирующие голоса коллег, родственников и друзей жертвы».

Другой пример — применение общедоступного инструмента Hexstrike-AI, который использует ИИ для генерации сценария атаки и ее развития, продолжает Алексей Вишняков. На данный момент эта наработка не позволяет изобрести уникальный новый вариант развития нападения. С другой стороны, она позволяет ускорить рутину оператора атаки, решая задачу масштабирования.

Кто под прицелом

«Сегодня потенциальной мишенью может стать любая компания, — уверен Алексей Баранов. — Если организацию еще не атаковали, это не всегда означает отсутствие интереса. Зачастую она просто еще не попала в фокус либо является не конечной целью, а промежуточным звеном в более масштабной атаке на партнеров или клиентов. Традиционно внимание злоумышленников привлекают банки, телеком, ретейл, ИТ. Атаки на такие организации могут иметь широкий охват, затрагивая множество клиентов и вызывая значительные финансовые и репутационные потери».

Кроме этого, под ударом могут оказаться и объекты критической инфраструктуры, где мотивацией атакующих чаще всего является не обогащение, а нанесение операционного ущерба, предупреждает Алексей Баранов. В группе риска также организации, которые хранят критически важные данные, — например, медицинские учреждения. Компрометация этой конфиденциальной информации парализует бизнес и чаще всего происходит с целью шпионажа или требования выкупа.

«Если мы говорим, например, про действия вымогателей, то в 2025 году наиболее резонансные атаки произошли на компании из сектора гражданской авиации, нефтепереработки, ретейла и фармацевтики, — сообщает Валерий Баулин. — После 2022 года кибербезопасность касается абсолютно всех — независимо от размеров бизнеса и сферы экономики. Вопрос уже не в том, кого взломают, а в том — когда!»

Целью злоумышленников может стать любая компания, у которой есть инструменты для доступа к финансовой или другой конфиденциальной информации. Разница только в вероятности наступления таких событий, полагает Алексей Вишняков. Например, профессиональная кибергруппировка вряд ли станет атаковать небольшое маркетинговое агентство, потому что потенциальная «выручка» невелика. Но все поменяется, если станет известно, что это агентство работает на подряде у крупной нефтяной компаниии имеет с ней сетевую связь. В этом случае маркетинговое агентство может стать целью и инструментом более сложной атаки.

Виды киберугроз

Каковы виды атак? Что показывают наблюдения? «Основные угрозы остаются прежними. Обычно это вредоносное ПО (вирусы, черви, трояны), фишинг, DDoS-атаки (перегрузка сервисов чрезмерным числом запросов. — Forbes Club), утечки данных из-за невнимательности сотрудников или действий хакерских групп, — говорит Антон Клименков. — К этому нужно добавить кибершпионаж и кибервойны, то есть атаки ради конкурентных или государственных интересов. Вероятно, к 2026 году мы не увидим принципиально новых категорий. Скорее будем наблюдать усиление и ускорение уже существующих видов кибератак и их смешанных форм с помощью ИИ».

«Противостояние угрозам развивается по спирали, — делится наблюдением Алексей Баранов. — Сегодня мы научились хорошо противостоять одному виду атак, завтра появится что-то новое — и все начнется заново. При этом на каждом новом витке этой спирали мы наблюдаем качественную эволюцию тактик и масштабов атак».

Мы видим, как злоумышленники атакуют не отдельные компании, а целые отрасли. Их цель — парализовать бизнес-процессы, цепочки поставок, критическую инфраструктуру, подорвать доверие к коммерческим или государственным институтам.

«Это происходит, например, следующим образом, — продолжает Алексей Баранов. — Атака на одного поставщика может вызвать каскадный эффект и негативно повлиять на десятки других организаций. Кроме того, киберпреступность окончательно закрепилась в форме глобального бизнеса по модели «хакинг как услуга», где инструменты и экспертиза стали товаром, доступным даже непрофессионалам. В ближайшем будущем фундаментально среди целей злоумышленников ничего не изменится: из года в год их мотивы, будь то обогащение, шпионаж или дестабилизация, остаются неизменными. Но радикально поменяется арсенал».

Завтрашний день — это эра атак, усиленных искусственным интеллектом, предполагает Алексей Баранов. Скорее всего, мы столкнемся с вредоносными программами, способными самостоятельно адаптироваться к системам защиты и выбирать тактику. Фишинг превратится в кампании, где ИИ будет идеально имитировать голос и поведение доверенных лиц. Появятся целенаправленные атаки на сами алгоритмы ИИ, чтобы манипулировать решениями в финансах, логистике и управлении.

«В 2025 году, — говорит Валерий Баулин, — наша команда выделила несколько наиболее актуальных киберугроз в России.

1. Атаки программ-вымогателей, последствиями которых может быть шифрование данных с целью выкупа, уничтожения данных или кражи данных клиентов для дальнейшей публикации. В 2025 году мы зафиксировали около 450 атак, в которых использовались программы-вымогатели и вайперы. Максимальная запрошенная сумма первоначального выкупа выросла на 67% по сравнению с 2024 годом — до 400 млн рублей.
2. Утечки баз данных российских компаний. В 2025 году мы зафиксировали 154 случая публикации баз данных российских компаний на андерграундных форумах и в тематических. Telegram-каналах. В открытом доступе оказалось около 200 млн (это больше, чем жителей в стране!) строк данных пользователей: Ф. И. О., адреса, телефоны, адреса электронной почты, пароли, паспортные данные. 37% утечек пришлось на ретейл.
3. Загрузка вредоносных программ с сайтов. На этот канал взлома приходится не менее 70% инцидентов. И вероятно, даже больше, ведь статистика строится только на основе обнаруженных попыток. При этом: 37% атак связано с майнерами криптовалют; 14% — с использованием бэкдоров; 13% —  с троянами удаленного доступа.
4. Фишинг и скам остаются головной болью пользователей и брендов. В 2025 году в сети в среднем ежедневно появлялось по 13 фишинговых и семь скам-ресурсов на каждый бренд. Половина фишинговых и треть скаматак приходится на ретейл».

Цели угроз из года в год не меняются. Злоумышленники охотятся за деньгами, конфиденциальной информацией и контролем над системами, которые могут повлиять на сохранность одного или другого сервиса, считает Алексей Вишняков. Однако развиваются способы, с помощью которых хакеры пытаются достичь своих целей. Например, если раньше они часто использовали для атак полностью самописное вредоносное ПО, то теперь чаще встречаются модификации и доработки общедоступных инструментов. Злоумышленники стремятся находить бреши в безопасности организаций, в которых цифровизация опережает развитие информационной безопасности. Проникновению хакеров в инфраструктуры компаний и продвижению по ним способствуют:

• стандартные уязвимости веб-сервера;
• плохая или отсутствующая политика паролей;
• уязвимые схемы распределения прав;
• отсутствие сегментации сети и неосведомленность пользователей о минимальных нормах практики информационной безопасности.

Наряду с основными угрозами эксперты видят возможности: в распоряжении специалистов по информационной безопасности много способов существенно затруднить атакующим жизнь, сделав безопасность организации управляемой и прогнозируемой, считает Алексей Вишняков.

Стратегии защиты

«Сегодня злоумышленники не атакуют компании в лоб, а пользуются более легкими путями проникновения в инфраструктуру через использование легитимных учетных данных, — констатирует Алексей Баранов. — Это приводит к росту спроса на комплексные решения по защите айдентити компаний (решения, которые позволяют однозначно определить пользователя, устройство или сервис в ИТ-инфраструктуре. — Forbes Club). При этом для эффективной защиты учетных данных рынку требуются решения, обеспечивающие не только многофакторную аутентификацию и управление привилегированным доступом, но и обнаружение угроз для айдентити».

На этом фоне растет роль систем класса ITDR (Identity Detection and Response, англ.: сервисы, которые отслеживают аномальное поведение пользователей и машинных аккаунтов в реальном времени. — Forbes Club). Таким образом, в стратегиях организациям необходимо учитывать различные аспекты безопасности, начиная с защиты от внешних угроз и заканчивая контролем доступа внутри компании,считает Алексей Баранов.

Ключевые цели кибербезопасности в современных условиях — не допустить остановки бизнеса, утечки данных и потери доверия клиентов. Для этого мало просто поставить антивирус.

«Эффективная защита начинается с понимания того, кто, как и зачем может атаковать ваш бизнес, — говорит Валерий Баулин. — Это осознание превращает кибербезопасность из набора бессмысленных схем «бумажного безопасника» в систему реального управления рисками.

Если рассматривать стратегию как дорожную карту, то можно порекомендовать несколько шагов.

1. Создать команду информационной безопасности. Компании, которые хотят оставаться устойчивыми, должны иметь директора по информационной безопасности и собственную команду специалистов. Если ресурсов не хватает, можно воспользоваться аутсорсингом. Привлекать следует не фрилансеров, конечно, а профессиональные компании, которые способны отслеживать киберугрозы и реагировать на них.
2. Построить «цифровой купол безопасности», для этого как минимум нужны: защита периметра и внутренних сетей от целевых атак с использованием программ-вымогателей, троянов удаленного доступа, бэкдоров, реагирование на инциденты; обнаружение забытых теневых активов, через которые может быть совершено вторжение; антифрод — предотвращение финансового мошенничества, активности вредоносных ботов; защита от DDoS-атак.
3. Устраивать регулярные проверки. Не реже двух раз в год компания должна проводить аудит цифровой инфраструктуры. Это не формальность, а инструмент раннего обнаружения уязвимостей и контроля зрелости процессов.
4. Проводить обучение. Каждый сотрудник должен понимать, что безопасность компании начинается с его действий: клика по ссылке, сохраненного пароля, сообщения в мессенджере. Как минимум нужны регулярные тренировки и курсы по цифровой гигиене, как максимум — полное вовлечение персонала в культуру безопасности».

«Часто упускают из виду протокол действий в случае успешного вторжения и особенно после него, — полагает Антон Клименков. — Между тем как раз от этих шагов зависит масштаб потерь — не только финансовых, но и репутационных. Одно дело — «падение» системы на пару дней, и совершенно другое — когда компания парализована неделями или месяцами.

Помимо регулярного ведения бэкапов, нужно заранее готовиться к быстрому выходу из кризиса, если он случится.

Чек-лист действий в случае атаки

1. Сразу после обнаружения атаки

• Отключить удаленный доступ, API-ключи (Application Programming Interface, англ.: уникальные коды доступа к автоматизированным сервисам. — Forbes Club), подозрительные учетные записи.
• Заменить пароли и токены доступа.
• Сохранить доказательства вторжения: лог-файлы, содержание оперативной памяти серверов

2. Анализ инцидента

• Определить точку входа злоумышленников: фишинг, уязвимость программ, украденный пароль…
• Оценить время присутствия хакеров в системе, проанализировать их действия и составить карту скомпрометированных ресурсов.
• Разработать план восстановления с сокращением рисков повторных атак.

3. Восстановление

• Удалить вредоносный код, бэкдоры, измененные конфигурации и профили.
• Переустановить или восстановить систему из чистых резервных копий.
• Проверить целостность данных.
• Поменять все ключи, сертификаты, пароли.
• Восстановить работу сервисов только после тщательной верификации информационной безопасности.

Нужно также сообщить о произошедшем клиентам и партнерам, а если затронуты персональные данные, то и надзорным органам. Как правило, требуется PR-реакция на произошедшее. И конечно, нужно позаботиться о том, чтобы такое больше не повторилось.

Источник: Adeptum Digital Production

«Для повышения надежности киберзащиты, — говорит Алексей Вишняков, — важно использовать весь арсенал без исключений:

• «песочницы» и почтовые шлюзы;
• межсетевые экраны уровня сетевого трафика и веб-приложений;
• средства анализа хостовой активности и реагирования на угрозы;
• агрегации событий безопасности с применением скриптов для автоматического реагирования и знаний о киберугрозах.

При построении безопасности лучше исходить из гипотезы, что злоумышленники уже проникли в организацию. Ведь в любой кибератаке самым опасным является не сам факт проникновения, а ущерб от вредоносных действий. Если применить к данным и бизнес-операциям адекватные меры защиты, можно сделать последствия кибератаки предсказуемыми, а значит, и управляемыми».

В подготовке текста принимали участие резиденты Forbes Club:

• Алексей Баранов — генеральный директор компании «Индид»;
• Валерий Баулин — генеральный директор компании F6;
• Антон Клименков — основатель и генеральный директор Adeptum Digital Production;
• Андрей Гук — генеральный директор и управляющий партнер оператора ИТ-решений ОБИТ.