За первое полугодие 2025 года специалисты Innostage SOC CyberART зафиксировали заметные изменения в активности киберугроз против российских компаний. Главное — хакеры стали чаще использовать персонализированные рассылки вместо массовых фишинговых атак.
Теперь злоумышленники всё чаще рассылают таргетированные письма, которые внешне не отличить от обычной переписки с контрагентами, официальных уведомлений или внутренних сообщений.
Чтобы сделать такие атаки более убедительными, они используют искусственный интеллект и информацию о внутренних процессах компаний. Этот подход делает атаки эффективнее и сложнее для обнаружения.
А вот популярность атак с подменой голоса или личности руководителя — так называемых FakeBoss — начала снижаться. В 2025 году среди клиентов Innostage не было ни одного успешного случая такого обмана.
OSINT-инциденты: плюс 50%
Общее число инцидентов, отнесённых к категории OSINT, выросло на 50% и почти достигло 10 тысяч. Более 70% из них связаны с изменениями на периметре ИТ-инфраструктуры: появление новых портов, изменение конфигурации, добавление ресурсов и т. д. Ещё около 12% касаются утечек через репозитории.
Интересно, что несмотря на это, упоминания IP-адресов компаний в таргет-листах для DDoS стали появляться реже — но только по количеству ссылок, а не по числу самих атак.
Утечки аккаунтов: «чистых» учёток всё меньше
В первом полугодии зафиксировано 694 упоминания об утечках, при этом общее количество скомпрометированных учёток составило 11,3 миллиона. Из них почти 10 миллионов — уникальные. Но по-настоящему «новых» — только 5,7 миллиона. Это значит, что большинство пользователей уже хотя бы раз «засветились» в каких-то сливах.
И 98% всех утечек — это данные небольших компаний. Причины — слабая защита и отсутствие базовых мер профилактики. Хакеры, к тому же, выбирают момент для публикации: обычно — перед праздниками или в дни, когда внимание к инфобезопасности ослабевает.
Один из новых векторов атак — использование логов программ-инфостилеров, которые крадут чувствительные данные с компьютеров или смартфонов. Чаще всего злоумышленники не сами собирают эти данные, а покупают уже готовые дампы.
Как защищаются компании
Растёт популярность подхода «абсолютного минимума»: оставить только сайт-визитку, корпоративную почту и VPN. Это уменьшает поверхность атаки и облегчает контроль. Также компании регулярно чистят лишние директории CMS, обновляют ПО и следят за тем, какие файлы могут индексироваться поисковиками.
DDoS-атаки: прицельно и по IP
Всё ещё актуальны атаки, при которых онлайн-сервисы перегружают трафиком. За полгода на отражение крупных DDoS-атак специалисты потратили в общей сложности 37 суток. Число атакуемых IP-адресов выросло в четыре раза — до более чем 900 тысяч, а число атакуемых доменов осталось примерно на прежнем уровне — чуть больше 3600.
Среди инструментов, которые применяют для DDoS, всё меньше используются старые решения вроде MHDDoS или DB1000N — их трафик уже неплохо блокируется провайдерами. На смену им приходят более сложные утилиты, такие как Gorgon Stress и Distress. Они лучше имитируют обычный трафик, поэтому их сложнее поймать и остановить.
