Более 70% кибератак 2025 года связаны с уничтожением инфраструктуры

Яков Шпунт 24 Декабря 2025 - 09:29

...

Более 70% кибератак 2025 года связаны с уничтожением инфраструктуры

Стремление полностью вывести из строя ИТ-инфраструктуру стало характерной чертой 76% кибератак, зафиксированных в 2025 году. Злоумышленники преследовали цели как саботажа, так и вымогательства: суммы требований доходили до рекордных 500 млн рублей. Чаще всего атакующие прибегали к шифрованию данных (44% инцидентов) либо к их полному уничтожению (32%).

Атаки с разрушением инфраструктуры, как пишет «Коммерсантъ» со ссылкой на данные интегратора «Инфосистемы Джет», практически вытеснили демонстративные инциденты — DDoS-атаки, кражи данных и дефейсы сайтов.

Еще одной заметной тенденцией 2025 года стало объединение усилий нескольких группировок, а также активное использование искусственного интеллекта при подготовке и проведении атак.

«Это логичное развитие ситуации: у крупных компаний есть резервные копии, классический ransomware работает все хуже, а утечки информации обесценились — уже утекло почти все, и рынок перенасыщен. Угроза же полного уничтожения данных — это уже прямой риск для способности бизнеса продолжать существование», — прокомментировал тенденцию руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

В Лаборатории цифровой криминалистики F6 также зафиксировали рост атак с использованием шифровальщиков на 15%. Максимальные суммы выкупа достигли 500 млн рублей в рублевом эквиваленте (около 50 биткоинов на момент атаки), что вдвое превышает рекордные показатели 2024 года. Средний размер выкупа для крупных компаний составил от 4 млн до 40 млн рублей, для малого и среднего бизнеса — от 240 тыс. до 4 млн рублей.

Самым масштабным инцидентом, связанным с атакой на ИТ-инфраструктуру, стала атака на «Аэрофлот», произошедшая в июле. Ответственность за нее взяли группировки «Киберпартизаны BY» и Silent Crow. Недополученная выручка от отмены рейсов была оценена как минимум в 260 млн рублей.

Среди наиболее атакуемых отраслей «Инфосистемы Джет» выделяют финансовый сектор, ИТ и рынок недвижимости. Для взлома злоумышленники применяют в целом стандартные техники: фишинг, атаки через подрядчиков, эксплуатацию уязвимостей в веб-приложениях, отсутствие многофакторной аутентификации на внешних интерфейсах и слабую «гигиену доступа». Дополнительно ситуацию усугубляет тот факт, что в 83% компаний административные интерфейсы остаются открытыми, а в 19% случаев используются учетные данные по умолчанию.

Как отметил в комментарии «Коммерсанту» руководитель департамента развития и архитектуры «Кросс Технолоджис» Евгений Балк, до 90% инцидентов так или иначе связаны с человеческим фактором. Специалисты нередко делают упор не на защищенность, а на максимальное удобство работы. По мнению генерального директора CICADA8 Алексея Кузнецова, дополнительной проблемой часто становятся сами заказчики, не готовые передавать управление безопасностью внешним подрядчикам.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 13 Февраля 2026 - 14:14

Бэкдоры Трояны Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare атакует российские госструктуры новым бэкдором PhantomHeart

Хактивистская группировка Head Mare снова активизировалась. Аналитики Cyber Threat Intelligence «Лаборатории Касперского» в конце 2025 года зафиксировали новую волну целевых атак на российские госструктуры, строительные и промышленные компании. И судя по всему, инструментарий группы стал более продуманным и автоматизированным.

Главная находка — новый бэкдор PhantomHeart. Изначально он распространялся как DLL-библиотека, но позже злоумышленники переработали его в PowerShell-скрипт.

Это вписывается в стратегию Living-off-the-Land (LOTL), когда атакующие используют штатные инструменты Windows, чтобы не привлекать лишнего внимания. Чем меньше стороннего «зловреда» на диске, тем сложнее его обнаружить.

Вектор первоначального доступа остаётся прежним. Head Mare продолжает эксплуатировать уязвимость BDU:2025-10114 в TrueConf Server. В отдельных случаях используются и фишинговые рассылки. То есть проверенные способы проникновения сочетаются с обновлённой «начинкой» внутри сети.

PhantomHeart после запуска разворачивает SSH-туннель по команде с сервера управления. Это даёт операторам устойчивый удалённый доступ к системе. Параллельно бэкдор собирает базовую информацию: имя компьютера, домен, внешний IP и уникальный идентификатор.

Закрепление в системе тоже продумано: в одной из атак вредонос запускался через планировщик заданий под видом легитимного скрипта обновления в директории LiteManager — популярного инструмента удалённого администрирования. Фактически активность маскировалась под обычную работу ПО.

Кроме того, эксперты отмечают рост автоматизации. Head Mare добавила новые скрипты и утилиты для постэксплуатации. Они помогают автоматически закрепляться в системе, управлять привилегиями и организовывать сетевой доступ. Такой подход снижает «ручную» нагрузку на операторов и позволяет проводить больше атак с большей скоростью и повторяемостью.

Продукты «Лаборатории Касперского» детектируют используемые инструменты под различными вердиктами, включая HEUR:Trojan-Ransom.Win32., Backdoor.PowerShell.Agent.gen и Trojan.PowerShell.Agent..

Подробный технический разбор новой активности Head Mare опубликован на Securelist. Аналитики также отмечают, что тактики и процедуры этой группировки вписываются в более широкую картину угроз, описанную в отчёте «Записки цифрового ревизора: три кластера угроз в киберпространстве».

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!