От выявления компрометации до реагирования: как российские компании справлялись с кибератаками в 2025 году
Введение
2025 год подтвердил главную тенденцию последних лет: количество кибератак на российские компании продолжает расти, а инциденты становятся все более сложными и разрушительными.
Кибератаки постоянно эволюционируют, хотя базовые мотивы и методы злоумышленников остаются прежними: финансовая выгода по‑прежнему доминирует, а фишинг — самый распространенный способ проникновения. Тем не менее каждый год выделяется всплесками активности в отдельных направлениях.
В 2022 году Россия столкнулась с заметным ростом дефейсов и хактивистских кампаний. В 2023‑м акцент сместился на публикации утечек и массовые сливы данных, а в 2024‑м злоумышленники активно шифровали инфраструктуры организаций. В 2025 году все чаще используются вайперы — разрушительные инструменты, полностью уничтожающие данные и даже сетевое оборудование.
Современные атаки становятся многоэтапными, злоумышленники присутствуют в инфраструктуре все дольше и используют легитимные инструменты администрирования в комбинации с самописным вредоносным ПО. В таких условиях ключевым фактором устойчивости становится не только защита периметра, но и скорость реагирования, глубина анализа и готовность к восстановлению.
Compromise assessment (CA, выявление компрометации) — это проверка, направленная на выявление следов присутствия атакующих в сети, анализ артефактов и оценку степени заражения. DFIR (digital forensics and incident response) — процесс, при котором специалисты реагируют на активный инцидент, локализуют атаку, собирают доказательную базу и помогают компании вернуться к нормальной работе.
Вместе эти два направления формируют основу современной киберустойчивости: реагировать быстро, проверять глубоко и восстанавливаться полностью.
Ключевые метрики 2025 года
В 2025 году зафиксированы публичные упоминания о компрометации более чем 40 российских компаний. В ряде инцидентов последствия распространялись за пределы корпоративной инфраструктуры и затрагивали работу сервисов, с которыми взаимодействуют обычные пользователи.
Разумеется, команда BI.ZONE DFIR не участвовала в реагировании на все зафиксированные инциденты. Но объем проектов, в которых она была задействована, позволяет выделить тенденции и сформировать статистическую картину по атакам и реакции компаний на них.
Среднее время реакции и восстановления
Эта наиболее важная метрика, которая влияет на возможность восстановить работу компании после инцидента. Кроме того, она отражает эффективность процессов реагирования и локализации инцидента, а также способность ограничивать ущерб и предотвращать повторное проникновение.
| Метрика | Среднее значение | Комментарий |
|---|---|---|
| Срок присутствия злоумышленника в инфраструктуре |
42 дня |
Минимальное зафиксированное время до шифрования — 12,5 минуты. Наиболее продолжительная атака — 181 день |
| Время установки EDR‑агентов на критические системы |
1–2 дня |
С момента остановки работы сервисов |
| Время восстановления основной функциональности бизнес‑процессов |
3 дня |
За это время восстанавливаются критически важные сервисы для возобновления бизнес‑процессов |
| Время восстановления полной функциональности бизнес‑процессов |
14 дней |
С учетом полной очистки, пересоздания AD и возврата сервисов |
Сокращение времени реакции напрямую влияет на уменьшение ущерба и предотвращение повторного проникновения.
Размер и масштабы инфраструктуры
Эта группа показателей отражает масштаб инфраструктуры, с которой работают команды DFIR и CA. Атакующие часто заявляют о полном удалении терабайтов данных или манипуляциях с конфигурациями сетевого оборудования. Но реальный объем пострадавших данных оценить сложно: часть информации полностью удалена, часть может быть восстановлена. Кроме того, часто у самой компании в момент инцидента нет полной картины своей инфраструктуры: часть узлов, сервисов и приложений работает вне зоны видимости службы кибербезопасности и относится к категории shadow IT. Это усложняет точную оценку масштабов ущерба.
| Показатель | Среднее значение | Комментарий |
|---|---|---|
| Количество хостов в инфраструктуре |
3484 |
В самом крупном инциденте — до 50 000 |
| Число активных пользователей в инфраструктуре |
18 159 |
В крупных инцидентах — до 200 000 |
| Число хостов, используемых как точки закрепления атакующих |
5 |
Максимальное число, которое мы фиксировали, — 14 |
Показатели демонстрируют, что инфраструктура российских компаний в 2025 году остается масштабной и сложной. Растет число пользователей, серверов и сетевых сегментов. И это увеличивает сложность расследования и восстановления после инцидентов.
Злоумышленники долго присутствуют в инфраструктуре, применяют разнообразные техники, а также используют для закрепления сразу несколько хостов. Поэтому критически важно полностью проверять инфраструктуру после инцидента. Любое пропущенное ВПО оставляет возможность для повторного проникновения. Только комплексное расследование и последующая оценка позволят выявить все точки присутствия злоумышленника и восстановить защиту компании.
Распределение инцидентов по отраслям
Эта статистика позволяет оценить наиболее привлекательные для злоумышленников секторы и понять, где атаки наносят максимальный экономический и операционный ущерб. Анализ показывает, какие компании чаще становятся целью злоумышленников, а также помогает выявить отраслевые тенденции в тактиках атакующих.
Отметим, что ритейлеры особенно уязвимы из‑за старой инфраструктуры и слабого сегментирования сетей, а маленькие IT‑компании часто становятся точкой входа для атакующих (техника T1199 из MITRE ATT&CK).
Тенденции атак и новые угрозы 2025 года
Смена целей
В 2025 году мы стали фиксировать заметные изменения в поведении атакующих. Если раньше основной целью было получение выкупа, то в этом году все чаще встречаются случаи, когда злоумышленники сразу переходят к уничтожению инфраструктуры. В ряде атак мы наблюдали вайп серверов и сетевого оборудования — полное удаление данных и конфигурации без возможности восстановления даже при оплате выкупа. Некоторые группировки больше не стремятся к получению денег от взломанной компании, их цель — нанести максимальный ущерб.
Использование известных шифровальщиков
В инцидентах с классическим шифрованием по‑прежнему популярны известные инструменты — Babuk, LockBit и Rancoz. Злоумышленники продолжают использовать их для блокировки инфраструктуры и принуждения к выкупу. Но уже не всегда это единственная цель атаки.
Публичные сообщения об атаках
Атакующие продолжают вести публичные телеграм‑каналы, в которых регулярно публикуют данные, даже если фактический ущерб компании был минимален или инфраструктура восстановлена еще до публикации. Такая активность создает дополнительное давление на организацию и вредит ее репутации.
Использование сервисов туннелирования
Злоумышленники стремятся устойчиво закрепиться в инфраструктуре и организовать туннели удаленного доступа. Закрепление часто реализуется через сервисы туннелирования, которые обеспечивают стабильный канал управления даже при частичной потере контроля над сетью. После блокировки ngrok мы зафиксировали волны экспериментов с другими решениями. В Linux безальтернативным вариантом остается gsocket. А в среде Windows, пройдя через этап тестирования cloudflared и Tuna, атакующие все чаще отдают предпочтение Localtonet как основному способу удаленного закрепления. Такие каналы позволяют сохранять скрытый доступ, обходить периметральные фильтры и быстро восстанавливать контроль при попытках удаления вредоносных компонентов. Именно поэтому наряду с очисткой скомпрометированных хостов критически важно искать и удалять все туннельные точки и сервисы закрепления. Иначе малейший пропуск дает злоумышленнику возможность вернуться.
Проникновение через подрядчиков
Число атак через подрядчиков существенно выросло. По данным BI.ZONE DFIR, в 2025 году около 30% всех инцидентов начинались с компрометации компаний-подрядчиков, имеющих доступ к инфраструктуре клиента. Годом ранее доля таких атак составляла около 15%. Злоумышленники активно используют то, что подрядчики часто хуже защищены и имеют доступ сразу в несколько компаний. При этом компрометация подрядчика позволяет атакующим незаметно войти в инфраструктуру целевой компании, минуя большую часть классических механизмов защиты. Поэтому очень важно жестко контролировать внешний доступ, регулярно проверять активность подрядчиков, а также четко понимать, какие существуют связности и какие сервисные учетные записи действительно используются.
Перечисленные выше тенденции говорят о том, что современные атаки становятся более разрушительными и менее избирательными. Поэтому любым компаниям необходим комплексный подход: оперативное реагирование для локализации и нейтрализации угроз и последующая глубокая проверка инфраструктуры для выявления скрытых угроз и минимизации риска повторного проникновения.
Комплексные проекты и восстановление
Комплексный подход к реагированию на инциденты позволяет нам подключаться на любом этапе атаки — от первых признаков присутствия злоумышленников до уже произошедшего шифрования или вайпа и последующего поиска скрытых точек доступа. Мы обеспечиваем как оперативное вмешательство, так и глубокую техническую экспертизу, что снижает масштаб ущерба и предотвращает повторные инциденты.
Такой подход позволяет нашим заказчикам сохранять устойчивость к атакам и восстанавливаться с минимальными простоями даже после самых сложных киберинцидентов.
Оперативное реагирование
Привлечение специалистов BI.ZONE DFIR на ранних этапах, когда злоумышленники только закрепляются в инфраструктуре, позволяет оперативно выявить все точки присутствия, локализовать угрозу и предотвратить критические инциденты. Раннее реагирование обеспечивает:
- блокировку каналов управления;
- нейтрализацию скрытых закреплений;
- минимизацию потенциального ущерба для бизнеса, в т. ч. предотвращение утечек, шифрования ключевых систем и разрушения инфраструктуры.
Такой подход позволяет не только сократить время реагирования, но и не допустить длительного простоя бизнеса.
Восстановление инфраструктуры
В ситуациях, когда инфраструктура уже пострадала от действий шифровальщиков или вайперов, наши специалисты обеспечивают полный цикл восстановления:
- Проводим расследование.
- Разрабатываем безопасный и реалистичный план восстановления с учетом текущего состояния систем и уцелевших данных.
- Масштабируем типовые восстановительные работы за счет собственной команды IT‑специалистов.
- В период восстановления обеспечиваем круглосуточный мониторинг инфраструктуры, выявляя любые повторные попытки доступа.
- Разрабатываем оперативные меры для повышения киберустойчивости компании.
Такой подход позволяет значительно сократить простой бизнеса, снизить финансовый ущерб и вернуть инфраструктуру в рабочее состояние максимально безопасно, предотвращая возможность повторной атаки.
Отдельное преимущество BI.ZONE — широкая география присутствия. Наши технические специалисты доступны во всех регионах России. Это особенно важно для территориально распределенных организаций и позволяет максимально ускорить реагирование даже в случае масштабных инцидентов.
Проверка инфраструктуры и выявление точек закрепления
Мы проводим глубокую проверку инфраструктуры, чтобы выявить скрытое закрепление и следы присутствия злоумышленников. На практике нередко встречаются ситуации, когда в сети одновременно действуют несколько независимых группировок и те, кто нанес ущерб, оказываются лишь частью более сложной атаки.
Услуга BI.ZONE Compromise Assessment позволяет обнаружить все точки закрепления, скрытые учетные записи, нестандартные службы, туннели и аномальные подключения. Устранение таких элементов критически важно: любой пропущенный доступ становится точкой повторного проникновения и может привести к новой компрометации.
Выводы
Современный ландшафт киберугроз показывает: атаки происходят не потому, что компания крупная, известная или богатая, а потому, что она существует в цифровом пространстве. Мотивация злоумышленников перестала быть однолинейной. Выкуп, кража данных, тихое присутствие в сети, использование инфраструктуры как ресурса — все это стало одинаково вероятными сценариями.
Атаки становятся все более разрушительными — от целенаправленного шифрования до полного вайпа без возможности восстановления. При этом публичная демонстрация «успехов» в каналах атакующих продолжает оказывать давление на бизнес, даже когда фактический ущерб оказался минимальным.
На фоне этого ключевым становится не только умение предотвращать инциденты и реагировать на них, но и способность не допустить повторное проникновение, находить скрытые точки присутствия, понимать, как злоумышленники попали в инфраструктуру и смогут ли они сделать это завтра.
В конечном счете цель не в том, чтобы избежать атаки, — это невозможно. Задача компаний в том, чтобы сократить время обнаружения угроз и минимизировать потенциальный ущерб, обеспечить непрерывность бизнес-процессов и не дать злоумышленнику закрепиться в инфраструктуре. Чем лучше организация понимает свою инфраструктуру, процессы и риски, тем быстрее она реагирует и тем меньше шансов у атакующих.
