Киберпреступники стали чаще атаковать российскую науку и образование ради выкупа

Годом ранее основной мотивацией злоумышленников был шпионаж, но теперь его доля снизилась почти в 3 раза

2 сентября 2025 г.

С начала 2025 года 70% кибератак на российские научные и образовательные организации совершили киберпреступники с финансовой мотивацией. Чаще всего такие атакующие требуют у жертвы выкуп за восстановление доступа к зашифрованным данным либо продают украденную информацию на теневых ресурсах.

В 2024 году российскую науку и образование в основном атаковали с целью шпионажа — на его долю пришлось 62% всех случаев. Сейчас этот показатель сократился до 24%.

Финансовая мотивация всегда является для злоумышленников основной. Поэтому рост доли атак, совершаемых с целью выкупа, — это не новый тренд, а скорее возврат к привычной для мира киберпреступности норме.

Снижение доли шпионажа в атаках на отрасль после прошлогоднего пика, в свою очередь, может быть связано с тем, что в 2025 году шпионские кластеры переключили свое внимание с научных учреждений на промышленные предприятия и инженерные организации. Это может говорить о том, что в текущих условиях информация о прикладных разработках интересует их больше, нежели фундаментальные исследования. В целом же сфера НИОКР, которая включает и научные институты, и инженерно‑технические комплексы, традиционно входит для шпионских кластеров в число приоритетных целей.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Доля хактивистских, то есть идеологически мотивированных, атак на российское образование и науку продолжает колебаться на уровне 6–8%. Но если в 2024 году хактивисты при атаках на эту отрасль фокусировались в основном на университетах, то с начала 2025‑го их целями все чаще становятся средние школы, причем как государственные, так и частные.

Атакуя университеты, злоумышленники, как правило, были сосредоточены на уничтожении IT‑инфраструктуры. В ряде случаев встречался также дефейс — замена контента на главной странице сайта на политические лозунги. В случае со школами хактивисты стремились похитить персональные данные учеников и опубликовать эту информацию на теневых ресурсах, причем бесплатно, исключительно с целью огласки.

Ранее исследователи BI.ZONE сообщали о росте числа хактивистских атак на российские организации (20% в первом полугодии 2025 года против 14% годом ранее). При этом мотивация кластеров постепенно размывается: помимо идеологии, такие злоумышленники все чаще руководствуются финансовой выгодой и требуют у своих жертв выкуп за то, чтобы не расшифровывать украденные данные или не публиковать их в открытом доступе.

Своевременно получать актуальную информацию о целях, методах и инструментах атакующих помогают порталы киберразведки, например BI.ZONE Threat Intelligence. А решения класса DRP позволяют превентивно оценивать внешний ландшафт угроз для компании, анализируя ее упоминания на теневых ресурсах. Например, с помощью BI.ZONE Brand Protection cпециалисты по кибербезопасности могут проверять, не подверглись ли компрометации какие‑либо из корпоративных учетных записей, а также получать уведомления в случае свежих утечек. Таким образом компания может быстро отреагировать на утечку (например, сбросив пароли скомпрометированных учетных записей) и не дать злоумышленникам воспользоваться этими данными для целевой атаки.