По данным центра исследования киберугроз Solar 4RAYS, во 2 квартале 2025 года на одну российскую организацию пришлось в среднем более 160 заражений вредоносным ПО — это на 20% больше, чем в предыдущем квартале. При этом хакеры использовали вредоносы не только для шпионажа, но и для заработка на украденных данных, по большей части — в здравоохранении, госсекторе, ТЭКе и промышленности. Такие выводы следуют из отчета ГК «Солар», архитектора комплексной кибербезопасности, на основе анализа данных крупнейшей в РФ сети сенсоров.
Ежедневно сервисы и продукты «Солара» распознают и блокируют десятки тысяч кибератак. Информация о киберугрозах поступает в том числе из сети сенсоров на базе сервиса PDNS (Protective Domain Name Service), который фиксирует коммуникации различных вредоносных программ с серверами управления из зараженных сетей на территории России. Эксперты Solar 4RAYS анализируют срабатывания этих сенсоров, что позволяет выделить индикаторы компрометации, указывающие на деятельность вредоносного ПО конкретного типа в инфраструктурах российских организаций. В частности, сенсоры могут зафиксировать ВПО для майнинга, получения удаленного доступа (RAT), а также вирусы-шифровальщики, ботнеты и др.
Хакеры готовятся к осеннему наступлению
Во 2 квартале 2025 года уменьшилось общее число организаций, в которых фиксировались заражения ВПО — на 23% (до 17 тыс.). Вместе с этим среднее число заражений на одну компанию выросло на 20% (до 162). С одной стороны, число компаний-жертв снижается из-за эффекта летнего сезона: меньше активности проявляют как атакующие, так и сотрудники ИБ-служб, которые медленнее нейтрализуют атаки. Однако, по прогнозам специалистов Solar 4RAYS, в сентябре ситуация может измениться: интенсивность атак снизится, но количество атакованных организаций вырастет.
Больше всего заражений вредоносным ПО во 2 квартале 2025 года было зафиксировано в отраслях промышленности (36%), здравоохранения (18%), образования (13%) и ТЭК (11%). Остальные часть пришлась на ИТ-отрасль (10%), госсектор, (7%), финансы (5%) и телеком (2%). Похожее распределение наблюдалось и в начале года.
Однако в июле-августе ситуация начала меняться — доля заражений ВПО в здравоохранении в сравнении с 1 кварталом выросла на четверть (до 27%), а в госсекторе — почти в два раза (до 17%), из-за чего он и занял второе место среди самых атакованных индустрий. Также устойчивый интерес хакеры проявляют к промышленности (19%) и ТЭКу (16%).
Отдельно отметим, что за июль-август выросло и среднее число атак на одну организацию из госсектора — почти на 30%, до 89. Повышение интереса злоумышленников к отрасли связано с текущими геополитическими событиями и традиционной активизацией профессиональных хакерских группировок во второй половине года.
Заражения — для шпионажа и заработка
В начале 3-го квартала эксперты Solar 4RAYS зафиксировали изменения и в топе распространенных угроз. Инфраструктуры российских компаний стали чаще подвергаться целевым кибератакам APT-хакеров. Основной целью злоумышленников по-прежнему является шпионаж, но теперь — и с целью заработка.
Так, доля обнаруженных стилеров (программы для кражи информации и шпионажа) в сравнении с 1 кварталом сократилась на 8 п.п (до 28%), на столько же выросло и число срабатываний индикаторов APT-группировок (35%). Параллельно с этим увеличилась доля RAT (ВПО для удаленного управления компьютером или устройством) — c 18% во 2-м квартале до почти 23% в первой половине 3-го.
«Дело в том, что обнаружить заражение „ратником“ сложнее, чем выявить присутствие стилера. К тому же такие вредоносы могут быть использованы не только для похищения конфиденциальных данных, но и для платного предоставления доступа во взломанную организацию другим злоумышленникам. Этим хакеры могут воспользоваться и для шантажа компании-жертвы, и для последующей перепродажи украденных данных на черном рынке», — пояснил технический директор Solar 4RAYS Алексей Вишняков.
Отметим, что 35% всех заражений майнерами и ботнетами были обнаружены в сетях медучреждений. Впрочем, сенсоры фиксировали рост и других типов заражений в данной отрасли. По мнению экспертов Solar 4RAYS, это может быть связано с отставанием развития ИБ в секторе на фоне высоких темпов цифровизации. Кроме того, медицинские данные являются желанной целью атакующих, промышляющих вымогательством через шантаж.
«В апреле-августе 2025 года мы фиксируем стабильный интерес злоумышленников к ТЭК, промышленности, и растущий — к госсектору и здравоохранению. Все эти индустрии представляют высокую ценность не только для мелких киберхулиганов, но и для кибершпионов. Отдельно отметим, что риск успешной атаки возрастает, если уровень ИБ-зрелости в организации невысок, особенно на фоне цифровизации той или иной отрасли. Это означает, что организациям необходимо уделить серьезное внимание комплексному обеспечению ИБ, которая включает в себя обучение сотрудников правилам кибергигиены, своевременное обновление ПО, внедрение продвинутых технических средств защиты, регулярный поиск и устранение уязвимостей, построение процесса мониторинга угроз ИБ и трендов атак с помощью киберразведки», — заключил Вишняков.
Ранее «Солар» сообщил о запуске Solar DNS Radar — решения, которое контролирует исходящий трафик в сети и блокирует соединения с фишинговыми доменами и хакерскими серверами управления. Решение купирует кибератаки до нанесения реального ущерба компании.
***
Центр исследования киберугроз Solar 4RAYS в реальном времени анализирует данные об угрозах, получаемых со всех сервисов и продуктов «Солара», крупнейшей в России сети сенсоров и ханипотов, а также внешних источников. На ежедневной основе автоматизированные сенсоры ГК «Солар» регистрируют и передают в центр 4RAYS огромные потоки данных: более 200 млрд событий, более 3 млн оповещений об угрозе безопасности и отслеживают более 100 крупных кибератак в месяц. Полученные знания позволяют постоянно актуализировать защитные меры в собственных ИБ-решениях компании. Эксперты центра провели 200+ расследований киберинцидентов в частных и государственных организациях. Техническими подробностями и индикаторами компрометации (IoC) специалисты регулярно делятся с ИБ-сообществом в своем блоге.
Группа компаний «Солар» — архитектор комплексной кибербезопасности. Ключевые направления деятельности — предоставление услуг и сервисов в области информационной безопасности, разработка собственных ИБ-продуктов, обучение ИБ-специалистов, аналитика и исследование киберинцидентов.
С 2015 года предоставляет ИБ-решения организациям от малого бизнеса до крупнейших предприятий ключевых отраслей. Под защитой «Солара» — более 1 000 крупнейших компаний России. Компания работает в направлениях безопасной разработки программного обеспечения, управления доступом, защиты корпоративных данных, детектирования хакерских атак и угроз, что позволяет закрывать максимум потребностей заказчиков.
Группа компаний предлагает сервисы первого и крупнейшего в России коммерческого SOC — Solar JSOC, экосистему управляемых сервисов ИБ — Solar MSS. По данным независимых аналитиков, «Солар» входит в топ-5 европейских и топ-15 мировых сервис-провайдеров по объему бизнеса.
Работа Центра исследования киберугроз Solar 4RAYS нацелена на изучение тактик киберпреступников. Полученные аналитические данные обогащают разработки Центра технологий кибербезопасности.
Линейка собственных продуктов включает DLP-решение Solar Dozor, шлюз веб-безопасности Solar webProxy, межсетевой экран нового поколения Solar NGFW, IdM-систему Solar inRights, PAM-систему Solar SafeInspect, анализатор кода Solar appScreener и другие. Также ГК «Солар» развивает платформу для практической отработки навыков защиты от киберугроз «Солар Кибермир».
Группа компаний «Солар» инвестирует в развитие отрасли кибербезопасности и помогает решать проблему кадрового дефицита. Для поддержки молодых технологичных проектов и насыщения рынка технологиями созданы венчурный фонд Solar Ventures и программа CyberStage. «Солар» реализует образовательные и просветительские проекты, направленные на повышение цифровой грамотности населения.
Под защитой «Солара» находятся крупнейшие государственные информационные системы, а также экономические и общественно-политические события в России, в том числе международного уровня.
Штат компании — около 2 500 специалистов. Подразделения «Солара» расположены в Москве, Санкт-Петербурге, Нижнем Новгороде, Самаре, Ростове-на-Дону, Томске, Хабаровске и Ижевске. Технологии компании и наличие распределенных по всей стране центров компетенций позволяют ей работать в режиме 24/7.
Возврат к списку