Positive Technologies: Россия вошла в тройку наиболее атакуемых хакерами стран мира

По данным исследования Positive Technologies, в 2025 году Россия вошла в число трех стран, которые чаще всего становились мишенью кибератак, наряду с США и Китаем. Здесь была зафиксирована активность 57 киберпреступных групп, атакующих страны СНГ. Ключевыми целями злоумышленников оставались кража конфиденциальной информации, промышленный шпионаж, саботаж и получение финансовой выгоды. Одновременно в атаках киберпреступники активно применяли искусственный интеллект, а равным образом нестандартные инструменты для создания фишинговых кампаний и дипфейков.

Основная часть всех атак в СНГ пришлась на три страны: Россию (46%), Беларусь (11%) и Казахстан (8%). Эксперты связывают это с региональными геополитическими процессами, масштабом экономической деятельности и численностью населения. Чаще всего СНГ атаковали APT-группировки; на долю хактивистов пришлось всего 19% атак в регионе. Такое распределение связано с тем, что политически мотивированные злоумышленники зачастую либо подчиняются прогосударственным группам, либо вытесняются ими, выполняя роль посредников.

Всего в 2025 году на территории СНГ эксперты Positive Technologies отслеживали деятельность 123 киберпреступных групп, из которых 57 проявили себя в России. Активнее всего действовали Rare Werewolf, Lifting Zmiy, PhantomCore, Cyber Partisans, Silent Crow и TA558. Их главными целями стали промышленные предприятия, правительственные учреждения и финансовые организации: на эти сферы пришлось почти 50% всех атак. При этом промышленность атаковало большинство активных группировок. Последствия подобных киберпреступлений принимали разные формы: от крупных утечек конфиденциальных данных до прямого вывода из строя объектов инфраструктуры.

Фишинг и эксплуатация уязвимостей в публично доступных приложениях оставались в 2025 году главными векторами проникновения во всех регионах мира. Одновременно злоумышленники активно внедряли искусственный интеллект как для создания более убедительного фишинга, так и для написания вредоносного кода. Например, группировка Rare Werewolf применяла собственные вредоносные модули, разработанные с помощью ИИ, в атаках на предприятия авиационной и радиопромышленности. Потенциальный ущерб от таких атак включает не только кражу данных, но и незаметное использование вычислительных мощностей предприятий для добычи криптовалюты. Киберпреступная группа Goffee также применяла нейросети в атаках на российские оборонные компании.

Для обхода сигнатурных средств защиты, широко распространенных в регионе, злоумышленники маскировали вредоносное ПО под легитимные файлы и популярные расширения, обфусцировали исходник и применяли автозагрузку через реестр или планировщик задач. Для выполнения вредоносных скриптов главным образом использовались интерпретаторы командной строки. Некоторые группировки равным образом адаптировали вредоносы для проверки среды выполнения, снижая риск их запуска в песочницах. Эти данные показывают: квалификация атакующих повышается, а значит, и подходы к защите нуждаются в системном пересмотре. Для минимизации рисков целевых атак необходимо проактивно анализировать угрозы, проводить реалистичные тестирования и обучение команд.

Артем Белей, старший аналитик группы международной аналитики Positive Technologies.

Эксперты ожидают, что в 2026 году высокая активность APT-группировок и хактивистов в регионе сохранится. Даже при возможной заморозке текущих конфликтов атакующие сосредоточатся на промышленном шпионаже и получении разведывательной информации. Киберпреступники будут активно использовать огромное количество уже скомпрометированных учетных данных в новых попытках получить несанкционированный доступ. Кроме того, запланированные на 2026 год в странах СНГ масштабные мероприятия могут расширить поверхность атаки.

На этом фоне рынок кибербезопасности в СНГ продолжит активно расти. По прогнозам, с 2024 по 2029 год его объем будет увеличиваться в среднем на 5,97% ежегодно и достигнет к 2029 году 5,52 млрд долларов.