Аналитики кибербезопасности компании F6 подвели предварительные итоги 2025 года. Сумма запрошенного выкупа достигла рекордных 500 млн рублей, а в открытом доступе оказалось более 760 млн строк персональных данных граждан.
Компания F6 подвела предварительные итоги 2025 года. Количество и интенсивность атак на российские компании относительно стабилизировались, однако сохраняется рост числа проправительственных APT-групп, группировок вымогателей, а также финансово и политически мотивированных групп. В публичном доступе оказалось более 760 миллионов строк данных россиян, а рекорд по сумме запрошенного выкупа достиг 500 миллионов рублей.
Аналитики выявили 225 новых утечек данных российских компаний, опубликованных в Telegram-каналах и на андеграунд-форумах (в 2024 году — 455). Кроме того, злоумышленники опубликовали 20 баз данных компаний из СНГ, в том числе 10 из Беларуси. Большинство утечек, содержащих персональные данные, произошли через Telegram. Основными пострадавшими секторами стали ретейл, госсектор, профессиональные услуги, здравоохранение и ИТ.
Отмечается стабилизация числа кибератак на российские компании для диверсий или шпионажа. В 2025 году обнаружена активность 27 прогосударственных групп, атакующих Россию и СНГ, включая семь новых. Основными целями этих групп были государственные учреждения, промышленность, научно-исследовательские институты, предприятия ВПК и ТЭК. Также зафиксирована активность более 20 финансово-мотивированных группировок.
Количество атак с использованием программ-вымогателей выросло на 15%. В 15% инцидентов против среднего и крупного бизнеса целью была не выплата выкупа, а диверсия и разрушение инфраструктуры. Чаще всего злоумышленники атаковали производственные компании (17,1%), организации оптовой (14,3%) и розничной (12,9%) торговли, ИТ (7,1%), транспорт и логистику (7,1%).
В реагировании на инциденты чаще всего встречались управляемые человеком атаки и майнеры. Основным вектором атак оставалась загрузка пользователями вредоносного ПО, однако во втором полугодии резко выросла доля инцидентов, связанных с эксплуатацией уязвимостей и использованием валидных учетных данных. Пик фишинговых рассылок приходился на вторники.
На фоне усиления борьбы с мошенничеством отмечен переход преступников от фишинга к скаму, где жертв обманом побуждают к прямой оплате. Общее число поддельных ресурсов на один бренд выросло на 12%. Наиболее часто для фишинга и скама использовались домены в зоне .ru, хотя преступники стали реже их применять из-за эффективных блокировок, предпочитая зарубежные регистраторы и хостинги.