Российский ландшафт киберугроз изменился

Госсектор стал главной мишенью киберпреступников в 2024 году: по данным исследования Threat Zone 2025, проведенного компанией BI.ZONE, на государственные структуры пришлось 15% всех атак. Этот показатель не только сместил с лидирующей позиции ритейл, но и отразил фундаментальный сдвиг в мотивации злоумышленников, где финансовая выгода все чаще уступает место шпионажу и хактивизму.

Смена приоритетов: от денег к данным и идеологии

В 2023 году главной целью хакеров был ритейл (15% атак). Однако в 2024 году кардинально изменился вектор угроз. Государственные организации, финансовый сектор (13%) и транспорт с логистикой (11%) заняли три верхние строчки рейтинга наиболее атакуемых отраслей. Особенно показателен третий квартал 2024 года, когда на фоне роста хактивизма каждая пятая атака была направлена именно на госструктуры.

Мотивация атак: эволюция угроз

Финансовая мотивация, которая долгое время была доминирующей, постепенно сдает позиции. Ее доля снизилась с 76% в 2023 году до 67% в 2024-м. На смену приходят более сложные и опасные драйверы:

• Шпионаж: доля таких атак выросла до 21%. Злоумышленники нацелены не просто на кражу денег, а на сбор конфиденциальной информации, интеллектуальной собственности и данных, которые могут быть использованы для конкурентной разведки.
• Хактивизм: число атак по идеологическим мотивам увеличилось с 9% до 12%. Цель таких кибератак — не обогащение, а нанесение репутационного ущерба, дестабилизация работы и уничтожение IT-инфраструктуры.

Примечательно, что тактика хактивистов все чаще заимствует методы финансово мотивированных группировок: они целенаправленно выводят из строя системы, шифруют данные и требуют выкуп, хотя их истинная цель — не получение денег, а демонстрация уязвимости жертвы.

Тактика и инструменты: фишинг эволюционирует

Фишинг остается самым популярным методом проникновения, хотя его доля в общей массе атак снизилась с 76% в середине года до 57% к концу 2024-го. Злоумышленники адаптируются и совершенствуют свои схемы. Ключевые изменения:

• Маскировка под госорганы: доля фишинговых писем, имитирующих сообщения от государственных структур, выросла вдвое — с 4% до 8%. Это делает атаки более убедительными для сотрудников госсектора.
• Атаки через подрядчиков: хакеры активно используют уязвимости в инфраструктуре сторонних компаний и провайдеров услуг. Хотя на такие инциденты пришлось лишь 5% атак, их количество удвоилось за год. Это ставит под удар не только крупные корпорации, но и малый бизнес, который часто является слабым звеном в цепочке поставок.
• Использование легитимного ПО: преступники все чаще применяют малоизвестные инструменты, легитимное системное программное обеспечение и фреймворки постэксплуатации (Cobalt Strike, Brute Ratel). Это позволяет им оставаться незамеченными для стандартных средств защиты. Особую популярность приобретает коммерческое вредоносное ПО, которое свободно продается на русскоязычных теневых форумах и в Telegram-каналах.

Предыдущие отчеты BI.ZONE фиксировали постепенное, но неуклонное смещение акцентов с массовых финансовых атак на целенаправленные операции. Если в 2022-2023 годах основной угрозой считались хактивистские DDoS-атаки, то сейчас ландшафт усложнился: злоумышленники сочетают идеологию с технической сложностью, а шпионаж становится полноценной бизнес-моделью для целого класса кибергруппировок.

Текущая динамика указывает на то, что российские компании и госорганы вступают в эру «гибридного» киберпротивника. Ожидается, что в 2025 году количество целевых атак на критическую инфраструктуру, госсектор и логистику продолжит расти. Для защиты потребуется не просто обновление антивирусных баз, а внедрение проактивных мер: поведенческий анализ, сегментация сетей и строгий контроль доступа для подрядчиков. Игнорирование этих трендов может привести к тому, что следующей жертвой станет не только IT-инфраструктура, но и национальная безопасность.