Они стали чаще уничтожать инфраструктуру вместо ее шифрования
В 2025 году расследовать киберинциденты с высоким уровнем ущерба, когда инфраструктура компании была зашифрована или полностью уничтожена, чаще всего приходилось в сфере ритейла. На долю отрасли пришелся 31% всех обращений. По данным BI.ZONE, ритейл также стал абсолютным лидером по числу утечек данных: на его долю приходится почти 40% всех случаев. Причиной инцидентов в большинстве случаев является устаревшая IT-инфраструктура и слабое сегментирование сетей.
Второе место по числу расследований инцидентов заняла IT-отрасль (26%). Злоумышленникам интересны даже небольшие IT-компании, поскольку они часто выступают в качестве подрядчиков у более крупных. Поэтому киберпреступники стремятся использовать их в качестве точки входа в инфраструктуру более защищенных организаций. Именно с атаками через подрядчиков были связаны 30% всех высококритичных киберинцидентов в 2025 году. Годом ранее этот показатель был ниже в 2 раза и составлял 15%.
Третье место делят транспортные и телекоммуникационные компании, а также государственные организации. На их долю пришлось по 11% случаев.
Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE, говорит: «Кибератаки эволюционируют, но базовые мотивы и методы злоумышленников сохраняются. Финансовая выгода по-прежнему доминирует, а фишинг остается самым распространенным способом проникновения. Однако каждый год выделяются всплески по отдельным направлениям. В 2022 году в России заметно выросло число дефейсов и хактивистских кампаний. В 2023-м акцент сместился на публикации утечек и массовые сливы данных, а в 2024-м злоумышленники активно шифровали инфраструктуры компаний. В 2025 году мы фиксируем все более частое использование вайперов — разрушительных инструментов, которые полностью уничтожают данные и сетевое оборудование.
2025 год подтвердил главную тенденцию последних лет: атаки усложняются и становятся более разрушительными. Ключевой фактор устойчивости сегодня не только защита периметра, но и скорость реагирования, глубина анализа и готовность к восстановлению, а также своевременная и регулярная оценка компрометации».
Время скрытого пребывания злоумышленников в инфраструктуре также растет: в 2024 году средний показатель составлял 25 дней, а в 2025-м — уже 42. Однако в некоторых случаях картина может значительно отличаться от среднестатистических данных. Так, минимальное время развития атаки (от проникновения в инфраструктуру до начала шифрования) составило в этом году 12,5 минуты, а максимальное — 181 день.
В 2025 году пострадавшим компаниям в среднем требовалось 3 дня, чтобы восстановить функциональность критически важных систем, минимально необходимых для возобновления бизнес-процессов. Полное восстановление бизнес-процессов занимало в среднем 14 дней.
О компании
BI.ZONE — компания по управлению цифровыми рисками, которая помогает организациям безопасно развивать бизнес в киберпространстве. BI.ZONE разрабатывает собственные продукты для обеспечения устойчивости IT‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 года компания реализовала более 1600 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 800 клиентов.
