Результаты исследования активности киберугроз в отношении российских компаний за 1 полугодие 2025 г.: рост индивидуальных хакерских рассылок, FakeBoss теряет популярность, общее число инцидентов категории OSINT выросло на 50%.
Эксперты Центра противодействия киберугрозам Innostage SOC CyberART по итогам первого полугодия 2025 года отмечают рост персонализированных фишинговых рассылок.
Злоумышленники активно трансформируют свои методы, отказываясь от традиционных массовых кампаний в пользу таргетированных атак. Для создания убедительных сценариев они применяют искусственный интеллект и используют знания о внутренних процессах целевых организаций.
Современные фишинговые письма искусно маскируются под легитимную переписку с контрагентами, официальные запросы регуляторов или корпоративные уведомления. Такой подход существенно повышает эффективность атак и усложняет их обнаружение.
Примечательно, что аналитики Innostage еще в начале 2025 года прогнозировали подобное развитие событий, предупреждая о возрастающих рисках из-за доступности ИИ-технологий для злоумышленников и уязвимости компаний, особенно в сегменте малого и среднего бизнеса.
FakeBoss потерял популярность
Атаки с подменой личности или голоса руководителя (FakeBoss), которые активно использовались в 2024 году, в 2025-м теряют популярность. По данным Innostage, ни одна из подобных атак не увенчалась успехом.
Число инцидентов выросло на 50%. Большинство связаны с изменениями на периметре
Общее число инцидентов категории OSINT по сравнению с аналогичным периодом прошлого года выросло на 50% и составило почти 10 тысяч. При этом в 10 раз увеличилось количество подтверждённых угроз. Большинство инцидентов (более 70%) связано с изменениями на периметре — это активность, связанная с открытием новых портов, изменением конфигураций сервисов, появлением новых ресурсов или корректировками сведений о существующих. Почти 12% приходится на утечки через репозитории. Несмотря на это, специалисты наблюдают снижение числа упоминаний в таргет-листах утилит для DDoS.
Утечки: подавляющее большинство учетных записей уже было «засвечено»
Аналитики Innostage за первое полугодие 2025 года зафиксировали 694 упоминания об утечках данных из российских компаний. Общее количество скомпрометированных учётных записей составило 11,3 млн, из них 9,7 млн оказались уникальными. При этом доля ранее не фигурировавших в утечках записей снизилась в несколько раз по сравнению с аналогичным периодом прошлого года и составила 5,7 млн. Это означает, что число по-настоящему «чистых» учётных записей стремительно сокращается — большая часть пользователей уже хотя бы раз попадала в «слитые» базы.
Большинство утечек – в малом бизнесе
Подавляющее большинство опубликованных баз (98%) приходится на компании малого бизнеса, что говорит о недостаточном уровне зрелости ИБ-систем и профилактической защиты. При этом злоумышленники часто выбирают момент для публикации утечек: обычно — накануне государственных праздников или значимых дат. Утечки в малом бизнесе раскрываются, как правило, почти сразу, в то время как взломы крупных компаний могут стать публичными спустя время после компрометации — может пройти от двух недель и больше.
Один из новых значимых векторов атак — использование логов инфостилеров – вредоносного ПО, применяемого для кражи чувствительной информации с компьютеров и мобильных устройств. При этом большинство не сами используют вредоносное ПО, а пользуются уже собранными другими данными.
Предотвращение атак: компании действуют кардинально
Все чаще наблюдается тактика «абсолютного минимума» — компании оставляют только сайт-визитку, корпоративный VPN и почту. Это упрощает контроль и существенно снижает поверхность атаки. Кроме того, крайне важно регулярно проверять избыточные и уязвимые директории CMS, своевременно обновлять программное обеспечение, а также контролировать индексацию и размещаемые на сайте файлы.
DDoS: в приоритете атаки на конкретные IP-адреса
По-прежнему актуальны кибератаки, направленные на нарушение доступа к онлайн-ресурсу путем перегрузки его трафиком. По статистике, за полгода на отражение масштабных DDoS-атак на ИТ-инфраструктуру клиентов специалисты SOC CyberArt Innostage потратили в общей сложности 37 суток.
Количество IP-адресов, атакуемых по схеме DDoS, за отчетный период выросло в 4 раза до более, чем 900 тысяч. При этом количество атакуемых доменов осталось на прежнем уровне – более 3600.
Среди вредоносного ПО, предназначенного для проведения DDoS-атак, падает популярность MHDDoS и DB1000N, так как их трафик сегодня почти полностью блокируется уже на стороне провайдера. Наибольшую угрозу представляют инструменты нового поколения, такие как Gorgon Stress и Distress, поскольку они лучше умеют имитировать легитимную деятельность пользователей и их трафик сложнее детектировать как угрозы.
О компании
Innostage — российская ИТ-компания, разработчик и интегратор сервисов и решений в области цифровой безопасности. Синергия уникальных ИТ-технологий и экспертизы команды Innostage позволяют обеспечивать цифровую устойчивость бизнеса лидеров рынка, имеющих высочайшие требования к уровню информационной безопасности.
Innostage оказывает услуги по аудиту и формированию дорожных карт комплексного импортозамещения цифровых сервисов и ИТ-инфраструктуры.
На базе Innоstage функционирует Innostage SOC СyberART — центр противодействия киберугрозам, осуществляющий комплексный подход к противодействию цифровым угрозам за счет превентивного анализа рисков и управления уязвимостями, выявления попыток атак на раннем этапе и немедленного реагирования на них с целью полного нивелирования возможных последствий и устранения причин возникновения инцидентов. Является центром ГосСОПКА.