Согласно стратегическому обзору киберугроз, представленному компанией «Инфосистемы Джет», в 2025 году в структуре критических кибератак произошёл значительный сдвиг. Злоумышленники переориентировались с дефейсов, хищения информации и DDoS-атак на полное уничтожение инфраструктуры жертв. На такие разрушительные атаки пришлось 76 процентов всех критических инцидентов. Целью атак стало либо вымогательство (в случае вирусов-шифровальщиков), либо полная остановка деятельности организации без возможности восстановления (в случае использования вайперов).

Ключевыми векторами проникновения стали компрометации компаний-подрядчиков, имеющих доступ к корпоративным системам, а также использование техник Living-off-the-Land (LOTL), когда злоумышленники применяют легитимные системные утилиты для маскировки под обычную административную активность. Возросла и активность с использованием инструментов на базе искусственного интеллекта.

Наиболее атакуемыми сферами стали финансовый сектор, отрасль информационных технологий и рынок недвижимости. При этом основные причины успешных взломов остаются традиционными: фишинговые атаки, компрометация через подрядчиков, эксплуатация уязвимостей в общедоступных веб-приложениях, отсутствие многофакторной аутентификации на внешних интерфейсах и слабая гигиена управления доступом. Исследование показало, что 65 процентов атак на веб-приложения связаны с эксплуатацией уязвимостей всего в трёх компонентах: OpenSSH, Nginx и Apache HTTP Server.

Аудиты внешнего периметра безопасности выявили, что 83 процента компаний оставляют административные интерфейсы открытыми для интернета, а в 19 процентах из них до сих пор используются учётные данные по умолчанию, что потенциально предоставляет злоумышленникам полный контроль без необходимости сложного взлома. Массовые DDoS-атаки также остаются распространённым явлением: в пиковые дни за сутки атакам подвергались до 8 532 хостов, а общее число уникальных атакованных целей за год превысило 483,9 тысячи.

Киберпреступники повысили уровень подготовки атак. Так, у 40 процентов фишинговых доменов были обнаружены MX-записи, что свидетельствует о создании злоумышленниками долгосрочной почтовой инфраструктуры для повышения правдоподобности своих кампаний и снижения вероятности их блокировки.

В ответ на эти угрозы российский бизнес меняет подходы к информационной безопасности. Вместо разработки долгосрочных пятилетних планов руководители по безопасности (CISO) переходят к гибким циклам планирования на один-два года. Акцент смещается с создания «непробиваемой» защиты на построение антихрупкой инфраструктуры, способной восстанавливаться и усиливаться после инцидентов.

Запрос на независимые аудиты систем резервного копирования вырос в два раза, а 74 процента крупных компаний внедрили практику регулярного тестового восстановления данных в изолированных средах. Использование объектных хранилищ с поддержкой функции неизменяемости данных также удвоилось за год.

Особое внимание уделяется киберучениям, которые адаптируются под реальную ИТ-инфраструктуру и бизнес-процессы конкретной компании. Наибольший интерес к таким тренировкам проявляют организации финансового сектора, государственные структуры и промышленные предприятия. Растёт популярность table-top-учений — сценарных обсуждений кризисного реагирования с участием команд информационной безопасности, топ-менеджмента и юристов. Эта практика позволяет оперативно выявлять пробелы в планах, уточнять зоны ответственности и отрабатывать принятие решений в условиях неопределённости без остановки производственных процессов.