Российские промышленные предприятия столкнулись с беспрецедентным давлением со стороны киберпреступников в первые три квартала 2025 года. Согласно свежему отчету компании «Код Безопасности», именно производственный сектор стал самой атакуемой отраслью в стране, приняв на себя 28% от общего числа зафиксированных инцидентов информационной безопасности.
В тройку основных мишеней хакеров также вошли государственный сектор и финансовая сфера. На них пришлось 24% и 22% атак соответственно. Аналитики выявили ключевую тенденцию текущего года: злоумышленники перешли к тактике комбинированного воздействия. Для реализации угроз они одновременно используют как специализированное вредоносное программное обеспечение (ВПО), так и вполне легитимные утилиты, что существенно затрудняет работу защитных систем.
Для первичного проникновения преступники активно эксплуатируют уязвимости в массовом программном обеспечении. Лидерами по числу векторов атак стали браузеры на платформе Chrome (23% случаев) и мессенджер Telegram (19%). Также часто компрометируются системы на базе Linux, офисные пакеты Microsoft, корпоративные порталы SharePoint и платформы виртуализации VMware ESXi. Основными типами угроз остаются классическое вредоносное ПО (93% инцидентов), командно-контрольные центры (C2) и фишинговые рассылки.
Эксперты «Кода Безопасности» отмечают, что арсенал хакеров включает опасные трояны-стилеры, такие как Lumma Stealer, и программы-вымогатели семейств LockBit и Conti. Для удержания контроля над инфраструктурой жертвы применяются бэкдоры и фреймворки управления атаками, например, Cobalt Strike. Примечательно, что для несанкционированного доступа злоумышленники часто используют популярные инструменты удаленного администрирования — AnyDesk и ScreenConnect.
По оценке специалистов, современный атакующий — это высококвалифицированный хакер, ориентированный на длительные и масштабируемые операции. Атака строится по цепочке (kill chain): от разведки и фишингового входа до закрепления в системе и шифрования данных. Целью таких кампаний является не просто разовый взлом, а долгосрочный контроль над инфраструктурой и вывод критически важной информации.
