1,6 млрд записей. 51 секунда на взлом. 357% рост атак на промсектор. Это не антирекорды — это Россия в 2025-м
NewsMakerУЦСБ SOC опубликовал ландшафт киберугроз 2025 года.
Для атаки на крупную компанию злоумышленникам все чаще не нужен прямой взлом основной инфраструктуры. Слабым местом становится подрядчик: интегратор, поставщик ИТ-услуг или партнер с удаленным доступом. Через доверенный канал хакеры получают вход в корпоративную сеть, а жертва долго видит не вторжение, а обычную работу внешнего исполнителя.
УЦСБ SOC представил на конференции ЦИПР исследование «Ландшафт киберугроз 2025/2026: тренды, атаки, уязвимости» и прогноз для российских компаний на 2026 год. По оценке аналитиков Threat Intelligence, не менее 30% известных кибератак в 2025 году прошли через компрометацию ИТ-подрядчиков. Этот канал стал одним из ключевых трендов: преступники используют доступы доверенных партнеров, обходят часть привычных проверок и дольше остаются незаметными.
Атаки стали быстрее и сложнее. Злоумышленники совмещают шифрование данных, кражу информации, угрозы публикации и давление через DDoS. Отдельно выросла роль уже известных уязвимостей: число инцидентов, где первичный доступ получали через описанные CVE, увеличилось примерно на 30% по сравнению с 2024 годом. Для компаний проблема особенно неприятна, потому что речь часто идет не о неизвестных ошибках, а о пробелах, для которых уже существуют патчи и публичные описания.
В исследовании УЦСБ SOC выделены 65 уязвимостей, наиболее критичных для российского рынка. На операционные системы и рабочие станции пришлось 44%, на сетевую инфраструктуру и сервисы - 27%, на прикладное ПО и библиотеки - 23%, на корпоративные ИТ-платформы - 6%. В продуктах Microsoft сосредоточено около 43% уязвимостей, активно применявшихся в атаках. В российских ИТ-решениях злоумышленники чаще использовали ошибки в серверах видеоконференцсвязи, почтовых системах и средствах защиты конечных точек.
Активность APT-группировок против российских организаций выросла на 25-30%. Рост обеспечили в основном уже известные игроки, которые усилили атаки на крупные и стратегически значимые отрасли. В отчете также приводится оценка CrowdStrike: путь от первичного проникновения до целевых действий в среднем сократился до 48 минут, а в самых быстрых случаях - до 51 секунды.
DDoS-атаки тоже перестали быть простой перегрузкой сайтов. Количество атак на сетевых уровнях выросло на 24,18%, самая мощная атака достигла 1,57 Тбит/с, а доля промышленного сектора выросла на 357%. Среди наиболее активных группировок 2025 года УЦСБ SOC называет IT Army of Ukraine, CyberSec (BadB), Himars DDOS и «Киберкорпус». Основной целью стали российские телеком-провайдеры.
В 2026 году эксперты ожидают более мощных ударов по критической инфраструктуре с расчетом не на краткий сбой, а на долгую деградацию сервисов. Отдельный риск связан с Ransom-DDoS, когда перегрузку инфраструктуры сочетают с требованием выкупа. ИИ усиливает угрозу: алгоритмы помогают генерировать адаптивный вредоносный трафик и обходить типовые правила фильтрации.
Средний объем одной утечки в России достиг 3,27 млн записей, что на 26% больше, чем в 2024 году. Персональные данные составили 74% всего объема утекшей информации. Главным каналом публикации остался Telegram: на него пришлось около 72% сообщений об утечках, тогда как даркнет и закрытые форумы заняли 26%.
Сильнее всего пострадали госсектор, промышленность, финансы, ИТ, транспорт и логистика, а также ретейл. На государственный сектор пришлось 22% инцидентов, на промышленность - 21%, на финансы - 14%, на ИТ - 12%, на транспорт и логистику - 10%, на ретейл - 9%. За последние два года совокупный объем скомпрометированных данных в этих отраслях превысил 1,6 млрд записей, а доля инцидентов с утечкой более 10 млн записей выросла втрое.
В 2026 году УЦСБ SOC ожидает роста атак сразу с несколькими целями. Шифрование будут дополнять кражей данных, угрозами публикации и ударами по доступности сервисов. Под риском окажутся промышленные системы управления, IoT-оборудование и смарт-датчики, потому что взлом промышленных систем способен привести к реальным простоям производств.
Главные меры защиты связаны с контролем входных точек. Компаниям советуют жестче управлять доступом подрядчиков, использовать VPN с MFA, сегментировать сеть, применять принцип минимальных привилегий, держать неизменяемые резервные копии, контролировать публичный периметр, усиливать мониторинг через SIEM и EDR/XDR, автоматизировать реагирование и проводить харденинг критичных систем.
Для атаки на крупную компанию злоумышленникам все чаще не нужен прямой взлом основной инфраструктуры. Слабым местом становится подрядчик: интегратор, поставщик ИТ-услуг или партнер с удаленным доступом. Через доверенный канал хакеры получают вход в корпоративную сеть, а жертва долго видит не вторжение, а обычную работу внешнего исполнителя.
УЦСБ SOC представил на конференции ЦИПР исследование «Ландшафт киберугроз 2025/2026: тренды, атаки, уязвимости» и прогноз для российских компаний на 2026 год. По оценке аналитиков Threat Intelligence, не менее 30% известных кибератак в 2025 году прошли через компрометацию ИТ-подрядчиков. Этот канал стал одним из ключевых трендов: преступники используют доступы доверенных партнеров, обходят часть привычных проверок и дольше остаются незаметными.
Атаки стали быстрее и сложнее. Злоумышленники совмещают шифрование данных, кражу информации, угрозы публикации и давление через DDoS. Отдельно выросла роль уже известных уязвимостей: число инцидентов, где первичный доступ получали через описанные CVE, увеличилось примерно на 30% по сравнению с 2024 годом. Для компаний проблема особенно неприятна, потому что речь часто идет не о неизвестных ошибках, а о пробелах, для которых уже существуют патчи и публичные описания.
В исследовании УЦСБ SOC выделены 65 уязвимостей, наиболее критичных для российского рынка. На операционные системы и рабочие станции пришлось 44%, на сетевую инфраструктуру и сервисы - 27%, на прикладное ПО и библиотеки - 23%, на корпоративные ИТ-платформы - 6%. В продуктах Microsoft сосредоточено около 43% уязвимостей, активно применявшихся в атаках. В российских ИТ-решениях злоумышленники чаще использовали ошибки в серверах видеоконференцсвязи, почтовых системах и средствах защиты конечных точек.
Активность APT-группировок против российских организаций выросла на 25-30%. Рост обеспечили в основном уже известные игроки, которые усилили атаки на крупные и стратегически значимые отрасли. В отчете также приводится оценка CrowdStrike: путь от первичного проникновения до целевых действий в среднем сократился до 48 минут, а в самых быстрых случаях - до 51 секунды.
DDoS-атаки тоже перестали быть простой перегрузкой сайтов. Количество атак на сетевых уровнях выросло на 24,18%, самая мощная атака достигла 1,57 Тбит/с, а доля промышленного сектора выросла на 357%. Среди наиболее активных группировок 2025 года УЦСБ SOC называет IT Army of Ukraine, CyberSec (BadB), Himars DDOS и «Киберкорпус». Основной целью стали российские телеком-провайдеры.
В 2026 году эксперты ожидают более мощных ударов по критической инфраструктуре с расчетом не на краткий сбой, а на долгую деградацию сервисов. Отдельный риск связан с Ransom-DDoS, когда перегрузку инфраструктуры сочетают с требованием выкупа. ИИ усиливает угрозу: алгоритмы помогают генерировать адаптивный вредоносный трафик и обходить типовые правила фильтрации.
Средний объем одной утечки в России достиг 3,27 млн записей, что на 26% больше, чем в 2024 году. Персональные данные составили 74% всего объема утекшей информации. Главным каналом публикации остался Telegram: на него пришлось около 72% сообщений об утечках, тогда как даркнет и закрытые форумы заняли 26%.
Сильнее всего пострадали госсектор, промышленность, финансы, ИТ, транспорт и логистика, а также ретейл. На государственный сектор пришлось 22% инцидентов, на промышленность - 21%, на финансы - 14%, на ИТ - 12%, на транспорт и логистику - 10%, на ретейл - 9%. За последние два года совокупный объем скомпрометированных данных в этих отраслях превысил 1,6 млрд записей, а доля инцидентов с утечкой более 10 млн записей выросла втрое.
В 2026 году УЦСБ SOC ожидает роста атак сразу с несколькими целями. Шифрование будут дополнять кражей данных, угрозами публикации и ударами по доступности сервисов. Под риском окажутся промышленные системы управления, IoT-оборудование и смарт-датчики, потому что взлом промышленных систем способен привести к реальным простоям производств.
Главные меры защиты связаны с контролем входных точек. Компаниям советуют жестче управлять доступом подрядчиков, использовать VPN с MFA, сегментировать сеть, применять принцип минимальных привилегий, держать неизменяемые резервные копии, контролировать публичный периметр, усиливать мониторинг через SIEM и EDR/XDR, автоматизировать реагирование и проводить харденинг критичных систем.